DJmutu-CSDN博客

原创命令执行web58-70

这里说了highlight_file()用不了，我试了一下其他那几个读取函数都用不了，所以就没办法文件读取和无参数rce，但我们可以试试include和变量注册。这时我们不继续按无参数rce的方法来做，我们拿到了flag.php的文件名，所以我们可以尝试用直接查看文件内容的函数，这叫文件读取。所以这段命令把含flag的变量包含到当前文件内进行变量注册，然后我们查看当前文件内的变量以及值，即可拿到flag。接下来的web59-65的思路与web58一样，方法一个一个试，在文件读取中，会有函数被禁。

2024-01-21 00:04:51 1046

原创命令执行web55-56

这道题把26个字母都禁用了，但是没有禁用数字，所以我们可以用bin目录下的一些重要的执行文件，例如cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等。我们可以上传一个post包，如果php接受了这个包，那么我们上传的文件就会被存在php的一个临时文件下（请求结束后会删除临时文件），这个临时文件默认文件名为/tmp/phpXXXXXX，这是用了通配符的命令，因为有64的存在所以，匹配的就会更精确。这是我们实际要用的命令。

2024-01-20 19:46:09 346

原创命令执行web52

我们用cp命令，把/flag的内容复制到/var/www/html/b.txt下，这是有人就会想为什么是b.txt,这是cp命令的特性，如果目标位置没有我们要复制到的文件，那么就自己创造一个，b.txt就是在/var/www/html路径下没有，所以自动创造了一个。来到根目录，我们发现flag在根目录，在这里我们可以看出我们一开始是在最后一个var目录里找flag的，但是没有发现flag，之后我们可以把根目录下的flag复制到我们一开始拿到的路径下，，你实际上是在查看根目录下的内容。

2023-12-27 16:47:58 330 1

原创命令执行web43-51

例如：%09、$IFS$、${IFS}或者用<、<>,但是用<和<>就无法用通配符，那么我们可以用''把过滤的字符串给分隔开来。思路与web47一样，但多了%，有人就会想%09中的数字不属于过滤的范畴，%应该属于吧。过滤内容还在增加，但只是增加了一些查看文件的命令，我只要用为过滤的命令即可。，就说明用不了%09和%26了，但还是阻挡不了我们，又不是没学不用数字的。本题思路与web50差不多，但tac被过滤了，但还是拦不住咱，再换一个呗。发现会有回显，说明%09和%26中的数字不属于过滤的范畴内，

2023-12-24 01:22:02 355 1

原创命令执行web42

我们给变量c赋值，按黑洞的特性，应该没有任何回显，但却执行了一个ls命令让我们看到了目录，说明有一个命令产生的回显进入了黑洞，一个命令产生的回显成功显示。我们把后面一个ls改成tac flag.php，发现回显内容仍是目录，这就说明是前面的命令产生的回显不会进入黑洞，所以我们把两个命令换一个位置。有回显，%26%26（&&）如果前面为假，后面的命令也不执行，如果前面为真则执行两条命令，有回显，|| 如果前面命令是错的那么就执行后面的语句，否则只执行前面的语句，由于标准输出已经被重定向到。

2023-12-23 23:13:48 316 1

原创命令执行web40

由此我们可以看到localeconv()返回的数组中的第一个值就是包含小数点字符的，因为我们要找的是flag.php,其中就包含。这个字符，所以我们接下来的思路就是返回这第一个值，然后我们就可以去用一个可以返回数组第一个值的函数current()。每个数组中都有一个内部的指针指向它的"当前"元素，初始指向插入到数组中的第一个元素。成功查看到了内容，发现flag.php在数组倒数第二个位置，我们可以用array_reverse().这就导致之前的方法基本用不了，所以来学个新的姿势-----无参数rce。

2023-12-22 21:33:13 338

原创命令执行web37-39

比前几题多了.php,但是并不影响，没有了echo回显，且在$c后面增加了一个.php 后缀,原本是想要伪协议php://filter/convert.base64-encode/resource=flag，这样就能和后缀链接起来包含flag.php，但是因为过滤了flag，所以用data协议。>.php)，因为前面的php语句已经闭合了，所以后面的.php会被当成html页面直接显示在页面上，起不到什么作用。>之后的代码无效（web39会有），其中php被过滤时，可以用=代替（web38会有））

2023-12-11 20:42:00 665 1

原创命令执行web32-36

当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，让其不执行，从而导致任意文件读取。本题主要是过滤了（，导致大部分函数都无法使用，因为echo和`被过滤，所以无法使用echo``，然后php://filter可以获取指定文件源码(resource=flag.php)。这段的意思就是包含一个名为1的文件以GET的方式上传，然后用连接符&来连接1的内容。包含一个名为page的文件以GET的方式上传，然后用连接符&来连接page的内容。文件包含+php伪协议。

2023-12-11 13:26:21 352 1

原创命令执行web31

让c取值，c取值a，$_GET可以让a取值来覆盖c的取值，用&来连接a的取值，在a中使用命令执行。这一题过滤内容有增加了，部分函数还不要紧，主要是过滤了 . 空格 ` 这三种关键字，嵌套eval可以取一个新的值来覆盖c的值，从而绕过滤内容，实操。以上就是在本题中学到的新姿势，每天学习，每天苕皮吃到饱！还有很多其他的命令我就不一一列举了。

2023-12-04 15:04:57 349

原创命令执行web30

相比与web29，也就多了system和php，既然system被过滤了，那就换其他函数，php被过滤了，还是用通配符解决。意思就是把flag.php复制到1.txt中，然后我们在访问url/1.txt查看1.txt里的内容。当然我这里用的是passthru("")来执行命令，其他的行不行，去试试就可以了。以上就是我在本题中的用到和自学到的命令，每天一题，不断积累。最后在url后面加1.txt，然后点Execute。现在在学习一个新的姿势，用cp命令。当然一定不只我列出来的这些。然后点Execute。

2023-12-04 13:37:18 313

原创命令执行web29

使用more 的时候，我们不能向前面翻，只能往后面查看，但若使用了 less，就可以使用 [pageup] [pagedown] 等按键的功能来往前往后翻看文件。本题作为命令执行的开始比较简单，仅仅过滤了flag，所以我们可以用直接系统命令绕过，但由于过滤了flag，所以得使用通配符？//单独使用无回显，配合echo有回显，echo shell_exec("");//单独使用无回显，配合echo有回显，echo exec("");以上就是我在本题中的用到和自学到的命令，每天一题，不断积累。

2023-12-03 16:56:43 413 1

DJmutu的博客