Ctfshow web入门-web46

最新推荐文章于 2023-12-28 21:52:42 发布
最新推荐文章于 2023-12-28 21:52:42 发布
阅读量395 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45427131/article/details/117000163
版权

web46

在这里插入图片描述

查看源码,preg_match的过滤又增加了空格和$
本来我们对于空格的绕过是${IFS}%0a,不过preg_match过滤了美元符,用%09也可以绕过preg_match的过滤,

虽然对获取到的值有preg_match的过滤,但是preg_match不能过滤这种没有空格的命令,譬如ls,dir,whoami等等,首先执行,查看当前目录底下有哪些文件

构造payload: ?c=ls&&ls (&记得编码)
在这里插入图片描述

成功rce,接下来就是·获取flag,因为源码过滤了cat指令,但是不影响我们绕过,用tac尝试一下

在这里插入图片描述

chin”
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTFshow web42 43 44 45 46 47
ChenD的学习笔记
11-09 773
CTFshow web42 web43 web44 web45 web46 web47
ctfshow web42-46
m0_69289738的博客
09-06 98
tac flag.php有空格,在ASCLL表中找一个不可显示的字符替代。空格的url编码是%20水平制表符的url编码是%09,我们用%09代替。源代码中的 >/dev/null 2>&1会让输入的c都输入到黑洞里。%09不算数字,在执行后会自动编码为水平制表符。直接改成tac flag.php得到flag。这题在上一题的基础上多过滤了一个flag。在上一题的基础上多过滤了;我们使用&符号分割,要对&进行编码。在上一题的基础上多过滤了数字,!选中&&对它进行编码就行。比上一题多过滤了空格。
ctfshow-web46(命令执行)
m0_62094846的博客
01-26 246
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-05 21:50:19 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c=$_GET['c'];..
CTFshow 命令执行 web46
Kradress的博客
11-19 267
目录源码知识点题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-05 21:50:19 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){
ctfshow web入门 {45-54}
weixin_58519918的博客
03-24 3708
Web(45) 空格过滤了这里的空格是ascll里的空格,我们可以用tab(%09)来通过 ?c=tac%09fla*||ls Web46) a && b === if(a) { b },&&是同时必须满足的意思。a || b === if(!a) { b },||是或者的意思。 /?c=tac%09fla?.php%26%26ls 因为这是ascll码所以在转换时%09不会转换成0数字在30到39 . &&为%26%26 ASCLL
ctfshow web入门命令执行44-48
m0_62207170的博客
03-29 336
ctfshow web入门命令执行44-48
ctfshow学习记录-web入门(命令执行49-58)
龟速更新的九某人
06-07 904
ctfshow学习记录-web入门(命令执行web49-58)
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
《CTFshow-Web入门》05. Web 41~50
学习学习学习......
04-10 1418
eval() 利用与正则绕过,或运算【|】构造可用字符、system() 利用与正则绕过,{>/dev/null 2>&1} 绕过。
ctfshow web入门---文件执行 解题思路
qq_73767109的博客
04-20 849
ctfshow web入门(web29-web59)解题思路与方法
ctfshow web入门 命令执行
qq_53263789的博客
07-19 1480
ctfshow
ctfshow 命令执行46关到70关 解题思路 理解及答案
2301_78362619的博客
12-28 1729
ctfshow我看行
ctfshow-Web入门-42~52wp(命令执行)
yutianovo的博客
09-06 1514
Web42 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-05 20:51:55 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c=$_GET['
ctfshow-web命令执行(web45-60)
m0_50268414的博客
11-29 2604
文章目录web45 &&等于; tab等于spaceweb46 过滤数字\*\$web47 <等于空格 ||解决黑洞web48 没什么软用web49 仍然没什么软用web50 过滤了%09%26web51 过滤了tacweb52 过滤了>和<web53 添加了回显web54 丧心病狂不让用''绕过web55 过滤了所有字母web56 过滤了所有字母2web57 \$(())web58 无回显web59 无回显2web60 无回显3 web45 &&等于; t
2022年全国地级市人口分布数据(全新整理)
最新发布
08-15
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/140877988 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用,经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理 ## 数据指标说明 资源名称:2022年全国地级市人口分布数据 区域范围:全国地级市 数据格式:.shp格式 数据规模:大于2G 数据来源:https://landscan.ornl.gov/
ctfshow web入门 web11
12-12
根据提供的引用内容,我们可以得知ctfshow web入门系列共有20道题目,其中web11是其中的一道题目。由于没有提供具体的题目描述,我无法给出具体的解答。但是,我可以为您提供一些解决CTF Web题目的一般性建议: 1.了解Web基础知识,例如HTTP协议、HTML、CSS、JavaScript等。 2.学习Web漏洞,例如SQL注入、XSS、CSRF等。 3.掌握一些常用的Web工具,例如Burp Suite、sqlmap、dirbuster等。 4.多练习,多尝试,多思考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值