[红明谷CTF 2021]write_shell 反引号与短标签

最新推荐文章于 2024-03-04 21:29:12 发布
最新推荐文章于 2024-03-04 21:29:12 发布
阅读量1.7k 收藏 2
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/124078290
版权 
<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

代码审查,参数action控制两个模式,当action=upload的时候会将参数data的值进行过滤并且作为file_put_contents的第三个参数,可以试试输入123的时候是个什么效果,我查资料发现这个函数的第三个参数具体用法是啥我也不知道

当action=pwd的时候,他会输出目录给我们。

一开始两个问号是个啥我也不晓得,查了一下

??是php7新推出来的表达式,有利于简便三元运算符
例:

$example=$_GET['web']??0;
相当于
$example=$_GET['web']?$_GET['web']:0;

意思就是如果web参数如果存在则返回本身,否则返回0
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

可以发现这是对data参数的过滤防护,过滤了php,eval,花括号等,其实这些过滤内容有点提示我们要用php标签,但是php,eval,空格这些都被过滤掉了,这时候就有新东西学习了

反引号执行系统命令,以及php短标签

PHP: 执行运算符 - Manual就像如果我们要执行ls命令,通常我们都是system('ls');但是有了反引号,我们直接`ls`即可执行,是不是方便多了,但是要开一个默认选项(默认都是打开的),并且不能在双引号字符中使用

php中的短标签_qq_32320151的博客-CSDN博客_php短标签

<?$a?>相当于<?php?>
<?=$a?>相当于<?php echo $a?>还省略了eval需要的分号

因此我们思路就是,当切换在upload模式的时候,我们可以控制data参数传入php表达式看看效果,然后切换到pwd模式获取路径进入到下面去看看

 

成功回显1234,有点渲染那味了

构造action=upload&data=<?=`ls`?>,因为空格被过滤了,我们可以利用水平制符\t来代替空格

继续执行命令即可 

-栀蓝-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf.show_web40(命令执行)
高高同学
03-01 694
web40无参数RCE绕过 源码 <?php if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){ eval($c); } }else{ highligh
命令执行各种姿势总结
weixin_48427966的博客
04-24 891
一、绕过if(!eval($c);web30。
[CTF 2021]write_shell1
最新发布
wwwyyyxxxx的博客
03-04 348
换行绕过也不行,check函数虽然看着过滤的不多,但是一些关键的被过滤了,让写入空的php文件但是又把分号过滤了,这里在本地试了一下,发现标签不需要分号,但是这样在本地会莫名其妙的输出1,有没有大佬解释一下。但是想传system("ls /")的时候又有个问题是空格被过滤了,这里要用到一个函数是hen2bin()将十六进制转换为二进制编码后的字符串,ls / 十六进制编码是6C73202F。这里check函数是嵌套在waf里面的,waf嵌套做了一个数组的判断,而check才是真正的waf。
ctfhub(rce智慧树)
qq_62046696的博客
07-21 526
刚看完rce知识点做一下题,巩固一下、
Matchme php script_php使用preg_match()函数验证ip地址的方法
weixin_31622725的博客
03-09 122
本文实例讲述了php使用preg_match()函数验证ip地址的方法。分享给大家供大家参考,具体如下:代码一、正则实现preg_match('/^(?:25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)(?:[.](?:25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)){3}$/', $ipAddress);代码二、/**@return Boolen*@pa...
BUUCTF--[CTF 2021]write_shell
qq_46263951的博客
07-21 1066
补充知识点: PHP中??的作用 $a??$b; $a是不是null,如果不为null,则返回$a,否则返回$b; PHP中的标签 先来看第一部分代码, 当action=pwd时则给出路径;当action=upload时,可以上传参数data $dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/'; if(!file_exists($dir)){ mkdir($dir); } switch($_GET["action"] ?
CTFSHOW-sql注入
Yb_140的博客
08-13 2407
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
php异或绕过,CTF中php异或绕过preg_match
weixin_33397740的博客
04-03 2273
0x00:写在前面suctf的题目和强网杯都遇到这种类型题目了,正好就当做一个笔记来记录一下。$hhh= @$_GET['_'];if(!$hhh){highlight_file(__FILE__);}if(strlen($hhh)>18){die('One inch long, one inch strong!');}if ( preg_match('/[\x00- 0-9A-Za-z\'...
考点unset的一道CTF题目
https://www.cnblogs.com/zpchcbd/
04-20 1245
文件名:123.php <?php function waf($a){ foreach($a as $key => $value){ if(preg_match('/flag/i',$key)){ exit('are you a hacker'); } } } foreach(array('_POST', '_GET', '_COOKIE') as $__R)...
buuctf(探险3)
qq_62046696的博客
08-13 920
if(!strstr($get_flag," ")){ get传参进入的,里面没有空格、str_ireplace(子字符串忽略大小写替换)第二行,就是把get_flag中的cat 换成wctf20220,说白了就是过滤cat那我们先用ls查一下目录可是并没有什么回显,不知道我是哪错了看了大佬解释,说是传入的2e4不需要空格,这些都会自动加上出来了,但是我们查找目录 cat flag中间一定会有空格,的这里肯定是需要一种别的手段绕过一下。...
CTFshow php特性
m0_57114395的博客
04-29 546
web135 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-16 18:48:03 */ error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ ...
[CTF 2021]write_shell
cjdgg的博客
06-25 1457
[CTF 2021]write_shell 题目直接给出了源代码,看了一下源代码,利用点应该就是利用file_get_contents函数写shell获取我们需要的信息 在此之前我们还需要找到要写入shell的文件路径,这时我们可以发现可以通过?action=pwd进行查看 ...
[CTF 2021]write_shell --不会编程的崽
不会编程的崽的博客
02-20 555
命令执行
CTF中的信息收集常见姿势
b1ackc4t的博客
02-22 222
前端 查看源代码 检查注释 href、src、action属性 隐藏的表单数据 js代码审计 js特殊编码 目录扫描 源码泄漏 备份文件 .git .hg .svn vim缓存泄漏 敏感目录泄漏 robots.txt .DS_Store 其他常见敏感目录 Google Hacker 聪的使用搜索引擎能够让你发现更多的信息 ...
不能使用的按钮(CTF记录)
m0_73303597的博客
11-05 596
CTF的weib入门disabled_button
杯数据安全大赛
qq_53755216的博客
04-04 287
write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ retur

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值