1.web29
分析一波
error_reporting(0); //排除错误
if(isset($_GET['c'])){ //get传参不为空,执行if语句
$c = $_GET['c']; //get传参,赋值给变量c
if(!preg_match("/flag/i", $c)){ //过滤flag
eval($c); //执行c表达式
}
}else{
highlight_file(__FILE__);
}
命令执行查看有哪些文件
既然不能直接看flag,那就把flag复制到别的文件,再看
等等flag被过滤了,所以不能直接用。
通配符绕过
???在linux里面可以进行代替字母
/???/c?t flag.txt
*在linux里面可以进行模糊匹配
cat flag.* *进行模糊匹配php
?
代表一个字符
*
代表一串字符
看结果
2.web30
这个就是过滤flag,system,php
我用闭合代替system函数,就是用``把它包起来。
在计算机方面还是很常见的。
3.web31
还是过滤flag,sysytem,php,cat,sort,shell,.,`
我们想想怎么绕过吧。
嵌套异或逃逸:
先给c传一个1,再用&给1赋值。跳过对c的绕过
查看
4.web32
/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i
以上字符被过滤了,特别是空格和分号,括号。
空格可以用%0e
分号用?>
不能用带括号的函数,可以用include(文件包含)以及php伪协议filter://访问文件
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
简单解释一下这个东西:php://filter
这是一个中间件,在读入或写入数据的时候对数据进行处理后输出的一个过程。
这个东西可以获取指定文件的源码,当它与包含函数结合时会将其作为php文件执行。
而这时我们一般将其编码而阻止其作为php文件执行从而获得编码后的源码。
我们通过convert.base64-encode将源码进行base64编码,它就能输出编码后的源码了,而不是作为php文件被执行。
得到后再解码就完事了。
5.web33
/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i
这个多过滤了"不过对我们在web32构造的payload没有影响
直接套上去。
6.web34
7.web35
以上都是和web33一个解法没必要细讲了。
8.web36
/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i
过滤了数字。
我们可以用字母代替数字的索引,用a代替1。
可以了。
9.web37
这和前面的题很不一样了,这是个文件包含漏洞,同时还过滤了flag。
利用php伪协议中的data协议。
data://伪协议:
数据流封装器,以传递相应格式的数据。可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。
/?c=data://,<?php system("cat fla*.php");?>
搞定。
10.web38
这次过滤了php和file。
所以不能用php和file伪协议。
不过我想起在之前做文件上传题时就遇到过的短标签。
用短标签
PHP中有两种短标签,<??>和<?=?>。其中,<??>相当于对<?php>的替换。而<?=?>则是相当于<? echo>。
<??>这个并不是非常适用。
/?c=data://,<?= system("cat fla*.ph*");?>
11.web39
同上,不过是在c上多加一个.php的后缀。
不过这个是无效的。
因为data协议后就是将其看作php文件来执行了,如下整个PHP已经闭合了,.php后缀不能影响它了,而是做为html页面显示。
/?c=data://,<?= system("cat fla*.ph*");?>
如上图,证实了我的想法。
12.web40
过滤了数字和大部分符号,但是英文的()和中文的()是不一样的。
这里过滤的是中文的()。
先来熟悉一下,这些的php函数。
get_defined_vars() 返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。
array_pop() 是删除并返回数组最后一个元素。
current() 返回数组中的当前元素的值。
next() 返回数组中的下一个元素的值。
print_r() 将把数组的指针移到最后边。可以使用 reset() 可让指针回到开始处。
用get_defined_vars()获取所有已经定义的变量。我们发现post数组为空还有刚刚GET传入值出现在get数组还有数组的末端。
用post提交参数,cmd=phpinfo();
发现post数组里面传入了值,数组末尾并没有新增元素
用 array_pop取出数组最后一个元素,这时候拿到的还是数组末尾的元素[c],因为没有源码没有定义变量来接收post的值。
由于get_defined_vars()返回的是一个多维数组,我们用current()可以获取到GET数组,用next()可以获取到POST数组,然后用array_pop()取出POST数组里面的元素,最后用eval执行。
13.web41
太变态啦,字母和数字都过滤了,还有使得异或,自增和取反的符号也没有啦。不过留了个|可以进行或。
经典无数字字母绕过正则表达式。
不了解什么是异或,自增和取反的朋友可以看一下下面的文章。
https://www.icode9.com/content-4-1177387.html
然后借用这个大神的php脚本过滤出正则匹配,得到能用的或字符。
借用脚本就可以了。