bugku上聪明的PHP

已于 2022-02-17 17:34:57 修改
阅读量1.4k 收藏 4
点赞数 2
分类专栏: bugku题目wp 文章标签: php 开发语言 后端
于 2022-02-14 15:36:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58111246/article/details/122924785
版权

1:打开环境,翻译看看意思,随便传一个参数如图,随意传参获取到smarty提示,有可能是模板注入

2:审计一下代码,preg_match后面就是代表这些被过滤了,环境地质+./template.html就是假的答案,就想到了抓包看看

还是看了别人的才知道个东西叫模板注入,要验证一下是不是模板注入,像这样,114.67.175.224:18407/?flag.txt?a={4*4}里面的4*4随便你,后面代码后面会多出一个像这样的

3:构造payload

补充

php命令执行函数有

https://www.php.net/exec

exec — 执行一个外部程序
passthru — 执行外部程序并且显示原始输出
proc_close — 关闭由 proc_open 打开的进程并且返回进程退出码
proc_open — 执行一个命令,并且打开用来输入/输出的文件指针。
popen — 打开一个指向进程的管道,该进程由派生给定的 command 命令执行而产生。
proc_terminate — 杀除由 proc_open 打开的进程
shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。
system — 执行外部程序,并且显示输出
scandir 列出指定路径中的文件和目录
eval — 把字符串作为PHP代码执行
assert --函数直接将传入的参数当成PHP代码执行
linux查看文件的命令

cat tac more less head tail nl static-sh paste od bzmore bzless
php文件读取函数

printr() fread() fgets() vardump()

用scandir函数去查找关于flag的文件,还有获取flag文件内容:/index.php?f={print_r(scandir("/"))}

 /index.php?f={var_dump(scandir("/"))},发现重要东西,_12686这个文件夹名字就不一样了,先搞它

 在后面粘贴上,/index.php?f={fread(fopen("/_12686","r"),4096)}

4096是啥,我也不晓得

 得到flag

 4:呃呃呃4096是什么,速度?看到博客的,知道的,qql告诉我吧

PHP中的文件系统函数第三部分_瑾的日常-CSDN博客

还有一个大佬的博客,我就是看了·他的payload我才做出来

bugku CTF 聪明的php WriteUp - 知乎 (zhihu.com)

该用户正摸鱼
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PHP 调用并执行 Linux 命令
Cwillchris的博客
06-01 2914
PHP 调用并执行 Linux 命令
【Crypto】BUGKU-聪明的小羊
Scau_MShanLeung的博客
08-16 439
【Crypto】BUGKU-聪明的小羊题目描述解题思路&&考察内容在线工具1.多功能加解密工具:总结 个人学习记录,如有不妥,欢迎指正 题目描述 解题思路&&考察内容 解题思路: 题目明显提示:栅栏密码、每组字数【2个】 考察:栅栏密码 在线工具 1.多功能加解密工具: https://www.qqxiuzi.cn/bianma/zhalanmima.php 结果: 总结 考察:栅栏密码 工具: https://www.qqxiuzi.cn/bianma/zhal
使用php执行linux命令
janthinasnail的博客
06-14 1914
程序执行函数 escapeshellarg— 把字符串转码为可以在 shell 命令里使用的参数 escapeshellcmd— shell 元字符转义 exec— 执行一个外部程序 passthru— 执行外部程序并且显示原始输出 proc_close— 关闭由 proc_open 打开的进程并且返回进程退出码 proc_get_status— 获取由 proc_open...
Bugku-CTF-聪明php
最新发布
m0_52484587的博客
08-04 858
传递一个参数,可能标记文件的文件名是随机的:于是传一下参,在原网页后面加上/?a=1,发现网页出现了变化3.传入参数,一般情况下是文件包含,或者命令执行,而这道题目比较新颖,使用的是php模板注入4.根据测试2*4=8,确定是smarty模板注入测试phpinfo()函数5.真的是百密一疏,过滤了好多的函数,好在没有把过滤6.没有发现flag,但是发现_12016文件,直接读一波,cat被过滤了,我是用的是more得到flag。
PHP执行linux系统命令
03-28 308
 本文是第一篇,讲述如何在PHP中执行系统命令从而实现一些特殊的目的,比如监控服务器负载,重启MySQL、更新SVN、重启Apache等。首先先要给大家介绍PHP执行linux系统命令的几个基本函数。我曾经很长一段时间都分不清下面几个函数的具体用法区别。system函数说明:执行外部程序并显示输出资料。语法:string system(string command, int [retu
bugku 聪明php
qq_52671379的博客
08-03 568
bugku 聪明php 题目 打开靶机地址 此处提示需要随意传入一个参数 随机传一个参数,得到源码 发现smarty是个模板,测试一下是不是模板注入 传值?a={{2*2}}测试是否执行 看到被执行了,非常奈斯 存在命令执行漏洞,过滤了不少函数,但看了一下,passthru没有被过滤 这个函数可以代替system() 1、more ./*|grep fla用来匹配当前目录下,文件内容里有fla的,直接输出文件内容 2、passthru替代system,more替代cat/ 3、more命令,功能类似 c
聪明php(Bugku)
m0_70347972的博客
09-22 493
输入cat命令直接查看文件中的flag
Bugkuweb系列题记录
qq_51558360的博客
04-20 900
web1 打开场景,按F12查看源代码 web2 打开是一个计算器,但是只能输入一个数字。打开源码修改长度 输入结果就得flag web3 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; web4 法一:hackbar传参 法二:构造表单 <form action="/post/" method="post"> <input type="text" name="what"> &l
Bugku解题 web 【四】
weixin_46703850的博客
04-04 1651
Bugku解题 web28.web1929.聪明php 介绍:记录解题过程
Bugku Crypto习题整理
qq_40737798的博客
01-26 2745
Bugku crypto习题整理 这些题目来自于Bugku,感谢Youzen_ing提供的密码学在线加解密网站汇总:https://blog.csdn.net/youzen_ing/article/details/73075180 过程可能写得很简单,请见谅。 滴答~滴 该题显然是摩斯密码,在摩斯密码网站在线解密下就出来结果,也可以尝试写脚本。 python脚本:https://githu...
Bugku CTF 加密writeup (未完待续)
KRDecad3的博客
05-18 3223
Bugku CTF 加密writeup (未完待续) 本人CTF小白一枚,此wp是参考网上大佬的wp再加上自己操作写出来的,如有纰漏,还请指正。 0x01滴答~滴 从提供的密码可以猜测是摩尔斯密码,利用bugku自带的解码工具进行解码, space为空格,short为“.”,long为“-”,得到flag。 0x02聪明的小羊 提示中有“栅栏”,则猜测为栅栏密码,并且栏数为2,...
Bugku web 聪明php
weixin_49633310的博客
03-17 2938
Bugku web 聪明php模板注入打开题目 模板注入 打开题目 得到提示,传递参数 随机传一个参数,得到源码 在这地方卡了挺久的,发现smarty是个模板,测试一下是不是模板注入 确实为smarty模板注入 常用payload {if phpinfo()}{/if} {if system('ls')}{/if} {if readfile('/flag')}{/if} {if show_source('/flag')}{/if} {if system('cat ../../../flag'
bugku-web-聪明php
qq_75121443的博客
04-02 817
直接查看这些文件,但是cat被过滤,所以不能使用linux命令,直接使用php函数进行查看。一定要注意,这里指定php代码时要将其用{}扩起来,表示这时php代码,不然执行不成功。再细看这些没有反馈的文件名,你说有没有可能这写没有反馈和后缀的名称,是一个个文件夹。反之接下来就是整体电脑文件的全部查询了,直到找到flag文件的存放位置。要想办法绕过过滤,让value中的恶意执行代码成功执行。因为这里对字段的过滤,带有file的都不行。挨个读取文件,有的文件没有回显,是空文件。选择show_source。
Bugku 聪明php
qq_53460654的博客
05-04 232
进入环境发现: pass a parameter and maybe the flag file’s filename is random ???? 意思是传递一个参数 所以我们get传参试试 进行代码审计: 发现smarty是个模板,测试一下是不是模板注入 所以 我们要了解一下smarty模板注入 然后发现过滤了很多函数,但是passthru没有被过滤 passthru()只调用命令,不返回任何结果,但把命令的运行结果原样地直接输出到标准输出设备上。所以passthru()函数经常用来调用象pbmpl
bugku--聪明PHP
m0_65766842的博客
03-28 381
Smarty库的注入
BugKu_聪明php
Kobalos的博客
08-16 162
访问目标地址! 看到他的提示,随意传输一个参数,尝试传入一个a 可以看到传入的参数直接被打印了出来,并且显示了源码 先尝试一下phpinfo能不能正常打印吧, http://114.67.246.176:10575/?a=${phpinfo()} 发现phpinfo可以正常回显,回过头看源码,发现ban了大量的命令执行的函数,尝试使用passthru() http://114.67.246.176:10575/?a=${passthru(%22ls%22) 发现执行成功,然后就是漫长的找fla.
Bugku WEB 聪明PHP
qq_41696858的博客
07-07 252
1.打开场景,发现让你传个参数,那就传,?filename=1212121随便啥参数都行,然后php源码就直接给你了,很明显,是想让你绕过 2.过滤了一大堆系统命令执行函数,越过滤越说明这题是远程系统命令调用,passthru()函数并没有被过滤, 我本来想反引号绕过,后来发现,反引号绕过是exec绕过的简写,exec被禁用的话,``也就失效了 3.查看源码,是一个smarty模板,考虑模板注入,常见姿势 {} {{}} {if 函数}{/if} 命令很多,自行调用 4,关于cat被禁用 more tac
bugku sodirty
09-03
Bugku sodirty是一个题目,具体的解题过程可以在记录解题过程的介绍中找到。[1] 该题目可能涉及到PHP代码审计、MD5碰撞、比较绕过等内容。而在解题过程中,可能还会用到一些其他的题目和技术,如pwn3、pwn5、短标签...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值