目录

[NISACTF 2022]bingdundun~

1、题目

2、知识点

3、思路

[FSCTF 2023]细狗2.0

4、题目

5、知识点

6、思路

---

[NISACTF 2022]bingdundun~

1、题目

2、知识点

文件上传，phar伪协议

3、思路

点击upload，看看

这里提示我们可以上传图片或压缩包，且有一个参数

我们先按正常的思路，上传一个php文件、更改后缀名、大小写这些都不行

这里有一个思路，可以使用phar伪协议（phar://）

phar协议

Phar是PHP的归档格式，类似Java的JAR或是.NET的ZIP。Phar文件可以在不需要解压的情况下在PHP中运行。Phar文件可以用于分发PHP代码，就像你分发Python代码时使用的是.pyc或.whl文件。

Phar伪协议是PHP的一个特性，它允许直接从Phar归档中读取文件，而不需要将Phar文件解压。这样可以直接从Phar文件运行PHP脚本，而无需在服务器上物理地提取文件。

也就是说我们可以直接用phar伪协议读取服务器上的压缩包，而不需要先解压再读取

利用条件：1、php版本号在5.3之上 2、php.ini中phar.readonly= Off

抓包查看php版本

发现php版本为PHP/7.3.22

这里尝试使用phar://

把一句话木马压缩成压缩包，然后上传

然后访问zip中的文件，不需要带后缀名，我压缩包里面的文件为：flag.php

?bingdundun=phar://3104e5e6798c3292d8f507456d2aaee5.zip/flag

使用蚁剑连接

得到flag：NSSCTF{5f612c39-e631-4f1b-ad8e-90b728915970}

---

[FSCTF 2023]细狗2.0

4、题目

5、知识点

系统执行，空格绕过

6、思路

打开题目，是一道命令执行，先正常输入

加入系统命令ls

?hongzh0=1;ls / 

发现对空格进行了过滤

绕过空格过滤的方式：${IFS}$9 、{IFS} 、$IFS 、${IFS}、$IFS$1（其他数字也行，不一定要1）、IFS等

?hongzh0=1;ls$IFS$1/

然后对cat和flag都过滤了

在cat和flag加上\

?hongzh0=1;ca\t$IFS$2/fl\ag

得到flag：NSSCTF{8a00edec-ce65-41fe-8a75-de168053b9a0}

---

这篇文章就先写到这里了，哪里不懂的或者哪里不足的欢迎指出