ctfshow-命令执行[41-53] Zer0biubiu 关注 Web安全 ctfshow-命令执行[41-53] Zer0biubiu 2022-03-19 15:47:22 138964 所属地 宁夏web41 无数字和字符 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date: 2020-09-05 20:31:22 # @Last Modified by: h1xa # @Last Modified ...
命令执行没有过滤 | ,可以通过对没有被过滤的字符进行或的位运算来得到想要的字符 先通过一个PHP脚本列出没有被过滤的字符的运算情况 <?phpfor($i= 0;$i< 256;$i++)//穷举Ascii的256个字符for($j= 0;$j< 256;$j++) {$preg= '/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i...
cat flag.php 这里坑主要是 他执行格式是 (system)(ls)这样,貌似是php7支持的动态函数执行啥的 其他就是注意字符转换,脚本不难写