web7-12

12
wr1teup

web7

参数值可控
开启环境
2024-07-09T03:21:57.png
2024-07-09T03:22:12.png
发现此目录已有flag.php文件
之后我们只需要cat就好,如下图post得出flag(要查看源代码,flag在渲染时忽略了)
2024-07-09T03:28:46.png
2024-07-09T03:29:37.png

flag=flag{dc8c29a4-b2fe-4941-8979-f99284fb5660}

web8

命令可控
2024-07-09T03:39:18.png
开启环境后,同样是代码
2024-07-09T03:39:47.png

在Unix和类Unix操作系统的shell中,>/dev/null 2>&1 是一种常见的重定向操作,它用于丢弃命令的输出。下面是每个部分的含义:

是标准输出重定向操作符,它将命令的输出重定向到指定的文件或设备。
/dev/null 是一个特殊的设备文件,它代表一个“黑洞”,任何写入到这个文件的数据都会被丢弃,不会保存。
2> 是标准错误输出重定向操作符,它将错误输出重定向到指定的文件或设备。
&1 是一个引用,它表示将标准错误输出重定向到标准输出的当前位置。
所以,>/dev/null 2>&1 这个组合表示:
命令的标准输出被丢弃,不显示在终端上。
命令的标准错误输出也被丢弃,不显示在终端上。
这通常用于执行一些不需要查看输出结果的命令,或者在脚本中避免输出干扰用户。

这边含义即为不给回显

所以我们用||&&来短路
2024-07-09T04:49:02.png
找到flag后,使用cmd=cat flag.php||whoami,但是没有回显
2024-07-09T04:49:57.png
因为如果使用 cat 命令同时结合 >/dev/null 2>&1,那么 cat 的输出和错误信息都会被隐藏,如下所示:

cat filename.txt > /dev/null 2>&1

这个命令会尝试显示 filename.txt 的内容,但是所有的输出(包括标准输出和标准错误输出)都会被重定向到 /dev/null,因此在终端上不会有任何显示。
于是我们使用tac
已知可以得出答案

  • cmd=tac flag.php;whoami
  • cmd=tac flag.php||whoami

  • cmd=tac flag.php%26%26whoami
    2024-07-09T04:52:52.png
    找到flag

    flag{8ee1c409-55fa-4a79-bb47-1cbfc5932e84}
    用cat需要再看cirl+u,也是可以得到的

web9

开启环境
2024-07-09T05:38:54.png
发现过滤了

  • /flag:匹配包含 "flag" 文本的字符串。
  • |\&:匹配 "&" 字符。注意,由于 "&" 在正则表达式中是一个特殊字符,表示逻辑 "和" 操作,所以它前面需要一个反斜杠 \ 来转义。
  • |\;:匹配 ";" 字符。同样,";" 也是一个特殊字符,用于分隔命令,在正则表达式中需要被转义。
  • /i:表示不区分大小写,所以 "Flag"、"FLAG"、"&"、"&" 和 ";" 都会被匹配。

2024-07-09T05:41:37.png
找到flag

于是通过通配符构造

  • cmd=tac f?ag.php||whoami

得到flag,当然还有很多写法包括

  • cmd=tac fl?g.php||whoami
  • cmd=tac f*g.php||whoami
  • cmd=tac fl*g.php||whoami
  • 等等

2024-07-09T05:40:35.png

web10

开启环境
2024-07-09T06:03:15.png

preg_match("/flag|\&|\;|cat|tac|nl|more|od/i",$cmd)

以下字符将会被过滤

  • "flag"(不区分大小写)
  • "&"(逻辑与符号,需要转义)
  • ";"(命令分隔符,需要转义)
  • "cat"(文件内容查看命令)
  • "tac"(逆序查看文件内容命令)
  • "nl"(编号行命令)
  • "more"(分页显示命令)
  • "od"(八进制转储命令)

使用拼接方法
2024-07-09T06:06:54.png
得到dGFjIGZsYWcucGhw

echo 'dGFjIGZsYWcucGhw'|base64 -d

继续构造

`echo 'dGFjIGZsYWcucGhw'|base64 -d`

2024-07-09T06:10:37.png
2024-07-09T06:11:55.png
得到flag
当然也可以用到拼接

web11

开启环境
2024-07-09T06:36:44.png
可以发现本题过滤了

  • flag:匹配文本 "flag",不区分大小写。
  • \&:匹配 "&" 字符,由于 "&" 在正则表达式中是一个特殊字符,需要使用反斜杠 \ 来转义。
  • \;:匹配 ";" 字符,同样需要转义。
  • (空格):匹配一个空格字符。

所以通过<> ${IFS}绕过,用通配符进行代替即可
2024-07-09T06:40:17.png
2024-07-09T06:41:59.png

  • cmd=tac${IFS}fl?g.php也可以

    flag{44e421c9-8f6a-4574-9fab-c98e054a245d}

web12

开启环境
2024-07-09T06:52:25.png
本题会过滤
flag:匹配文本 "flag",不区分大小写。

  • \&:匹配 "&" 字符,需要转义因为它在正则表达式中是一个特殊字符。
  • \;:匹配 ";" 字符,同样需要转义。
  • (空格):匹配一个空格字符,这里没有转义,因为空格在正则表达式中不是特殊字符。
  • IFS:匹配文本 "IFS",不区分大小写。在 shell 脚本中,IFS(Internal Field Separator)是内部字段分隔符。
  • \>:匹配 ">" 字符,需要转义因为它在正则表达式中是一个特殊字符,表示量词的结束。
  • \<:匹配 "<" 字符,需要转义因为它在正则表达式中是一个特殊字符,表示量词的开始。
  • \x09:匹配一个水平制表符(Tab),\x09 是 Tab 的十六进制表示。

tacctf=a<>c echo ${ctf:1:2} $fl?g.php

2024-07-09T07:04:29.png
利用env打开环境变量借用已有的变量,找到已有变量中空格
2024-07-09T07:06:07.png
所以读取${PHP_EXTRA_CONFIGURE_ARGS}即可
空格在第十二个
2024-07-09T07:09:04.png
测试成功,直接更改payload
2024-07-09T07:10:38.png

cmd=tac${PHP_EXTRA_CONFIGURE_ARGS:12:1}fl*

如此构造得到flag

flag{c3cd5cdc-57a5-4946-8a97-e8df385a7cc2}

本文链接:

https://youngking.xyz/index.php/archives/499/