web121
分析代码
发现过滤了更多,用SHLVL也被禁用了,可以使用${##}或${#?}来代替
${PWD::${##}}???${PWD::${##}}?????${#RANDOM}${IFS}????.???
解码得到flag
web122
分析代码
PWD被禁了,发现HOME没有被禁,可以使用HOME
$? 表示上一条命令执行结束后的传回值。通常0表示执行成功,非0表示执行有误
有部分指令执行失败时会返回1,也有一些命令返回其他值,表示不同类型的错误
比如Command not found就会返回127
为了能让 $? 能够返回1,则需要让前一条命令是错误的,这个错误命令的返回值就是1
这里的话可以用 <A
<A 提示的错误是no such file or dictionary,它对应的error code 是2
但是$? 的结果是1
构造payloadcode=<A;${HOME::$?}???${HOME::$?}?????${RANDOM::$?} ????.???
解码的得到flag
web123
分析代码
要求CTF_SHOW和CTF_SHOW.COM存在,fl0g不存在
在php中变量名只有数字字母下划线,如果含有+、[、空格则会转化为_,所以说按理说是构造不出CTF_SHOW.COM,因为他里面有".",但是php还有一个特性就是如果传入[,它在转化为_后,后面的字符就不在转换,所以构造payload
CTF_SHOW=&CTF[SHOW.COM=1&fun= echo $flag
web124
分析代码
暂存
web125
分析代码
使用 highlight_file 高亮显示 flag.php
?1=flag.php
post:CTF_SHOW=&CTF[SHOW.COM=&fun=highlight_file($_GET[1])
web126
分析代码
借鉴大佬的payload,具体原理看https://jishuzhan.net/article/1777295240298762241
GET:?$fl0g=flag_give_me;
POST:CTF_SHOW=1&CTF[SHOW.COM=1&fun=eval($a[0])
web127
分析代码
需要ctf_show=ilove36d,但是_被禁用了,只能使用空格代替,其他转成_的符号都被禁用了
?ctf show=ilove36d
web128
分析代码
可以得知f1不能使用数字字母,
gettext():_()是gettext()的拓展函数 在开启相关设定后,_("666")等价于gettext("666"),且就返回其中的参数(因为过滤了字母所以我们就用下划线,让其输出)get_defined_vars:返回由所有已定义变量所组成的数组,因为包含了flag.php,所以flag.php里面肯定有$flag储存了flag。call_user_func 函数:用于调用指定的回调函数,并可以传递参数给该回调函数,第一个参数是被调用的回调函数,其余参数是回调函数的参数。这里还进行了嵌套:(1)内层 call_user_func($f1, $f2)首先调用 $f1 函数,并传递参数 $f2,结果是 $f1($f2) 的返回值。(2)外层 call_user_func(...)外层 call_user_func 接收内层调用的返回值作为它的第一个参数,要正确执行,内层返回值应该是一个函数名或可调用的回调,外层 call_user_func 将再次调用这个返回的回调函数,不传递任何额外的参数。最后,var_dump 将打印出外层 call_user_func 的返回值。新知识:gettext 函数php 扩展目录下如果有 php_gettext.dll,就可以用 _() 来代替 gettext() 函数,_() 就是 gettext() 的别名,常常被用来简化代码。gettext 函数用于在 PHP 应用程序中实现国际化(i18n)和本地化(l10n),说白了就是根据当前语言环境输出翻译后的字符串。
构造payload?f1=_&f2=get_defined_vars
web129
分析代码
f的输入要有ctfshow,并且不能在开头,使用伪协议绕过
?f=php://filter/ctfshow/resource=flag.php
web130
分析代码
使用数组绕过f[]=1
