news 2026/7/6 15:07:17

polarctf靶场web中等/代码审计1,随机值,你知道sys还能这样玩吗

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
polarctf靶场web中等/代码审计1,随机值,你知道sys还能这样玩吗

1.代码审计1

芝士点:1.原生类读取,形式:大部分是new $a($b)

2.伪协议的利用读全代码

<?php highlight_file(__FILE__); include('flag.php'); $sys = $_GET['sys']; if (preg_match("|flag|", $xsx)) { die("flag is no here!"); } else { $xsx = $_GET['xsx']; echo new $sys($xsx); } >

这个php代码if语句第一部分不会成立,因为xsx还没赋值,所以没有过滤,如果有过滤,,我觉得通配符也可以绕过

一开始我构建sys=system&xsx=flag.php

不通过,因为system是原生函数,不是原生类,在new后面会报错

搜了 一下,可以利用的 原生类有:

1. SplFileObject

作用:PHP 标准库(SPL)中的文件对象类,用于逐行读取、操作文件,是处理文件的核心原生类。

2.File类(部分环境支持,依赖PECL File扩展)

作用:文件操作类,功能和SplFileObject类似,但并非所有 PHP 环境都内置(需要安装 PECL File 扩展)。等

当用文件目录遍历到了敏感文件时,可以用SplFileObject类,同样通过echo触发SplFileObject中的__toString()方法。(该类不支持通配符,所以必须先获取到完整文件名称才行)

但是我用了原生类也没 出来flag

看了wp:

除此之外其实SplFileObject类,只能读取文件的第一行内容,如果想要全部读取就需要用到foreach函数,但若题目中没有给出foreach函数的话,就要用伪协议读取文件的内容。

伪协议解决问题的原理是:伪协议会一次性读取文件全部内容并处理为单行数据流,让SplFileObject的 “第一行” 等于文件的全部内容

注:这里又跟文件包含那种执行不一样,include本身就是一次性读取全部文件内容,不存在 “只读取第一行” 的问题,伪协议在文件包含漏洞中不是为了 “解决单行限制”,而是为了绕过限制、读取源码或执行代码

转成base64,使代码失去执行能力,变成字符串直接读出来

2.随机值


使用&符号,我觉得相当于指针地址符的用法,$a=&$b,把b的值赋值给a

所以可以获得flag

3.你知道sys还能这样玩吗

可以用御剑扫出来,,也可以根据题目提示sys尝试

<?php show_source(__FILE__); if(isset($_POST['cmd'])){ echo "<pre>"; $cmd = $_POST['cmd']; if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget/i', $cmd)) { $output = system($cmd); echo $output; } echo "</pre>"; } ?>

l\s执行成功,但是后面不知道怎么绕过了

但是没有对php过滤,可以考虑使用php -r 在终端执行php函数来实现二次命令执行

<?php // 要执行的命令 $command = ''; // 将命令转换为十六进制编码 $hexCommand = bin2hex($command); // 构造 PHP 代码,将十六进制命令解码后传递给 eval 函数执行 $phpCode = 'system(hex2bin("' . $hexCommand .'"));'; // 执行 PHP 代码 echo($phpCode); ?>

依次执行命令,ls ../../../

发现flag.txt,,执行cat ../../../flag,.txt

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/1 18:51:57

60、SQL与对象技术的融合发展

SQL与对象技术的融合发展 一、对象技术对SQL和关系数据库的挑战 在过去十年左右,SQL和关系数据库管理的主导地位面临着来自面向对象技术崛起的严峻挑战。面向对象编程语言(如C++和Java)、面向对象开发工具以及面向对象网络(包括对象请求代理和最近的Web服务)已成为现代软…

作者头像 李华
网站建设 2026/7/6 4:12:48

python的print(f ‘ {xxx}‘ )

在 Python 中&#xff0c;print(f{xxx}) 是使用f-string&#xff08;格式化字符串字面值&#xff0c;Formatted String Literals&#xff09; 进行字符串格式化并输出的方式&#xff0c;它从 Python 3.6 版本开始引入&#xff0c;是目前最简洁、高效且易读的字符串格式化方法。…

作者头像 李华
网站建设 2026/7/6 0:29:47

fish-shell跨平台开发环境统一指南

fish-shell跨平台开发环境统一指南 【免费下载链接】fish-shell The user-friendly command line shell. 项目地址: https://gitcode.com/GitHub_Trending/fi/fish-shell 在当今多平台开发的时代&#xff0c;开发人员经常需要在Windows、macOS和Linux系统之间切换工作环…

作者头像 李华
网站建设 2026/7/6 15:16:39

Lsyncd终极配置指南:从基础到高级排除规则实战

Lsyncd终极配置指南&#xff1a;从基础到高级排除规则实战 【免费下载链接】lsyncd Lsyncd (Live Syncing Daemon) synchronizes local directories with remote targets 项目地址: https://gitcode.com/gh_mirrors/ls/lsyncd Lsyncd&#xff08;Live Syncing Daemon&am…

作者头像 李华
网站建设 2026/7/4 5:54:11

Timber:Android开发必备的智能日志框架完全指南

Timber&#xff1a;Android开发必备的智能日志框架完全指南 【免费下载链接】timber JakeWharton/timber: 是一个 Android Log 框架&#xff0c;提供简单易用的 API&#xff0c;适合用于 Android 开发中的日志记录和调试。 项目地址: https://gitcode.com/gh_mirrors/ti/timb…

作者头像 李华