ctfshow——PHP特性
文章目录
- web 89
- web 90
- web 91
- web 92
- web 93
- web 94
- web 95
- web 96
- web 97
- web 98
- web 99
- web 100——`=`优先级、eval()用法
- web 101——RefelctionClass反射类
- web 102——php伪协议、hex2bin()
- web103
- web 104——sha1绕过
- web 105
web 89
使用人工分配 ID 键的数值型数组绕过preg_match.
两个函数:
preg_match():执行正则表达式,进行字符串过滤。preg_match函数用法,正则表达式语法。[0-9]匹配0-9之间的所有字符。/相当于一个分隔符,/../之间的内容就是正则的语法。绕过方法:变量num为人工分配 ID 键的数值型数组,preg_match()就会失效。如num[]=1,num[0]=1intval():将变量的值默认转化为十进制。intval函数用法。绕过方法:可以使用==的特性,如+16、16.0;或者进制转换后,左右变量也相等。注意:
- 使用array()类型的数组,
intval遇到空数组为0,非空数组为1.
- 使用人工分配 ID 键的数值型数组,
intval遇到空数组为0,非空数组为1。
- 使用array()类型的数组,
web 90
解释:
-
===强类型对比,可以使用进制转换进行绕过。补充==:弱类型对比,添加+符号或者.0也成立。 -
intval($num,0)代表通过检测变量num的格式来决定使用哪个进制。- 以
0x或0X为前缀,使用16进制; - 以
0为前缀,使用8进制; - 使用10进制。
intval()处理字符串时,其实跟整形一样。另外,intval()函数如果$base为0,则$var中存在字母的话遇到字母就停止读取,传入4476a会将后面的a丢弃,比较前面的.
- 以
-
GET传参接收的就是字符串数据。GET传参和POST传参,其实上传的都是HTML表单,HTML 表单并不传递整数、浮点数或者布尔值,它们只传递字符串。php类型比较表
-
php中,单引号和双引号包裹的,其实都是字符串,只是当其中包含变量时,单引号不会解释变量,双引号会解释变量。
web 91
解释:
- 四个字符:
^:匹配输入字符串的开始位置。当在方括号表达式中使用该字符时,表示不接受该方括号表达式中的字符集合。要匹配^字符本身,需要使用\;$:匹配输入字符串的结尾位置。如果设置RegExp对象的Multiline属性,$也匹配\n或\r,要匹配$字符本身,需要使用\;i:不区分大小写;m:使边界字符$和^匹配每一行的开头和结尾。是多行,而不是整个字符串的开头和结尾。
%0a是换行符的URL编码形式。
web 92
解释:
==:弱类型对比,使用浮点数则使得==不成立;intval()将浮点数转化为整型,使得条件成立。
web 93
同上
web 94
web 95
解释:
==绕过:用浮点数或进制转换;preg_match:因为过滤.,所以浮点数不行了,还过滤a-z,所以用%0a(换行)绕过preg_match;- 此外,换行不会影响
strpos匹配相应的字符。
web 96
解释:
flag.php跟./flag.php一个意思。?u=php://filter/convert.base64-encode/resource=flag.php,php伪协议读取文件。
web 97
解释:
md5与===连用时,可以用数组进行绕过,其结果都会转换为null;- 另外,数组的比较如下图:
web 98
解释:
- 看懂三元运算符,其格式为:
(expr1) ? (expr2):(expr3)。如果expr1为true,则执行expr2;否则,执行expr3。$_GET?$_GET=&$_POST:'flag'; //等价于: if(isset($_GET)){$_GET=&$_POST; //这句话的意思就是将POST传参的变量(数据)给GET传参。就是说POST传参的数据,GET参数也会得到,不管前端GET传什么。 } else{'flag'; } - 故只要随便让GET进行传参,然后将
HTTP_FLAG=flag使用POST传输,最后$_GET[‘HTTP_FLAG’]=flag。 _FILE_:取得当前文件的绝对地址。
web 99
解释:
highlight_file(_file_):将当前文件的代码以语法高亮的形式输出到浏览器;array_push():向数组尾部插入一个或多个元素。
rand():生成随机数。in_array(参数1,参数2):搜索数组中是否存在指定的值。第一个参数为要搜索的值,第二个参数为被搜索的数组。file_put_conntent(filename, data):把一个字符串写入文件中。- 绕过
in_array():当没有指定第三个参数的时候,in_array就相当于==,弱类型对比。 - 这段代码的总体意思就是:首先生成一个数组,数组元素随机生成(有区间),GET传参n=2.php,POST传参content,内容为
<?php system('ls');?>
web 100——=优先级、eval()用法
解释:
is_numeric():用于检测变量是否为数字或数字字符串。因为赋值=的优先级比and优先级高,所以先执行赋值,也就是说V0的值由is_numeric($v1)决定。
eval()函数是将字符串当做php代码执行,且必须用;结尾,所以v3必须有;。- 交flag的时候,是
ctfshow{那一串值},将0x2d转为-。
web 101——RefelctionClass反射类
解释:这里需要学习一个反射类的概念,反射类可以说成是类的一个映射,可以利用反射类来代替有关类的应用的任何语句。举个例子:
<?php
class hacker{public $hackername = "yn8rt";const yn8rt='nb666';public function show(){echo $this->name,'<br>';}
}
//有这么一个hacker类,假设我们不知道这个类是干什么用的,我们需要知道类里面的信息,这时候就需要用到ReflectionClass来对类进行反射
//现在我可以通过反射来获取这个类中的方法,属性,常量//通过反射获取类的信息$reflection = new ReflectionClass('hacker');//实例化反射对象,映射hacker类的信息
$consts = $reflection->getConstants();//获取所有常量
$props = $reflection->getProperties();//获取所有属性
$methods = $reflection->getMethods();//获取所有方法
var_dump($consts);
var_dump($props);
var_dump($methods);
?>//返回值array(1) {["yn8rt"]=>string(5) "nb666"
}
array(1) {[0]=>&object(ReflectionProperty)#2 (2) {["name"]=>string(10) "hackername"["class"]=>string(6) "hacker"}
}
array(1) {[0]=>&object(ReflectionMethod)#3 (2) {["name"]=>string(4) "show"["class"]=>string(6) "hacker"}
}web 102——php伪协议、hex2bin()
pryload:
//get传参
http://78aa3fd2-c874-4f98-9c56-7094ea91789e.challenge.ctf.show/?v2=115044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=2.php//post传参
v1=hex2bin
解释:
- 几个函数
is_numeric($var):判断变量是否为数字或数字字符串。注意:
所以,这题变量v2必须是全数字字符串。
substr(string, start):返回字符串的一部分;call_user_func($callback, parameter):调用函数,第一个参数为被调用的函数,第二个参数为被调用函数所需的参数;file_put_contents(filename, data):把data数据写入filename。hex2bin():将十六进制字符转化为ASCII码字符。
php://filter/write=convert.base64-decode/resource=xxx对即将要写的内容($str)进行base64编码后,才会写到文件中。- 整个payload的逻辑就是将经过base64编码、16进制转换后的webshell赋值给v2(16进制后的shell必须为纯数字),然后调用
hex2bin将16进制形式的webshell转化为ASCII码形式(因为base64编码所用的字符属于ASCII,故ASCII码形式的webshell也就是base64形式的webshell),然后再使用php伪协议的过滤器,将base64形式的webshell进行解码后,写入到目标文件中。 - 参考资料:
- 伪协议绕过死亡代码<?php exit();(file_put_contents)
- CTF之PHP伪协议和能够使用伪协议的函数
- Base64 算法原理,以及编码、解码【加密、解密】 介绍
web103
相比于前一题,只是检测webshell中有没有php字符串。
web 104——sha1绕过
使用数组进行绕过
sha1()
web 105
解释:
- foreach循环:
相关文章:
ctfshow——PHP特性
文章目录 web 89web 90web 91web 92web 93web 94web 95web 96web 97web 98web 99web 100——优先级、eval()用法web 101——RefelctionClass反射类web 102——php伪协议、hex2bin()web103web 104——sha1绕过web 105 web 89 使用人工分配 ID 键的数值型数组绕过preg_match. 两个…...
K8S陈述式资源管理
陈述式 命令行:kubectl命令行工具 优点:90%以上的场景都可以满足,对增,删,查比较方便,对改不是很友好 缺点:命令比较冗长,复杂,难记 声明式 k8s当中的yaml文件来实现资…...
详解Python内置函数 !!!
内置函数就是Python给你提供的, 拿来直接用的函数,比如print,input等。 文章目录 前言 一、和数字相关 1. 数据类型 2. 进制转换 3. 数学运算 二、和数据结构相关 1. 序列 2. 数据集合 3. 相关内置函数 三、和数据结构相关 四、和迭代器生成器相关 五、字…...
使用Vue3 + Vite创建uni-app项目(Webstorm)
使用Vue3 Vite创建uni-app项目(Webstorm) 参考:前端VUE3Vite UniAPP-- 框架搭建_uniapp vite-CSDN博客 // 参考github.com的库:https://github.com/dcloudio/uni-preset-vue npx degit dcloudio/uni-preset-vue#vite-ts vite-vu…...
【js】js实现多个视频连续播放:
文章目录 一、效果:二、实现:三、案例: 一、效果: 二、实现: <!DOCTYPE html> <html> <head><title>Video Player</title><style>#progressBar { width: 800px;height: 20px;b…...
使用openssl 生成pfx格式证书时报错:unable to load certificates
问题现象包如下: 之前在centos上使用openssl部署证书服务器以及颁发证书的时候遇到的问题,在进行个人证书生成之后需要形成pfx格式证书,结果过程中报错了。网上类似资料比较少,做个记录。 生成pfx格式证书的命令: o…...
微信小程序 分享按钮 监听用户分享成功
代码 <view><button class"btnLq ed flex justify-center" open-type"share" click"getAward">点击分享</button> </view>export default {data(){return{shareMd:false,//分享埋点}},onShow(){//if(this.shareMd){uni.…...
数据结构-怀化学院期末题
题目: 利用希尔排序算法实现线性表的排序。希尔排序是根据给定的增量序列将线性表分隔成某个“增量”的记录组成一个子序例,在子序列中采用直接插入排序完成。 输入 第一行为元素个数n(1<n<1000),第二行为n个元素值(整数),即…...
跟cherno手搓游戏引擎【1】:配置与入口点
环境配置: 编译环境:VS2019 创建两个项目: 设置Sandbox为启动项: 设置sandbox的配置属性-常规-输出目录\中间目录为如下: 预处理定义:为了配置一些只有windows才能用的函数。 设置YOTOEngin(我…...
25计算机专业考研经验贴之准备篇
Hello各位小伙伴,大家新年好! 马上就要进入寒假假期了,25考研也该提上日程了。今天先跟大家分享一下大家在假期可以先做起来的准备工作。 【选择学校】 择校是个非常重要的内容,因为不同学校的考试内容是不一样的,有些…...
机器人相关知识
机器人学(Robotics) 一些基础概念 位姿 位姿位置姿态 位姿的表示 刚体 刚性物体是一组粒子的集合,其中任意两个粒子之间的距离保持固定,不受物体运动或施加在物体上的力的影响。 “完全不可变形”的物体就是刚体。 刚体位置 刚性连杆 …...
八股文打卡day22——操作系统(5)
面试题:什么是死锁?如何避免死锁? 我的回答: 死锁是两个或者多个进程都占有各自的资源,然后都互相请求资源,导致互相都陷入了阻塞状态。 如何避免死锁呢? 首先,造成死锁有四个必要…...
SQL Server 权限管理
CSDN 成就一亿技术人! 2024年 第一篇 难度指数:* * CSDN 成就一亿技术人! 目录 1. 权限管理 什么是权限管理? SQL server的安全机制 服务器级角色 数据库级角色 对象级角色 2. 创建用户 赋予权限 最重要的一步骤 1. 权限…...
ReentrantLock底层原理学习一
J.U.C 简介 Java.util.concurrent 是在并发编程中比较常用的工具类,里面包含很多用来在并发场景中使用的组件。比如线程池、阻塞队列、计时器、同步器、并发集合等等。并发包的作者是大名鼎鼎的 Doug Lea。我们在接下来的课程中,回去剖析一些经典的比较…...
数字孪生在增强现实(AR)中的应用
数字孪生在增强现实(Augmented Reality,AR)中的应用可以提供更丰富、交互性更强的现实世界增强体验。以下是数字孪生在AR中的一些应用,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件外包开发公司ÿ…...
【数据仓库与联机分析处理】多维数据模型
目录 一、数据立方体 二、数据模型 (一)星形模型 (二)雪花模式 (三)事实星座模式 三、多维数据模型中的OLAP操作 (一)下钻 (二)上卷 (三…...
【网络面试(3)】浏览器委托协议栈完成消息的收发
前面的博客中,提到过很多次,浏览器作为应用程序,本身是不具备向网络中发送网络请求的能力,要委托操作系统的内核协议栈来完成。协议栈再调用网卡驱动,通过网卡将请求消息发送出去,本篇博客就来探讨一下这个…...
Kotlin: Jetpack — ViewModel简单应用
ViewModel 概览 Android Jetpack 的一部分。 ViewModel 类是一种业务逻辑或屏幕级状态容器。它用于将状态公开给界面,以及封装相关的业务逻辑。 它的主要优点是,它可以缓存状态,并可在配置更改后持久保留相应状态。这意味着在 activity 之…...
【Java技术专题】「攻破技术盲区」攻破Java技术盲点之unsafe类的使用指南(打破Java的安全管控— sun.misc.unsafe)
Java后门机制 — sun.misc.unsafe 打破Java的安全管控关于Unsafe的编程建议实例化Unsafe后门对象使用sun.misc.Unsafe创建实例单例模式处理实现浅克隆(直接获取内存的方式)直接使用copyMemory原理分析 密码安全使用Unsafe类—示例代码 运行时动态创建类超…...
私有云平台搭建openstack和ceph结合搭建手册
OpenStack与云计算 什么是云? 如何正确理解云,可以从以下几个方面。 云的构成。 用户:对用户而言是透明无感知的,不用关心底层构成,只需要知道利用云完成自己任务即可。 云提供商:对云资产管理和运维。 云…...
debug mccl 02 —— 环境搭建及初步调试
1, 搭建nccl 调试环境 下载 nccl 源代码 git clone --recursive https://github.com/NVIDIA/nccl.git 只debug host代码,故将设备代码的编译标志改成 -O3 (base) hipperhipper-G21:~/let_debug_nccl/nccl$ git diff diff --git a/makefiles/common.mk b/makefiles/…...
ros python 接收GPS RTK 串口消息再转发 ros 主题消息
代码是一个ROS(Robot Operating System)节点,用于从GPS设备读取RTK(实时动态)数据并通过ROS主题发布。 步骤: 导入必要的模块: rospy 是ROS的Python库,用于ROS的节点、发布者和订阅者。serial 用于串行通信。NavSatFix 和 NavSatStatus 是从GPS接收的NMEA 0183标准消息…...
2024年网络安全竞赛-页面信息发现任务解析
页面信息发现任务说明: 服务器场景:win20230305(关闭链接)在渗透机中对服务器信息收集,将获取到的服务器网站端口作为Flag值提交;访问服务器网站页面,找到主页面中的Flag值信息,将Flag值提交;访问服务器网站页面,找到主页面中的脚本信息,并将Flag值提交;访问服务器…...
ARM DMA使用整理
Direct Memory Access, 直接存储访问。同SPI,IIC,USART等一样,属于MCU的一个外设,用于在不需要MCU介入的情况下进行数据传输。可以将数据从外设传输到flash,也可以将数据从flash传输到外设,或者flash内部数据移动。 它…...
移动通信原理与关键技术学习(第四代蜂窝移动通信系统)
前言:LTE 标准于2008 年底完成了第一个版本3GPP Release 8的制定工作。另一方面,ITU 于2007 年召开了世界无线电会议WRC07,开始了B3G 频谱的分配,并于2008 年完成了IMT-2000(即3G)系统的演进——IMT-Advanc…...
光明源@智慧厕所技术:优化生活,提升卫生舒适度
在当今数字科技飞速发展的时代,我们的日常生活正在经历一场革命,而这场革命的其中一个前沿领域就是智慧厕所技术。这项技术不仅仅是对传统卫生间的一次升级,更是对我们生活品质的全方位提升。从智能感应到数据分析,从环保设计到舒…...
【Bootstrap学习 day13】
Bootstrap5 下拉菜单 下拉菜单通常用于导航标题内,在用户鼠标悬停或单击触发元素时显示相关链接列表。 基础的下拉列表 <div class"dropdown"><button type"button" class"btn btn-primary dropdown-toggle" data-bs-toggl…...
Shell:常用命令之dirname与basename
一、介绍 1、dirname命令用于去除文件名中的非目录部分,删除最后一个“\”后面的路径,显示父目录。 语法:dirname [选项] 参数 2、basename命令用于打印目录或者文件的基本名称,显示最后的目录名或文件名。 语法:basen…...
Linux-v4l2框架
框架图 从上图不难看出,v4l2_device作为顶层管理者,一方面通过嵌入到一个video_device中,暴露video设备节点给用户空间进行控制;另一方面,video_device内部会创建一个media_entity作为在media controller中的抽象体&a…...
VPC网络架构下的网络上数据采集
介绍 想象这样一个场景,一开始在公司里,所有的部门的物理机、POD都在一个经典网络内,它们可以通过 IP 访问彼此,没有任何限制。因此有很多系统基于此设计了很多点对点 IP 直连的访问,比如中心控制服务器 S 会主动访问物…...
南京马鞍山网站建设/网站优化公司怎么选
筛选信息的方法()A:时序法、程序研究法、询问法B:时序法、类比法、查重法C:时序法、类比法、研究法D:时序法、研究法、查重法框架筛域即筛管分子的侧壁上特化的初生纹孔场。A:对B:错选项山茶科植物的雌蕊具有A:下位子房具侧膜胎座B:下位子房具基生胎座C:上位子房具中轴胎座D:上…...
站长工具怎么关掉/google seo实战教程
方法/步骤 备份数据库,升级MySQL通常不会丢失数据,但保险起见,我们需要做这一步。输入命令: mysqldump -u xxx -h xxx -P 3306 -p --all-databases > databases.sql 停止MySQL服务,输入命令: service my…...
web网页设计实训报告/网站关键字优化软件
本文实例讲述了jquery实现页面百叶窗走马灯式翻滚显示效果的方法。分享给大家供大家参考。具体如下:1. 这里的代码需要jquery1.3以上的支持,如下所示:jQuery.fn.extend((function($){var l 4,//卷动行数t5000,//卷动完一次后,隔多…...
成品网站w灬源码999交友/小程序seo推广技巧
HashMap插入操作: HashMap<String, Integer> map new HashMap<>(); map.put("hello", 1); map 是一个集合,集合中保存了 Key-Value 关联的一组元素 1.put做了什么? 如果map中原来有 "hello" 这个 Key 对…...
做100个网站效果/优秀的网络搜索引擎营销案例
Array class1. introduceRuby的Array类和其他的不太一样, Ruby中允许一个Array对象中存储不同类型的元素. 例如 : class Myclass end my1 Myclass.new a1 Array.new([1,"Digoal",[1,2,3,4,5],4,my1]) p a1 执行结果 : [1, "Digoal", [1, 2, 3, 4, 5], 4,…...
网站建设款属不属于无形资产/网站用户体验优化
1.概述 Cookie(客户端,不是内置对象):Cookie是由服务器生成的,在发送给客户端保存。 相当于本地缓存的作用:客户端——>服务端 比如你在线看视频,你看视频是从服务端读取的,看完…...