安恒杯月赛 babypass getshell不用英文字母和数字

Posted zaqzzz

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安恒杯月赛 babypass getshell不用英文字母和数字相关的知识,希望对你有一定的参考价值。

BABYBYPASS

 先贴代码:    

技术分享图片

①限制字符长度35个  
②不能使用英文字母和数字和 _ $  

最后提示有个getFlag()函数,从这个函数入手。

我们的第一思路是直接eval执行getFlag函数,但是这里过滤了 _ $ 无法通过异或的方法构造变量,下一篇博客有这样的题目
所以最终这道题目思路是通过eval函数执行系统命令,查看index.php

用到的知识点

①linux通配符 * ?   
②php短标签<??>  
③linux一切皆文件
④apache默认存放网页路径

linux通配符

*代表任意个字符,?代表一个字符

php短标签

可以用<?=‘命令‘?>。这样就不用写绕过了这部分的英文字母

一切皆文件

我们linux用到的命令例如ls,cat等命令都是文件,存放于/bin目录下面,也可以这样使用/bin/cat /bin/ls。

apache默认存放网页的路径

/var/www/html ,现在有很多一键安装的面板wdlinux和phpstudy等目录会改变。

一步一步分析

①现在假设代码是这样的(本地试了下)没有任何过滤

index.php

技术分享图片

flag.php  

技术分享图片

这种情况我们直接

?code=?><?php getFlag()?>  

或者

code=?><?php echo `/bin/cat /var/www/html/index.php` ?>(要查看源代码才能显示代码)

也可以用短标签试一下:

?code=?><?=getFlag()?> 
code=?><?=`/bin/cat /var/www/html/index.php`; ?>

细节:

为什么code=?>,为什么要先闭合呢?

技术分享图片

eval里的参数不让直接传<? php,    
说是得先离开php模式后进入那就     
?>  <? php就可以了  

②现在代码做了过滤,过滤了英文数字_$和长度,就是原来的题目。

因为执行的系统命令,我们可以用linux通配符

/bin/cat /var/www/html/index.php>变成
/???/??? /???/???/????/?????????  
但这样会超过长度,所有最后的index.php直接换成*就好了  
/???/??? /???/???/????/*  

=?><?=`/???/??? /???/???/????/*`;?>

为什么要用`而不是‘,浏览器会进行编码破坏掉了‘,而`可以作为‘使用但是不会被编码

以上是关于安恒杯月赛 babypass getshell不用英文字母和数字的主要内容,如果未能解决你的问题,请参考以下文章

安恒杯十一月月赛 MISC

4.29安恒杯writeup

安恒杯-绕过看门狗

安恒杯-一张谍报

安恒杯-被劫持的神秘礼物

安恒杯十一月比赛部分writeup