ctfhub—rce 通关笔记

已于 2024-04-19 19:47:31 修改
阅读量274 收藏 8
点赞数 4
文章标签: 笔记
于 2024-04-18 21:45:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80489197/article/details/137926917
版权

目录

命令注入

过滤cat

过滤空格

过滤目录分隔符

过滤运算符 

综合过滤练习

命令注入

进入环境后就看到一个ping命令框,下面还附有源码

可以看到这一关是没有任何过滤的,所以可以直接用‘|’进行拼接

源码:

<?php

$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $cmd = "ping -c 4 {$_GET['ip']}";
    exec($cmd, $res);
}

?>

127.0.0.1 | ls

看到两个php文件,去访问第一个

ping完后页面上什么也没有,但是在源码中可以看到flag

过滤cat

进入环境,就看到源码里面对cat的过滤

if (!preg_match_all("/cat/", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";

这里进行了对cat的过滤,通过preg_match_all()函数在变量ip和m中搜索“cat”字符串,如果里面没有“cat”字符串,则会进行ping命令。(具体请看下面的文章https://www.runoob.com/php/php-preg_match_all.html)

先用ls查看一下当前目录下有那些文件,看到flag,去看一下。

由于cat被过滤了,所以我们可以尝试进行绕过

法一:

用less、more、tail等命令来代替cat命令

在源码中可以看到flag

法二:

通过反斜杠‘\’或者单引号进行绕过,也可以用tac命令来反向输出

ca''t flag_249182005331565.php

过滤空格

进入环境还是先看源码

<?php

$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/ /", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

这次将空格进行过滤,那么我们可以通过 $IFS$9 进行绕过(具体可参考下面的博客https://blog.csdn.net/a3320315/article/details/99773192

在源码中可以看到flag

过滤目录分隔符

源码:

<?php

$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/\//", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

这一关把正反斜杠给过滤了,但是可以通过;进行绕过

首先先看一下当前目录下的文件

看到一个文件夹,这时候就可以用;来代替/进行命令执行

 payload:127.0.0.1;cd flag_is_here;ls

看到flag,再去查看即可得到flag

过滤运算符 

源码:

<?php

$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/(\||\&)/", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

这一关将||和&给过滤了,但是还可以用其他没有被过滤的运算符进行拼接 看到flag,再去看一下

在源码中可以看到flag

综合过滤练习

源码:

<?php

$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

可以看到,这一关几乎过滤了能用的所有字符,所以要进行一些编码绕过,但是这里我试了好久也没整出来,直到看到大佬的博客才知道要在url里面进行修改(大佬博客:https://www.cnblogs.com/0yst3r-2046/p/12617703.html

这里可以在hackbar里面进行操作,首先就是一些特殊符号的url编码替换

%0a替换换行,%09替换Tab键(又get到了一个新知识点,用Tab键的url编码进行补全文本),%5c替换\(因为cat也被过滤了,所以要用\来分隔cat)

下面开始解题:

首先就是查看当前目录下有哪些文件

看到了一个文件夹,再看看里面有什么

注意,这里是用Tab来补全flag,而不是输入fla来补全后面的。因为这里只是过滤了flag,所以我们通过Tab*来补全flag。

看到flag了,再用cat去看一下 这里要注意,这个flag的文件是在flag_is_here这个文件夹下的,所以我们先要进入这个文件夹,之后才能看到这个文件。 

l1ghtstar
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过ctfhub系统对RCE学习
qq_45584159的博客
12-29 1151
文章目录RCE介绍exce(ping)(远程系统命令执行)一. eval执行函数linux常用的目录操作命令:创建目录:mkdir建空文本文件:touch复制文件:cp移动文件或目录:mv查看文件内容命令:cat删除文件:rm命令注入 RCE介绍 RCE英文全称:remote command/code execute(远程命令/代码执行漏洞) 分为远程命令执行ping和远程代码执行evel。 漏洞出现的原因:没有在输入口做输入处理。 我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户
CTFHUB-RCE通关记录以及常见的绕过过滤的方法
不想当脚本小子的脚本小子
03-21 2187
先过关,再分析相关的防御源代码 1.过滤cat 然后cat 301472130920273.php然后查看网页源代码即可得到flag 2.过滤cat 根据题目要求过滤了cat 而该服务器为Linux系统区分大小写 就无法通过大小写来绕过 本来想使用vi命令替换cat命令也能查看到flag中的内容 但是失败了 最后用了替换法:127.0.0.0 ; $a=ca;$b=t; $a$b flagxxxx 题目源码: <?php $res = FALSE; if (is.
ctfhub_REC_综合练习
devil8123665的博客
12-29 1123
目录 1 打开题目,查看如下源码 2代码分析 3查看当前路径 4查看flag_is_here目录 5获取flag值 6使用的python脚本 1 打开题目,查看如下源码 <?php ​ $res = FALSE; ​ if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/(\||&|;| |\/|cat|...
ctfhub-过滤空格
m0_62094846的博客
12-15 939
<?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/ /", $ip, $m)) { $cmd = "ping -c 4 {$ip}"; exec($cmd, $res); } else { $res = $m; }...
CTFHub 技能树 综合过滤
weixin_44732566的博客
03-08 1790
CTFHub 技能书 综合过滤 打开题目,源码已经出现了 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/"...
CTFHub-rce
CN天狼
02-19 1366
CTFHub-rce
CTFHub-Web-RCE练习
Atkx's Blog
01-16 678
1
CTFHubRCE - 文件包含
cx_sam的博客
08-07 1724
CTF WEB RCE 文件包含
ctfhub RCE
08-18
CTFHub RCE(Remote Code Execution)是指在CTFHub平台上利用漏洞或安全问题,远程执行恶意代码或命令的攻击行为。这种攻击通常会利用软件或网站存在的漏洞,通过远程执行代码来获取非授权的访问权限或对系统进行...
ctfhub rce
09-01
你想了解关于 CTFHubRCE(远程命令执行)相关内容吗?CTFHub 是一个针对CTF(Capture The Flag)竞赛的学习平台,而RCE是一种常见的漏洞类型之一。在CTFHub上,你可以学习如何发现和利用RCE漏洞来获取系统权限。...
CTFhub RCE 命令注入部分
qq_41497476的博客
07-01 1251
这种题其实已经比较熟悉了,使用 |,&&,;等分隔符对前面ping的内容进行隔断,然后执行自己的命令 任意值;ls 发现了除了目录下除了index.php外还有另一个php文件 输入 127.0.0.0;cat 21701615624125.php 发现确实多了个反馈的参数,但是看不到值,很疑惑后面知道了,这是因为cat命令反馈的值无法直接显示 这时有两个方法,一是直接查看源码 源码里是能看到的 第二个方法是直接把命令改为 127.0.0.1;cat 27712282015742.php.
CTF中ping文件执行漏洞无回显反弹拿flag
拉风的鲨鱼的博客
03-31 9588
打开网页内容如下 我们来看一下核心代码 <?php include_once "code.txt"; if (isset($_POST['ip'])) { $p=$_POST['ip']; if(preg_match("/(;|`|&| |\\$|python|ruby|perl...
RCE和preg_match绕过
weixin_55190422的博客
09-29 787
首先以题为例 进来后是这个界面 题目告诉我们用json格式所以我们输入{"cmd":"ls"}查看有啥文件 发现有index.php这个文件里面有源码,这个题目一开始是就给了源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking atte...
SWPUCTF 2018 Web两道
柠檬木有枝
12-20 966
前言 西南石油大学比赛,做出了一道xss+tar提权,flask卡在了构造继承链 用优惠码 买个 X ? flag在/flag中 URL http://123.207.84.13:22333 注册个账号登录 登录提示送你优惠码 优惠码保存在cookie中的Auth中 输入优惠码提示要输入24位的优惠码 http://123.207.84.13:22333/www.zip 源码泄露 只有个s...
维度不固定的多维数组形参笔记
H2z1220的博客
09-05 203
假如我有多个元素个数都不一致的多维数组都需要调用这个函数进行处理,这个形参问题就凸显出来了,总不能创建N个不同的函数来进行处理吧?这样也太繁琐了,而且也适用度不高。这个函数可以传入多维数组,但元素个数必须是固定的,假如传入一个str[][20],元素个数不一样的数组,那么这个函数就不适用了,且会报错。所有数据在存储空间里面都是有地址的,那么就可利用指针寻址来获取到相应的数据。在查找了一些资料后受到了一点启发。而这里也可利用指针来指向多维数组。
【C++学习笔记】数组与指针(三)
qq_38196449的博客
09-09 818
0(空字符)
Webpack学习笔记
最新发布
m0_74375748的博客
09-09 882
定义静态模块:指的是编写代码过程中的,html,css,js,图片等固定内容的文件打包:把静态模块内容,压缩,整合,转译等(前端工程化)less/sass转成css代码把ES6+降级成ES5支持多种模块标准语法使用:webpack打包默认出口是dist下的main.js。
qmt量化交易策略小白学习笔记第61期【qmt编程之期权行情数据--get_market_data_ex函数】
fanglue3705的博客
09-09 462
获取期权行情数据 获取期权最新数据,首先需要进行数据订阅。完成合约订阅后,用get_market_data_ex函数即可提取相关信息。这个过程包含两大步骤: 第一,通过订阅操作确保能接收到你感兴趣的期权合约的更新; 第二,调用get_market_data_ex函数来实际获取并处理这些订阅到的数据,如果需要用到历史数据或过期合约数据,需要使用download_history_data进行下载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值