[NSSCTF Round#16 Basic]RCE但是没有完全RCE

最新推荐文章于 2024-07-12 10:42:54 发布
最新推荐文章于 2024-07-12 10:42:54 发布
阅读量569 收藏 8
点赞数 8
分类专栏: 命令执行 文章标签: 学习 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/135586231
版权
文章讨论了PHP代码中的RCE漏洞,涉及MD5验证和参数传递。通过GET和POST请求,攻击者利用字符串处理和数组技巧绕过安全检查,尝试实现远程代码执行。虽然提到利用assert和array_pop函数的尝试,但因版本差异未能成功,展示了攻防过程中的技术细节。
摘要由CSDN通过智能技术生成

[NSSCTF Round#16 Basic]RCE但是没有完全RCE

第一关

<?php
error_reporting(0);
highlight_file(__file__);
include('level2.php');
if (isset($_GET['md5_1']) && isset($_GET['md5_2'])) {
    if ((string)$_GET['md5_1'] !== (string)$_GET['md5_2'] && md5($_GET['md5_1']) === md5($_GET['md5_2'])) {
        if (isset($_POST['md5_3'])&&md5($_POST['md5_3']) == md5($_POST['md5_3'])) {
            echo $level2;
        } else {
            echo "您!!!!!那么现在阁下又该如何应对呢";
        }
    } else {
        echo "还在用传统方法????";
    }
} else {
    echo "来做做熟悉的MD5~";
}

这里会先把GET传参的参数md5_1和md5_2变成字符串,然后MD5函数处理要强等于;POST传参md5_3随便都行

payload

GET: ?md5_1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&md5_2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

POST: md5_3=1

来到第二关

 <?php
error_reporting(0);
highlight_file(__FILE__);
$shell = $_POST['shell'];
$cmd = $_GET['cmd'];
if(preg_match('/f|l|a|g|\*|\?/i',$cmd)){
    die("Hacker!!!!!!!!");
}
eval($shell($cmd));

逻辑就是接收参数然后正则匹配,如果没有则命令执行

这里有个之前一直不知道的知识点,就是如果代码为eval($shell($cmd)); ,想要利用system直接读取flag会发现正则绕不过去,如果在cmd参数的值包含了嵌套的函数就会仅仅被当成字符串从而无法解析,比如show_source('/flag')又或者是通过chr函数拼接的cat /flag。所以思路可以是找到参数shell中的函数可以解析cmd参数的嵌套函数,或者是直接system函数利用最直接的命令绕过(试验后发现走不通),又或者是绕过正则判断而使得eval函数命令执行的时候不报错。

第一个思路在做[ctfshow 元旦水友赛]的时候遇到,题目的版本为5.5.9利用assert函数结合show_source(‘/flag’)来读取,但是本题版本为7.3.4所以失败。不过我们可以试试利用数组绕过正则,然后如何让eval函数接收的参数为字符串而不是数组格式。这里引进array_pop函数,作用是删除数组中最后一个元素。但经过测试发现如果元素个数为一那么就是输出本身,结果如下

在这里插入图片描述

那么我们就可以实现RCE

在这里插入图片描述

_rev1ve
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[安洵杯 2019]easy_web - RCE(关键字绕过)+md5强碰撞+逆向思维
oZuoShen123的博客
10-11 1342
1、F12发现提示md5 is funny ~;还有img标签中,有伪协议和base64编码 2、url地址是index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=   这就有意思了,这里的img明显是编码后的数据   但是这里有个坑,也就是考我们的逆向思维,其实解密之后我们并不需要去访问555.png,而是解密得到555.png之后,心理瞬间舒畅了,因为我们知道从555.png -> TXpVek5UTTFNbVUzTURabE5qYz0
Ice-001#-#Easy RCE using Docker API 复现1
07-25
Docker Daemon 作为守护进程,运行在后台,可以执行发送到管理接口上的 Docker 命令复现环境:各安装 docker安装 centos 因为现装的
[NSSRound#16 Basic]RCE但是没有完全RCE
Fab1an的博客
01-18 756
只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等,cmd自成一个包含函数和参数的完整命令执行。再要绕waf很自然就想到用$_POST[1]来转接。就表示匹配字母a到字母z中的任意一个字符。第一个是md5强类型比较,用数组。都被过滤了,这时候可以用中括号。第二个是md5弱类型比较,那就把GET传的参数改为。最后就得到flag了。
PHP漏洞之md5()
dogeace的博客
11-16 1233
本文参考 本文总结一下常见的PHP之一md5() 开始前先补充我们这一课所需要的知识。 PHP’==‘与’= = ='的区别。 PHP‘= =’ 与‘===’的区别,在我们使用= =号是时后的两个变量只要求数值相同例如A=123 B=‘123’当进行判断时A= =B是为真虽然他们的类型并不相同但当我们使用A= = =B进行判断时返回值却为假,因为两个变量的类型并不相同。所以我们把‘= = ’称为弱比较‘= = =’称为强比较具体的绕过方法我们再接下来的例子再进行讲解。 下面我们进入第一种PHP的弱比较 if
新生赛web
qq_63928796的博客
04-02 465
对于伪随机数,当seed固定时,生成的随机数是可以预测的,也就是顺序固定的,所以只要知道seed的值即可。其实反序列化很简单就是一步一步走到你要利用的函数,比如这个题我们要利用的就是。中echo了对象ll,一般字符串才可以echo所以触发了。,改session是要key的,key的计算也给出了。函数,因为只有这个函数才能命令执行,倒着来看就行,md5的强弱比较,百度一大堆,直接数组绕过即可。,他可以自动被触发,所以一整条链就完成了。,这个就是获取的上传文件的后缀,就是。典型的反序列化,看一下魔法函数。
【Web】NSSCTF Round#18 Basic个人wp(部分)
uuzeray的博客
02-14 1629
不能访问远程链接,结合评论区功能,不难联想到xss,只要给个评论区链接让门酱访问就可。我们就按示例传一下(必须以http://开头,否则不能解析为图片)尝试传了发现不能起作用跳转,估计是这些被html实体化了。链接是插入到了src中,我们可以直接用">闭合img标签。从评论区知道,要让门酱玩元梦之星,考虑直接。那咋整呢,题目里还提供了评论插入图片功能。把这个链接给门酱即可获得flag。成功重定向到元梦之星官网。先试一下随便给个链接。获得该条恶意评论链接。
NSSCTF Round#8 Basic
v2ish1yan的博客
02-11 1532
根据出题人的本意是让我们上传一个包,然后去加载那个包,但是我是直接用的别人的exp,而且题目环境也包含exp里需要的文件,所以直接打就行。感觉部分源码和MyDoor是一样的,只是我尝试用伪协议读取index.php的时候没回显,所以猜测应该就是用了include来读取文件。发现可以执行命令,因为php的特性如果执行给N_S.S传参,那么N_S.S在后端会被规范成N_S_S。所以使用N[S.S来使后端得到的参数为N_S.S(具体原因自己去搜吧)之前的字符串的命令,并且是对你上传的文件进行执行的,(猜的)
【Web】NSSCTF Round#16 Basic个人wp(全)
uuzeray的博客
01-13 1815
出题友好,适合手生复健。
[NSSCTF Round#16 Basic]了解过PHP特性吗
m0_73612768的博客
01-16 1556
intval 无数字绕过;ctype_alpha && is_numeric && md5 弱比较绕过;intval 绕过且长度限制,is_numeric 绕过;array_search 绕过;create_function 注入;
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
Apache-druid-kafka-rce.yaml
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
向日葵RCE漏洞一键批量自己检测工具
02-25
【标题】:“向日葵RCE漏洞一键批量自我检测工具” 在网络安全领域,"RCE"是"Remote Code Execution"的缩写,意为远程代码执行。这是一个非常严重的安全漏洞,允许攻击者在目标系统上执行任意代码,从而获得与系统...
Lumos学习王佩丰Excel第四讲:排序与选择
Sunshine_XX的博客
07-10 373
自定义排序演示:工资条拆分的演示:如果遇到很长的表,标题只存在于顶端,打印出来观感不好,可以这样做:有些版本的excel复制筛选数据容易把背后隐藏的所有数据都复制上去,这时可选中定位条件的“可见单元格”选项,复制粘贴即可。并排表示且,错排表示或。ctrl+shift+↓+→全选,演示说明:回头学原理,先记住一句话,要想筛选对,条件表头不要对。
Autoware.universe 高效学习第三章 -- 智驾技术务虚会之智驾技术栈讨论 其一
cy1641395022的博客
07-10 689
Autoware.universe 高效学习第三章 -- 智驾技术务虚会之智驾技术栈讨论 其一
ROS基础学习-ROS运行管理
周陽讀書
07-11 754
ROS运行管理。
Python 学习中什么是异常处理,如何使用 try、except、finally ?
最新发布
Itmastergo的博客
07-12 728
异常是程序执行过程中发生的非正常事件,这些事件会中断正常的程序指令流。当程序遇到错误时,Python 会抛出一个异常对象,异常对象包含了错误的类型和相关的信息。
fastjson rce
09-16
Fastjson RCE(Remote Code Execution)是指在使用Fastjson这个Java库时,存在远程代码执行的风险。在Fastjson版本1.2.24及以下的版本中,存在RCE问题。这个问题是由于Fastjson引入了AutoType特性,但在安全方面的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值