本文介绍了在CTF比赛中绕过空格过滤、利用多种命令分隔符和黑名单绕过的方法,详细讲解如何通过bash命令、msf反向连接、DNS管道解析以及利用php、python等环境反弹shell。提供了实战案例和相关资源链接。
1.绕过空格过滤
bash中可以过滤的符号
$IFS$9 ${IFS}
%09 (符号需要php环境)2.命令分隔符这里介绍5种姿势
1.%0a符号 换行符
2.%0d符号 回车符
3.;符号
在 shell 中,担任”连续指令”功能的符号就是”分号”
4.&符号 & 放在启动参数后面表示设置此进程为后台进程,默认情况下,进程是前台进程,这时就把Shell给占据了,我们无法进行其他操作,对于那些没有交互的进程,很多时候,我们希望将其在后台启动,可以在启动参数的时候加一个’&’实现这个目的。进程切换到后台的时候,我们把它称为job。
5.|符号
管道符左边命令的输出就会作为管道符右边命令的输入3.黑名单绕过
a=l;b=s;$a$b
base64编码
echo “dw5hbWU=”|base64 -d
继续补充一波,做ctf联系平台上面的题目发现存在反弹shell的姿势,然后咨询了一下pupil师傅,学习一波姿势
比赛又发现了这个
l\s是可以当做ls执行的!
最低0.47元/天 解锁文章
扫一扫
2541
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
