[ACTF2020 新生赛]Exec

最新推荐文章于 2024-05-16 14:19:51 发布
最新推荐文章于 2024-05-16 14:19:51 发布
阅读量2.4k 收藏 3
点赞数 1
分类专栏: # buu练习记录 文章标签: linux web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45925514/article/details/124757675
版权

[ACTF2020 新生赛]Exec

正常输入一个ip地址进行ping操作,然后使用BP抓个包看看

image-20220503210545471

image-20220503210650355

先试试最常见的命令执行

image-20220503210754216

发现正常的回显了,可以利用 cat 的命令 Linux常用命令 查看 flag 文件。

image-20220503212444190

image-20220503212528595

[SUCTF 2019]EasySQL

抓个包看看

image-20220504114737132

初次测试,发现这里是存在 数字型注入 的,然后又发现很多的关键字都被过滤了

image-20220504114847843

image-20220504114905179

image-20220504114937420

最后发现,可以使用show,进行堆叠注入,但是发现 flag 和 from 也都被过滤掉了

image-20220504115237554

image-20220504115349178

image-20220504115411982

无奈的我就去找 writeup 了,有大佬文章直接给出了源码,发现过滤一大堆的关键字。

<?php
    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
    ?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php

    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile
        			|readfile|where|from|union|update|delete|if|sleep|extractvalue|
    			    updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }
    
    ?>

发现过滤的字段中没有过滤 selectset ,而且接入的查询语句中是 “select “.$post[‘query’].”||flag from Flag”; 这样的。

# 输入的字符串
0;show tables;
# 拼接后的查询语句
select 0;show tables;select 1||flag from Flag;

这里的 逻辑或 || 并没有直接执行,根据文章中的说法,这里的 || 并没有作用,因此使用 set 命令修改一下sql的模式, sql_mode了解sql_mode

set sql_mode = PIPES_AS_CONCAT;
# 将"||"视为字符串的连接操作符 而不是 逻辑或运算符 和字符串的拼接函数concat()类似
# 设置完成后,再进行查询
set sql_mode = PIPES_AS_CONCAT;
select a||hello from c;
# 结果是:ahello
# 将 a 和 hello 拼接在一起,和concat('a','hello')一样

再使用堆叠进行查询

image-20220504122728544

# sql_mode常用值及描述
ONLY_FULL_GROUP_BY:对于GROUP BY聚合操作,如果在SELECT中的列,没有在GROUP BY中出现,那么这个SQL是不合法的,因为列不在GROUP BY从句中
NO_AUTO_VALUE_ON_ZERO:该值影响自增长列的插入。默认设置下,插入0NULL代表生成下一个自增长值。如果用户 希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。
STRICT_TRANS_TABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制
NO_ZERO_IN_DATE:在严格模式下,不允许日期和月份为零
NO_ZERO_DATE:设置该值,mysql数据库不允许插入零日期,插入零日期会抛出错误而不是警告。
ERROR_FOR_DIVISION_BY_ZERO:在INSERTUPDATE过程中,如果数据被零除,则产生错误而非警告。如 果未给出该模式,那么数据被零除时MySQL返回NULL
NO_AUTO_CREATE_USER:禁止GRANT创建密码为空的用户。
NO_ENGINE_SUBSTITUTION:如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常。
PIPES_AS_CONCAT:将 || 当作连接操作符使用,如concat() 函数的作用。
ANSI_QUOTES:启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符。
iKnsec
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体为近SN—NNE向。通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对...
Jeopardy-Writeups:SniperOJ的CTF挑战比
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
BUUCTF [ACTF2020 新生]Exec
m0_49025459的博客
04-18 1467
题目 输入127.0.0.1|ls /看根目录 | 输入127.0.0.1|cat /flag看flag 这道题就是利用管道符来做 可以直接在ping输入框中输入1;cat /fag;也可以 1|cat /flag 1&cat /flag 当然如果使用 ||必须需要前面是一个假的,就是前面条件为假才执行后面的否则只执行前面的 所以可以用 a||cat /flag 以上方法都可以得到结果 1、|(就是按位或),直接执行|后面的语句 2、||(就是逻辑或).
Buuctf-Web-[ACTF2020 新生]Exec 题解&amp;思路总结_actf新生
最新发布
2401_84968101的博客
05-16 403
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
BUUCTF-[ACTF2020 新生]Exec1
qq_59607911的博客
11-02 362
php模拟我们常用的DOS命令ping命令的方法,主要用到的是php的内置函数exec来调用系统的ping命令,从而实现ping命令功能的。从而想到通过exec函数来进行RCE。本题主要考察对rce漏洞里面一些漏洞的使用。
[ACTF2020 新生]Exec1
m0_75178803的博客
10-11 687
windows有多个磁盘所以就会有‘多个根目录’,在dos命令模式下,在D盘的某文件夹中输入‘cd/’命令回车后会直接回到D盘的根目录。‘/’在linux中表示根目录。而windows表示目录的方式与Linux有所不同,Windows下有磁盘分区的概念,而Linux下只有目录的概念,所以‘/’所表示的意义在两个系统中有所不同。原理:web应用在调用这些函数执行系统命令的时候,在没有做好过滤用户输入的情况下,如果用户将自己的输入作为系统命令的参数拼接到命令行中,就会造成命令注(命令执行)的漏洞。
BUUCTF————[ACTF2020 新生]Include
qq_61579604的博客
11-02 126
主要有四种:字符串过滤器,转换过滤器,压缩过滤器,加密过滤器。filter里可以用一或多个过滤器(中间用|隔开),这也为解题提供了多种方法,灵活运用过滤器是解题的关键。php://filter与包含函数结合时,php://filter流会被当作php文件执行。是php中独有的一个协议,可以作为一个中间流来处理其他流,可以进行。file=flag.php猜测是一个文件包含漏洞。
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
MATLAB(Matrix Laboratory)是一种强大的数学计算软件,广泛应用于工程计算、数据分析、算法开发和图形化界面构建等领域。本资源“matlab的90个实例.rar”提供了MATLAB的基础知识,通过90个实例帮助初学者掌握其...
NTFS文件系统分析
09-19
NTFS文件系统分析,比较详细的介绍,各个元文件的定义,偏移
光立方888 573 2803程序
06-14
光立方是一种创新的LED显示技术,它通过三维立体排列的LED灯珠,形成一个透明、可编程的灯光展示装置。这种技术广泛应用于艺术展览、舞台效果、广告展示等领域,因其独特的视觉效果和高度的可定制性而备受青睐。...
PPJEmailPicker:UITextField替换以选择多个电子邮件
05-16
(PPJEmailPicker *) createAutoCompleteFieldWithFrame:( CGRect )frame{PPJEmailPicker * actf = [[PPJEmailPicker alloc ] initWithFrame: frame];actf. pickerDelegate = self;actf. possibleStrings = [...
fanuc函数翻译对比.doc
06-07
FANUC函数提供了多种控制轴和主轴相关的函数,例如`cnc_actf`函数用于读取实际轴进给速度,而`cnc_absolute`函数用于读取轴绝对位置。这些函数可以帮助开发者更好地控制和操作机床的控制轴和主轴。 机床状态函数 ...
focas2接口中文文档
07-28
1. `cnc_actf`:读取实际轴进给率(F),返回实际轴进给率的值。 2. `cnc_absolute`:读取绝对轴位置,返回绝对轴位置的值。 3. `cnc_absolute2`:读取绝对轴位置 2,返回绝对轴位置 2 的值。 4. `cnc_machine`:...
eclips3.7 汉化包
10-05
BabelLanguagePack-technology.actf-zh_3.7.0.v20110723043401.zip (4.46%) BabelLanguagePack-technology.bpel-zh_3.7.0.v20110723043401.zip (21.06%) BabelLanguagePack-technology.egit-zh_3.7.0.v...
[ACTF2020 新生]Exec 1
weixin_63139305的博客
05-04 204
& 如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令(顺序执行) #ls && whoami。|| 如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 #dir || whoami。&& 如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令 #dir && whoami。|| 如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 #ls || whoami。&前面和后面命令都要执行,先执行前面的语句,无论前面真假 #ls & whoami。尝试使用管道符进行拼接。
[ACTF2020 新生]Include WriteUp(超级详细)
lunan的博客
04-22 1865
[ACTF2020 新生]Include   打开靶机发现一个超链接,点击之后出现一段话 “Can you find out the flag?” 查看源码注入,无果 仔细看url,发现有flag.php   根据题目提示,该题应该是文件包含漏洞,因此可以判断出此题是PHP伪协议题目,构造payload如下 ?file=php://filter/read=convert.base64-encode/resource=flag.php   此时可以得到base64的编吗后的
buuctf-[ACTF2020 新生]Exec(小宇特详解)
小宇的web博客
01-15 533
buuctf-[ACTF2020 新生]Exec(小宇特详解) 这里是ping,我首先想到了ping本地,然后用其他语句找到flag 后来看其他人的办法是进行了抓包 这里先用一个常用管道符 1.|(就是按位或),直接执行|后面的语句 2.||(逻辑或),如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 3.&(按位与),&前面和后面的命令都要执行,无论前面真假 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iKnsec

您的鼓励,是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值