CTFshow-命令执行

已于 2022-07-15 18:22:13 修改
阅读量728 收藏 2
点赞数 1
文章标签: 大数据
于 2022-07-04 20:28:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60905276/article/details/125597971
版权

1.web29

分析一波

error_reporting(0);          //排除错误
if(isset($_GET['c'])){       //get传参不为空,执行if语句
    $c = $_GET['c'];         //get传参,赋值给变量c
    if(!preg_match("/flag/i", $c)){   //过滤flag
        eval($c);            //执行c表达式
    }
    
}else{
    highlight_file(__FILE__);
}

命令执行查看有哪些文件

既然不能直接看flag,那就把flag复制到别的文件,再看

等等flag被过滤了,所以不能直接用。

通配符绕过

???在linux里面可以进行代替字母

/???/c?t flag.txt

*在linux里面可以进行模糊匹配

cat flag.* *进行模糊匹配php

?代表一个字符

*代表一串字符

看结果

2.web30

 这个就是过滤flag,system,php

我用闭合代替system函数,就是用``把它包起来。

在计算机方面还是很常见的。

3.web31

 

还是过滤flag,sysytem,php,cat,sort,shell,.,`

我们想想怎么绕过吧。

嵌套异或逃逸

先给c传一个1,再用&给1赋值。跳过对c的绕过

 查看

4.web32

/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i

以上字符被过滤了,特别是空格和分号,括号。

空格可以用%0e

分号用?>

不能用带括号的函数,可以用include(文件包含)以及php伪协议filter://访问文件

?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

简单解释一下这个东西:php://filter

这是一个中间件,在读入或写入数据的时候对数据进行处理后输出的一个过程。

这个东西可以获取指定文件的源码,当它与包含函数结合时会将其作为php文件执行。

而这时我们一般将其编码而阻止其作为php文件执行从而获得编码后的源码。

我们通过convert.base64-encode将源码进行base64编码,它就能输出编码后的源码了,而不是作为php文件被执行。

得到后再解码就完事了。

 5.web33

 /flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i

这个多过滤了"不过对我们在web32构造的payload没有影响

直接套上去。

6.web34

7.web35

以上都是和web33一个解法没必要细讲了。

8.web36

/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i

过滤了数字。

我们可以用字母代替数字的索引,用a代替1。

可以了。

9.web37

 这和前面的题很不一样了,这是个文件包含漏洞,同时还过滤了flag。

利用php伪协议中的data协议。

data://伪协议:

数据流封装器,以传递相应格式的数据。可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。

/?c=data://,<?php system("cat fla*.php");?>

搞定。

10.web38

这次过滤了php和file。

所以不能用php和file伪协议。

不过我想起在之前做文件上传题时就遇到过的短标签。

简单的文件上传做题步骤_留将一面与花的博客-CSDN博客

短标签

PHP中有两种短标签,<??>和<?=?>。其中,<??>相当于对<?php>的替换。而<?=?>则是相当于<? echo>。

<??>这个并不是非常适用。

/?c=data://,<?= system("cat fla*.ph*");?>

11.web39

 同上,不过是在c上多加一个.php的后缀。

不过这个是无效的。

因为data协议后就是将其看作php文件来执行了,如下整个PHP已经闭合了,.php后缀不能影响它了,而是做为html页面显示。

/?c=data://,<?= system("cat fla*.ph*");?>

 如上图,证实了我的想法。

12.web40

 过滤了数字和大部分符号,但是英文的()和中文的()是不一样的。

这里过滤的是中文的()。

先来熟悉一下,这些的php函数

get_defined_vars() 返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。
array_pop() 是删除并返回数组最后一个元素。
current() 返回数组中的当前元素的值。
next() 返回数组中的下一个元素的值。

print_r() 将把数组指针移到最后边。可以使用 reset() 可让指针回到开始处。

用get_defined_vars()获取所有已经定义的变量。我们发现post数组为空还有刚刚GET传入值出现在get数组还有数组的末端。

 用post提交参数,cmd=phpinfo();
发现post数组里面传入了值,数组末尾并没有新增元素

用 array_pop取出数组最后一个元素,这时候拿到的还是数组末尾的元素[c],因为没有源码没有定义变量来接收post的值。

由于get_defined_vars()返回的是一个多维数组,我们用current()可以获取到GET数组,用next()可以获取到POST数组,然后用array_pop()取出POST数组里面的元素,最后用eval执行。

13.web41

 太变态啦,字母和数字都过滤了,还有使得异或,自增和取反的符号也没有啦。不过留了个|可以进行或。

经典无数字字母绕过正则表达式。

不了解什么是异或,自增和取反的朋友可以看一下下面的文章。

https://www.icode9.com/content-4-1177387.html

然后借用这个大神的php脚本过滤出正则匹配,得到能用的或字符。

借用脚本就可以了。

 

留将一面与花
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFSHOW web入门——web32
m0_74093152的博客
04-23 468
因此可以构造payload:?可以将flag.php文件的内容转变成base64,然后将转换过的flag.php文件赋给a,再将a中的内容显示出来,最后将文件内容进行base64解码即可。过滤了flag、system、php、cat、sort、shell、echo以及一些符号。=是PHP的一个短的开放式标签,是echo()的快捷用法。
Ctfshow web入门-web32
qq_45427131的博客
05-13 1616
Ctfshow web入门-web32 WP 拿到url,首先查看源码 过滤了以下字符串 flag|system|php|cat|sort|shell|.| |’|`|echo|;|( 过滤了空格可以用${IFS}和%0a 代替,分号可以用?>代替 但是过滤了括号之后就不能用带有括号的函数,php中include是可以不带括号的函数,和web31一样,这里需要用文件包含 所以构造的Payload是 payload:http://url/?c=include%0a$_POST[1]?>
ctfshow-web入门-命令执行web30-web36)
最新发布
Welcome To Myon'Blog !
06-06 1010
命令执行,需要严格的过滤。
[CTFSHOW]命令执行
热门推荐
Y4tacker的博客
11-20 1万+
文章目录web 29web 30web 31web32web40参考文章 web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 我这里只想到五种简便的方法: 通配符 payload1:c=syst
CTFshow 命令执行 web32 33 34 35 36
ChenD的学习笔记
11-08 890
CTFshow 命令执行 web32 web33 web34 web35 web36
ctfshow---命令执行
fainpo的博客
03-20 1336
就是让标准输出重定向到/dev/null中(丢弃标准输出),然后错误输出由于重用了标准输出的描述符,所以错误输出也被定向到了/dev/null中,错误输出同样也被丢弃了。data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么作用。$((~$(( $((~$(())))+$((~$(())))+$((~$(()))) )))) 这个是2。
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
02-21
目标是通过构建特定的payload来实现命令执行,并最终获取到flag。 #### 代码分析 首先,我们来看一下题目提供的PHP代码片段: ```php if(isset($_POST['c'])){ $c = $_POST['c']; if(!preg_match('/[0-9]|[a-z]...
CTFShow-周末大挑战parse-url篇Writeup
05-19
这表明服务端没有对用户输入进行充分的过滤或转义,允许了任意命令执行。 第二关中,URL编码的方式被用来绕过过滤。`%68%74%74%70%3a%2f%2f%64%61%74%61%3a%3a%2f%2f%74%65%73%74%2f%70%6c%61%69%6e%3b%62%61%73%65...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
《CTFshow-Web入门》04. Web 31~40
学习学习学习......
12-03 995
eval() 利用与正则绕过,PHP 伪协议、include() 利用。
ctfshow 命令执行
m0_74097148的博客
05-21 3566
dev/null文件可以被看作是一个“黑洞”文件。它等价于一个只写的的文件。所有写入它的内容都会永远丢失(因为不可读)。这里说flag在36.php中,那么我们想办法构造处36即可.这里参考大佬的做法。/dev/null 2>&1主要意思是不进行回显,让命令回显,我们进行命令分隔。如下图第一个元素为点号。
ctfshow-web32(命令执行)
m0_62094846的博客
01-21 323
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:56:31 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); if(isset($_GET['c'])...
ctfshow-命令执行-web32
weixin_43400535的博客
10-28 827
ctfshow-web32 题目描述: 原理: 同web29 审计: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:56:31 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_r
CTFshow 命令执行 web32
Kradress的博客
10-29 349
源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:56:31 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); if(isset($_GET['c']))
ctfshow web入门---文件执行 解题思路
qq_73767109的博客
04-20 840
ctfshow web入门(web29-web59)解题思路与方法
CTFSHOW 命令执行
asmartrman的博客
09-27 2244
ctfshow-web入门-命令执行板块(持续更新)
ctfshow web入门 命令执行部分(32-36)
羽的博客
09-05 3280
以下目测均为非预期 32 这个题过滤了空格属实有点难受,php中不用括号的有echo include等 过滤了分号可以用?>绕过。 尝试了以下,发现 include"/etc/passwd"?>可以执行成功。再去想下没有过滤$,我们可以用$_POST[1]呀include"\$_POST[1]"?>然后post传参1=/etc/passwd执行成功。还有一个问题include包含php文件不会在页面显示出来,灵机一动,伪协议呀!完美 33 payload ?c=include$_POST
ctfshow sql
08-03
回答: 要在ctfshow数据库中执行SQL查询和获取数据,可以使用sqlmap工具。首先,使用以下命令查询ctfshow_user表的列名:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --columns。[1]接下来,使用以下命令来查询和获取ctfshow_user表中的数据:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[2]如果你只想直接获取最后一步的数据,可以使用以下命令:python sqlmap.py -u "http://b794446b-7f11-4600-beba-3de5961369b7.challenge.ctf.show/api/" --data="id=1" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[3]这些命令将帮助你在ctfshow数据库中执行SQL查询和获取数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值