[DefCamp CTF]para-code

最新推荐文章于 2023-11-05 23:02:59 发布
最新推荐文章于 2023-11-05 23:02:59 发布
阅读量311 收藏
点赞数
分类专栏: ctf 文章标签: php web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/122976355
版权

1NDEX

0x00 前言

本来想今天写的,结果比赛环境关了
幸好手里还有源码

<?php
require __DIR__ . '/flag.php';
if (!isset($_GET['start'])){
    show_source(__FILE__);
    exit;
} 

$blackList = array(
  'ss','sc','aa','od','pr','pw','pf','ps','pa','pd','pp','po','pc','pz','pq','pt','pu','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','pf','pz','pv','pw','px','py','pq','pk','pj','pl','pm','pn','pq','ls','dd','nl','nk','df','wc', 'du'
);

$valid = true;
foreach($blackList as $blackItem)
{
    if(strpos($_GET['start'], $blackItem) !== false)
    {
         $valid = false;
         break;
    }
}

if(!$valid)
{
  show_source(__FILE__);
  exit;
}

// This will return output only for id and ps. 
if (strlen($_GET['start']) < 5){
  echo shell_exec($_GET['start']);
} else {
  echo "Please enter a valid command";
}

if (False) {
  echo $flag;
}

?>

原环境中无写权限
若有写权限可参考

CTF中字符长度限制下的命令执行 rce(7字符5字符4字符)汇总

0x01 brain.md

可知flag.php在同目录下
只给四字符长度rce
最后一个echo $flag条件判定永远为false
只能通过得到flag

shell_exec($_GET['start']);

知识扩展

linux m4

GNU M4 是传统 Unix 宏处理器的实现
那么什么又是宏处理器呢

宏处理器

参考宏处理器与预处理器的区别
许多汇编语言支持“宏”功能,在此宏语句在被翻译成机器程序之前将被翻译成一系列汇编语言语句和可能的其他宏语句。因此,宏工具是一种文本替换能力。

它可以说明宏的效用,考虑这样一种情况,其中一台机器没有单个机器或汇编语言语句将一个内存地址的内容添加到另一个内存地址作为假设的汇编指令 ADD X, Y。相反,假设机器有一条指令 LOAD,将数据从内存移动到寄存器,一条指令 ADD,将内存地址的内容添加到寄存器的内容,以及一条指令 STORE,将数据从寄存器移动到内存。

通过使用这些指令,它可以使用宏定义创建“双地址添加”指令,如下所示 -

MACRO
ADD2    X, YLOAD    YADD     XSTORE   Y
ENDMACRO

第一条语句将宏命名为 ADD2 并定义其伪参数,即形式参数 X 和 Y。

接下来的三个语句定义了宏,即它们给出了它的翻译。可以假设机器只有一个寄存器,所以没有问题 LOAD 和 STORE 指的是什么寄存器。它可以将 ADD2 用作普通的汇编语言操作代码。

用作文本替换工具
实例演示

https://blog.csdn.net/vc66vcc/article/details/77961964

直观地实操一下

在这里插入图片描述
在这里插入图片描述
一般的靶机中都不会安装该指令
所以只做基础示范
增加一下读取文件的姿势
so payload

/?start=m4 *
k_du1t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rce漏洞,涉及函数及绕过
2202_75361164的博客
09-18 337
rce漏洞,涉及函数以及绕过
CTF中字符长度限制下的命令执行 rce(7字符5字符4字符)汇总
热门推荐
Love&Share
10-21 1万+
七字符rce 源码 <?php highlight_file(__FILE__); if(strlen($_GET[1]<7)){ echo strlen($_GET[1]); echo '<hr/>'; echo shell_exec($_GET[1]); }else{ exit('too long'); } ?> #写入语句 <?php eval($_GET[1]); #base64编码后 PD9waHAgZXZhbCgkX0dFV
rce总结,绕过手法+危险函数举例
2202_75361164的博客
11-05 1375
rce总结,绕过手法+危险函数举例
ctfshow七夕杯2022
Pysnow's Blog
08-06 1149
https://pysnow.cn/archives/281/
tp5restful API的搭建(2)
梦情与你的博客
12-19 1万+
同学们好,嘿嘿。最近时间比较充足。多写一些心得。大家共同探讨交流。 上一节我们聊到api的基本操作,今天我们说一下上传功能。基本的上传功能,我这里说两种方式。 首先路由设置 Route::post(':version/upload', 'api/:version.News/upload'); 一. $_FILES $_FILES[“file”][“name”] - 被上传文件的名称 $_FI...
ctf-all-in-one
最新发布
01-30
ctf-all-in-one
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF指南-常规的CTF题目解析.pptx
10-12
CTF指南-常规的CTF题目解析
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
四字符五字符getshell
flying_bird2019的博客
02-01 774
参考 五字符 <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) { @exec($_GET['cmd']); } else if (isset($
CTF中WEB题——RCE
tomyyyyy
10-31 6091
CTF中WEB题——RCE 目录CTF中WEB题——RCE相关函数命令执行代码注入绕过方式空格命令分隔符关键字限制长度限制回显无字母、数字getshell异或取反自增实例相关函数 命令执行 system() #string system ( string $command [, int &$return_var ] ) #system()函数执行有回显,将执行结果输出到页面上 &lt...
RCE总结
Ciyaso的博客
07-22 5956
一、RCE的定义 RCE英文全称:remote command/code execute 分为远程命令执行ping和远程代码执行evel。 漏洞出现的原因:没有在输入口做输入处理。 我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞。 二、RCE利用
RCE远程代码执行漏洞(原理、危害、拼接字符、DVWA、pikachu、防御)
m0_61506558的博客
08-07 1188
什么是远程代码执行。
ctfshow七夕杯复现
qq_63928796的博客
08-08 785
得到一个ctfshow,题目说是lsb,猜测是lsb加密隐写,ctfshow为key解密得到。既然是eval就是代码执行,但是又不能用括号,那么只能用不用括号的函数了,那么答案很显然。那么思路有了,要使用include来执行代码,那么显而易见,肯定要用到。然后过滤了一大堆符号,这种就是最直接的提示,没过滤哪个,就用哪个。从题目代码来看,是输入3个值,分别是num1、符合值、num2。但是呢,题目不能用括号和< 随意需要对执行的代码进行编码。得到一个没有后缀的文件,放到010查看。正常的伪协议包含是这样的。.
位数固定可控字符的任意命令执行
东方
09-03 711
文章目录15长度:七个字符: 15长度: 思路分两种: 1 是直接写 2 是从外部服务器下载 比如 限制字数没有限制次数: 依次追加写入就好了~~ 七个字符: p神写的牛逼! ...
命令注入突破长度限制 | 从CTF题目讲起
纸房子
12-03 7087
在命令注入中往往会存在注入命令的长度过短的情况,无法将全部命令完全的输入进去,这种情况下就需要我们来想办法突破系统命令长度的限制。我们从三道CTF题目来讲解一下这种渗透策略。一.BabyfirstSovled: 33 / 969 Difficulty: ★★ Tag: WhiteBox, PHP, Command InjectionIdeaUse NewLine to bypass regula
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git的泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值