ctf命令执行小结

最新推荐文章于 2025-04-14 16:49:20 发布
最新推荐文章于 2025-04-14 16:49:20 发布
阅读量4.6k 收藏 10
点赞数 1
分类专栏: ctf 命令执行 文章标签: 命令执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Yu_csdnstory/article/details/102029418
版权
本文总结了CTF中常见的命令执行相关函数和技术,包括eval()、assert()、call_user_func()、create_function()、preg_replace()、array_map()等函数的用法,以及exec、passthru()、shell_exec()等系统函数的命令执行方式。文章还讨论了如何通过符号执行、空格代替、DNSlog等方法实现无回显的命令执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.相关函数

eval()

eval函数能够将字符串当作命令去执行

需要被执行的字符串

代码不能包含打开/关闭 PHP tags。比如, ‘echo “Hi!”;’ 不能这样传入: ‘<?php echo "Hi!"; ?>’。但仍然可以用合适的 PHP tag 来离开、重新进入 PHP 模式。比如 ‘echo “In PHP mode!”; ?>In HTML mode!<?php echo “Back in PHP mode!”;’。

除此之外,传入的必须是有效的 PHP 代码。所有的语句必须以分号结尾。比如 ‘echo “Hi!”’ 会导致一个 parse error,而 ‘echo “Hi!”;’ 则会正常运行。

return 语句会立即中止当前字符串的执行。

代码执行的作用域是调用 eval() 处的作用域。因此,eval() 里任何的变量定义、修改,都会在函数结束后被保留。

返回值
eval() 返回 NULL,除非在执行的代码中 return 了一个值,函数返回传递给 return 的值。 PHP 7 开始,执行的代码里如果有一个 parse error,eval() 会抛出 ParseError 异常。在 PHP 7 之前,如果在执行的代码中有 parse error,eval() 返回 FALSE,之后的代码将正常执行。无法使用 set_error_handler() 捕获 eval() 中的解析错误。

例如

<?php
highlight_file(__FILE__);
$b='phpinfo()';
$a='phpinfo();';
eval($b);
eval($a);
//eval用来将字符串当作命令执行
?>

在php7的版本以下,eval($b)出现parse error ,但后面的代码依然执行.如果把版本切换至php7就会直接出错,后面代码不会执行

assert()

bool assert( mixed $assertion[, string $description] )
如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。

测试:

<?php
error_reporting(E_ALL);
highlight_file(__FILE__);
#$a='echo 12345;';
#assert($a);
#assert('echo "456";');
$a=(array)base64_decode($_POST['a']);
array_map(assert,$a);
echo '123';
?>

构造post a=ZXZhbCgncGhwaW5mbygpOycp 执行成功

call_user_func(

call_user_func( callable $callback[, mixed $parameter[, mixed $…]] )

call_user_func — 把第一个参数作

最低0.47元/天 解锁文章
命令执行类型CTF题目总结
Lelouch_E的博客
11-25 1501
命令执行类型CTF题php命令执行buu Online Tool禁止套娃 php命令执行 buu Online Tool 一段php代码审计: 大致意思是获取x-forward-for头后与glzjin拼接创建文件夹,将传入参数host通过escapeshellarg和escapeshellcmd方法转义后,转到之前创建的文件夹目录,执行nmap命令。 如果两方法以上述顺序执行会有绕过漏洞 传入的参数是:172.17.0.2‘ -v -d a=1 经过escapeshellarg处理后变成了’17
ctf命令执行漏洞绕过方式小结
小飒的博客
08-06 3929
测试环境: 本地:Win10 phpstudy8.1 kali2020.2 外网:单位提供的linux靶机 一、命令分隔符 %0a – 换行符, %0d – 回车符, ; – 连续指令 && – | – || – 二、空格 < <> %09 $IFS$9 ${IFS} 三、读文件 (1)more:一页一页的显示档案内容 (2)less:与 more 类似,但是比 more 更好的是,他可以[pg dn][pg up]翻页 (3)head:查
CTF-命令执行部分总结
weixin_44770698的博客
05-29 1942
因为自己是小白,还是想着尽量快一点的学习到许多知识,最近又做了CTFshow里面的部分萌新题,这里总结一下其中的部分萌新WEB题。 web 9 要求我们使用GET方式传入c参数,参数中还要匹配到system或者exec等关键字,这里算是一个小坑,还以为是不能有这些关键字,还尝试了passthru、和拼接绕过......很尴尬。 这个比较简单我们使用system来执行查看config.php就可以了。 web 10 这个题的含义就是正则匹配到system、exec等,则会提示你cmd e
数组绕过 + call_user_func 调用静态变量 -- SQCTF WP baby rce
最新发布
weixin_59166557的博客
04-14 97
【代码】数组绕过 + call_user_func 调用静态变量 -- SQCTF WP baby rce。
CTF命令执行部分总结
weixin_44770698的博客
12-19 453
CTF命令执行
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1372
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
CTF命令执行知识点总结
Hello_super的博客
09-17 1323
分隔命令 ; # 分号隔开每条命令,整行命令按照从左到右的顺序执行,彼此之间互不影响,所有的命令都会执行。 | # 只执行后面那条命令。 || # 只执前面那条命令。 & #两条命令都会执行。 && # 两条命令都会执行。 空格绕过 < <> # 需要写的权限 ${IFS} $IFS$9 %20 %...
ctf线下赛mysql密码_CTF线下赛AWD小结(搬运+整理)
weixin_39963440的博客
02-01 373
AWD模式简介AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下);可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析;flag在主办方的设定下每隔一定时间刷新一轮;各队一般都有自己的初始分数...
ctf php侧漏,ctf中常见的PHP漏洞小结
weixin_39588252的博客
04-01 1561
ctf中常见的PHP漏洞小结在做ctf题的时候经常会遇到一些PHP代码审计的题目,这里将我遇到过的常见漏洞做一个小结。md5()漏洞PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。常见的payload有QNKCDZO24061070...
7z apache解析漏洞_CTF线下赛AWD套路小结
weixin_36431035的博客
01-13 799
最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了。一、 AWD模式简介AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下);可能会提供一台流量分析...
CTF下的命令执行
Lemon's blog
04-28 1万+
前言: 之前学习过命令执行,但不是太深入,这次通过题目的训练来深入学习一下命令执行
[GXYCTF2019]Ping Ping Ping {命令执行总结}
qq_42812036的博客
02-13 6133
0x00 知识点 命令注入 绕过空格、敏感字符、连接符 0x01 解题 方法一 内联执行 payload ?ip=1;a=f;d=ag;c=l;cat$IFS$a$c$d.php ps: 参数顺序要注意,adc换位acdflag会被检测出来:) 过滤了?/\{}()[]* 否则bash语法可以用“?”,正斜杠“/”,数字和字母来执行系统命令。 过滤空格 1.使用<或者<&gt...
CTF之eval
qq_74263993的博客
04-27 1073
_REQUEST变量是一个关联数组,它的键是表单元素的名称,值是用户输入的数据。通过$_REQUEST变量,可以访问表单中所有输入字段的值,不论它们是使用GET、POST还是COOKIE方法提交的。在PHP中,$_REQUEST是一个超全局变量,用于收集HTML表单提交的数据。如果代码中存在解析错误,则 eval() 函数返回 false。hello=show_source('flag.php')该字符串必须是合法的 PHP 代码,且必须以分号结尾。
CTF-WEB-eval
nive15的博客
11-05 303
用dirsearch扫描一下,发现flag.php,那么答案可能就在flag.php文件里。var_dump() 用于输出一个或多个表达式的类型和值。$request可用于接受get和post传递的函数。include是将flag.php包含进入页面代码。eval可以把字符串作为PHP命令执行。按下回车后单引号会变成%27。@符号用来抑制错误报告。
ctf (easy_eval)
Glacier_Mount的博客
07-02 1892
反序列化、redis
CTF练习题[WEB]-eval
weixin_45246254的博客
10-11 3712
https://ctf.bugku.com/challenges/detail/id/75.html?page=4 拿到题目如下 此题是php相关 var_dump函数打印a变量 <?php include "flag.php"; ## 引入flag.php $a = @$_REQUEST['hello']; ##a接收hello变量 eval( "var_dump($a);"); ##var_dump打印a变量 show_source(__FILE__)
CTF/CTF练习平台-本地包含【eval函数闭合及代码段的理解】
热门推荐
Sp4rkW的博客
08-21 4万+
原题内容: 地址:http://120.24.86.145:8003/ 怎么说呢,难其实也不难,还是基本知识点掌握不足吧,写个wp记录下自己学习到的知识点 &lt;?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(_...
BugkuCTF-WEB题eval
am_03的博客
08-25 1410
基础知识: var_dump() 函数用于输出变量的相关信息。 var_dump() 函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。 此题考察php相关 include是将flag.php文件包含进页面代码 $request可用于接受get和post的传递的参数 eval函数可以把字符串作为php命令执行 知道这些你就可以用get方法传递hello变量,并在hello其内写入查看flag.php的命令了 ?hello=file(‘flag.php’)
ctf 命令执行绕过
01-15
### CTF 比赛中的命令执行绕过技巧 在CTF竞赛中,面对命令执行漏洞时,攻击者常常遇到各种过滤机制。为了成功实施渗透测试并完成挑战,掌握不同的绕过技术至关重要。 #### 使用截断符号 当题目提供了一个可控制的部分作为参数传递给某个系统调用时,可以通过尝试不同类型的截断字符来分割原有逻辑与自定义指令之间的联系[^2]。例如,在允许用户提交IP地址供`ping`使用的场景下: ```bash 127.0.0.1; ls / ``` 这里的分号(`;`)即为一种简单的命令链结束符,使得后续任意合法shell语句得以被执行。 #### 利用环境变量和间接引用 某些情况下直接输入特殊字符可能被严格限制,此时可以考虑借助环境变量或通过其他方式引入恶意负载。比如PHP环境中存在`${}`语法支持动态解析字符串表达式,这便成为了一种潜在的突破口[^4]: ```php ${system('whoami')} ``` 上述代码片段展示了如何利用 `${}` 结构嵌入 `system()` 函数调用来获取当前用户的名称信息。 #### 替代字符集编码 如果目标应用对特定字符进行了黑名单处理,则可通过URL编码、十六进制转义序列等方式改变敏感字符的表现形式而不影响其实际意义。例如将反引号替换为其对应的HTML实体表示法(`)以规避检测: ```html `/bin/cat flag.txt` ``` 此操作最终会被解释器还原成原始形态从而触发预期行为——读取文件内容。 #### 组合多阶段载荷 考虑到单一手段未必能突破所有防护措施,组合运用前述各项策略往往能够提高成功率。先发送看似无害的数据包建立初步交互通道,再逐步注入更复杂的有效载荷直至达成目的。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值