Level 7
分析源码
- 直接定位到关键代码 `preg_match("/flag| /", $cmd)`
- 这次的[WAF] WAF 直接匹配了 `flag` 和 空格
解题分析
- 限制住了
flag, 可以通过通配符来绕过 - 那限制住了 空格, 应该如何分割命令与参数
- 这里就介绍几种方式, 来代替空格
$IFS在终端中, 其的默认值是空格、制表符和换行符?cmd=cat$IFS/fla?%09也就是Tab的 URL编码?cmd=cat%09/fla?
- 通过重定向的方式
?cmd=cat</fl"“ag
```
- 这段命令的意思是, 把/flag重定向给cat(这里使用”"进行绕过flag的过滤)
- 使用
{}, 这个只在 Shell 中生效{cat,/f'l'ag} - 这里用到了 花括号扩展-Shell命令, 具体用法如下
- 生成一系列字符串或路径
{a,b,c}扩展为a、b、c{1..5}扩展为1 2 3 4 5{a..z}扩展为从a到z的所有字母
- 还可以组合使用
file_{1..3}.txt扩展为file_1.txt file_2.txt file_3.txtecho {A,B}{1,2}会输出A1 A2 B1 B2
- 生成一系列字符串或路径
解题步骤
- 这里就不截图了
- 其实解析中已经给出很多个 Payload 了
Level 8
源码分析
- 这里不在有WAF了, 不过我们执行的命令似乎也显示不出结果了
- 定位到这句命令
system($cmd.">/dev/null 2>&1"); - 如果看完了
探姬写的注释- 应该明白了什么是
标准输出,标准输入,标准错误吧(还不明白看下文解题分析内的讲解) - 而上文的这句代码
>/dev/null, 把标准输出丢进了/dev/null中, 并且2>&1把报错也当成正常输出, 都不在会显示了
- 应该明白了什么是
- 那如何把 flag 显示出来?
解题分析
- 通过上面的分析, 明确了目标, 就是要把
标准输出正常显示出来, 而不是输出到/dev/null - 在解题前, 还是再学习一下
标准输出这些概念(引用了一下官方的WP)- 标准输入(stdin):文件描述符为0,通常关联着终端键盘输入
- 标准输出(stdout):文件描述符为1,通常关联着终端屏幕输出
- 标准错误(stderr):文件描述符为2,通常关联着终端屏幕输出
- 平时我们使用的"<“和”>"其实就相当于是使用"0<“和"1>”,下面是几种常见的使用示例:
符号 示例 解释 >echo "Hello" > file.txt将 echo的输出重定向到file.txt文件<wc -l < file.txt将 file.txt作为wc命令的输入>>echo "World" >> file.txt将 echo的输出以追加方式重定向到file.txt<<cat << EOF将输入的文本作为 cat命令的输入,直到遇到EOF结束<>cat <> file.txt以读写模式打开 file.txt并将其内容作为输入$> \vert $ echo “Override” $> \vert $ file.txt 强制覆盖写入到 file.txt文件,即使它具有写保护: >: > file.txt将 file.txt截断为0长度,或创建空文件>&nls >&2将 ls的标准输出和错误输出重定向到文件描述符n(如2为标准错误输出)m>&nexec 3>&1将文件描述符 3重定向到描述符1,即输出重定向到标准输出>&-exec >&-关闭标准输出 <&nexec <&0输入来自文件描述符 0(标准输入)m<&nexec 3<&0将文件描述符 3重定向到描述符0(标准输入)<&-exec <&-关闭标准输入文件描述符 <&n-exec <&0-重定向并关闭文件描述符 n(标准输入)>&n-exec >&1-重定向并关闭文件描述符 n(标准输出)- 注意: 第 6 行中, $> \vert $ 是
>|, 因为处于表格中|的渲染冲突无法正常显示, 所以使用这种格式
- 注意: 第 6 行中, $> \vert $ 是
那怎么解题呢
- 其实很简单, 只需要把后面的重定向截断就行
- 即在原本命令后面添加一个
;分号
?cmd=cat /flag;
解题步骤
- 直接上图, 不多说了
扫一扫
1258
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
