ctfshow web入门 命令执行部分 (37-40)

admin 2022年1月5日22:53:04CTF专场评论17 views1257字阅读4分11秒阅读模式

>

>

ctfshow web入门 命令执行部分 (37-40)

_yu_

因为是倒着做的,导致一些payload可以通杀,不利于萌新学习。希望各位给出一些其他的方法。

37

同39

38

日志包含可过,在UA中写入一句话,然后直接包含日志文件/var/log/nginx/access.log
data伪协议可过,payload:data:text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
按照出题人的想法肯定是让我们包含flag.php然后就会直接输出flag

39

限制了后缀,我们可以试试伪协议,因为不能带有flag,所以filter协议和php://input也不好用了。
最后试了试data协议,发现成功了。

payload c=data:text/plain,<?php system('cat f*')?>
这样就相当于执行了php语句<?php system('cat f*')?>.php
因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么作用。

40

具体做法可以参考下GXYCTF的禁止套娃

仔细看下题会发现过滤的不是英文括号,而是中文括号。
所以基本的命令都可以用,但是很难受的是引号没了,美元符号没了。
1、利用session
一开始我想的是利用session_id(),首先修改下cookie中的PHPSESSID 内容为ls
在这里插入图片描述

然后输入 c=session_start();system(session_id());发现可以执行。
ctfshow web入门 命令执行部分 (37-40)
接着直接改成 c=session_start();highlight_file(session_id());然后PHPSESSID的值修改为flag.php就出问题了。
经过测试发现,受php版本影响 5.5 -7.1.9均可以执行,因为session_id规定为0-9,a-z,A-Z,-中的字符。在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。
因此可以另寻他法了,如果有师傅用sessionid做出来,希望评论下面指正我上面的说法。
2、读文件+数组改造
先把payload写下 highlight_file(next(array_reverse(scandir(pos(localeconv())))));
需要用到的函数
localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
pos():返回数组中的当前元素的值。
array_reverse():数组逆序
scandir():获取目录下的文件
next(): 函数将内部指针指向数组中的下一个元素,并输出。
首先通过 pos(localeconv())得到点号,因为scandir('.')表示得到当前目录下的文件,所以
scandir(pos(localeconv()))就能得到flag.php了。具体内容如下
在这里插入图片描述

我们的目的很明确,得到倒数第二个元素。直接将数组逆序在将指针调整到下一个就好了。
ctfshow web入门 命令执行部分 (37-40)
ctfshow web入门 命令执行部分 (37-40)
在这里插入图片描述


特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月5日22:53:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  ctfshow web入门 命令执行部分 (37-40) http://cn-sec.com/archives/719483.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: