polarctf-web-[rce1]

考点:

(1)RCE(exec函数)

(2)空格绕过

(3)执行函数(exec函数)

(4)闭合(ping命令闭合)

题目来源:Polarctf-web-rce1

解题:

这段代码实现了一个简单的 Ping 测试工具,用户可以通过表单提交一个 IP 地址,服务器会执行 ping 命令并返回结果。

  1. 命令注入漏洞 (高危)
  • 漏洞位置 : $cmd = "ping -c 4 {$ip}";exec($cmd, $res);

  • 问题描述: 代码仅过滤了空格字符,攻击者可以使用以下方式绕过:

    • 使用制表符 %09 代替空格

    • 使用 ${IFS} (Bash 内部字段分隔符)代替空格(本题使用这个)

    • 使用重定向符号 <> 不需要空格

    • 使用 ;&&|| 等命令连接符

  • 攻击示例:

    php 复制代码
     127.0.0.1;cat${IFS}/etc/passwd
     127.0.0.1%0als${IFS}-l
  1. 输入验证不足 (中危)
  • 问题描述: 仅检查了是否包含空格,没有进行有效的 IP 地址格式验证
php 复制代码
 <?php
 ​
 $res = FALSE;
 ​
 if (isset($_GET['ip']) && $_GET['ip']) {
     $ip = $_GET['ip'];
     $m = [];
     if (!preg_match_all("/ /", $ip, $m)) {  # 检测ip是否含有空格,如果不含有则进入里层,m用于存储匹配的数组
         $cmd = "ping -c 4 {$ip}";
         exec($cmd, $res);   # 执行cmd命令,res用于存储命令的每一行输出
     } else {
         $res = $m;
     }
 }
 ?>
 ​
 <!DOCTYPE html>
 <html>
 <head>
     <meta charset="utf-8">
     <title>ping</title>
 </head>
 <body>
 <style>
     html{
         height:100%;
     }
     body{
         padding: 0;
         margin: 0;
         background: url(1.png);
         background-size: 100% 100%;
         position: absolute;
     }
     
 </style>
 ​
 <h1>就过滤了个空格,能拿到flag算我输</h1>
 ​
 <form action="#" method="GET">
     <label for="ip">IP : </label><br>
     <input type="text" id="ip" name="ip">
     <input type="submit" value="Ping">
 </form>
 ​
 <hr>
 ​
 <pre>
 <?php
 if ($res) {
     print_r($res);
 }
 ?>
 </pre>
 ​
 <?php
 show_source(__FILE__);
 ?>
 ​
 </body>
 </html>

用分号闭合ping命令,输入ls,点击"Ping"查看当前目录文件

使用命令查看可疑文件,由于过滤了空格,此处使用{IFS}进行绕过:`;cat{IFS}fllllaaag.php`

点击"Ping"

成功回显,查看源码获得flag

相关推荐
orion5720 小时前
Missing Semester Class1:course overview and introduction of shell
linux
王二端茶倒水1 天前
从千兆到万兆:宽带运营不能只卖套餐,要管用户生命周期从千兆到万兆:宽带运营需要管理用户生命周期
后端·网络协议·架构
用户120487221611 天前
Linux驱动编译与加载
linux·嵌入式
用户805533698031 天前
Input 子系统架构:Core、Handler、Driver 三层是怎么协作的
linux·嵌入式
用户805533698031 天前
RK-Forge外设系列开篇 - 把板子从「能启动」变成「能用」:Ethernet/SPI/MMC 三个纯接线外设
linux·github·嵌入式
七歌杜金房2 天前
我终于又有了自己的 Linux 电脑
linux·debian·mac
tntxia3 天前
linux curl命令详解_curl详解
linux
扛枪的书生3 天前
Linux 网络管理器用法速查
linux
顺风尿一寸3 天前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux