目录
[SWPUCTF 2021 新生赛]finalrce
1、题目
2、知识点
3、思路
[UUCTF 2022 新生赛]ez_rce
1、题目
2、知识点
3、思路
[羊城杯 2020]easycon
1、题目
2、知识点
3、思路
[SWPUCTF 2021 新生赛]finalrce
1、题目
2、知识点
命令执行,tee命令
3、思路
打开题目,出现源码。对代码进行审计
exec()
理解为可以执行系统命令函数
我们通过url参数传入我们想执行的系统命令,但是题目过滤了很多字符,需要进行过滤
我们可以在命令加上转义字符(\),这是一种绕过方式,记住即可
改成l\s,就绕过了过滤
但是数据没有回显出来,这里查看其他大佬的wp,可以使用tee函数
tee:
Linux tee命令用于读取标准输入的数据,并将其内容输出成文件。
tee指令会从标准输入设备读取数据,将其内容输出到标准输出设备,同时保存成文件。
通俗来讲,就是可以把运行结果保存到指定文件
构造payload:/?url=l\s / | tee 1.txt
接着访问1.txt
然后我们查看这个flllllaaaaaaggggggg文件
?url=ca\t /flllll\aaaaaaggggggg | tee 2.txt
注意,flag那里需要加上\,因为也过滤了la这个字符
访问2.txt
得到flag:NSSCTF{22eb96aa-b1fe-47c0-b5c7-718c527adb1f}
[UUCTF 2022 新生赛]ez_rce
1、题目
2、知识点
系统命令执行(RCE)
3、思路
审计源码
发现代码是php语言编写
eval():
这个函数跟上面的exec()类似,都是执行命令的
同样,也对系统命令进行了过滤,我们使用转义字符(\)进行绕过
因为php的eval()不会对结果进行打印,所以我们还得使用echo或者print()将结果打印出来,注意,语句的结尾需要加上分号(;),这是php语言的格式
构造payload:
?code=print(`l\s /`);
这里为什么使用飘号(`)呢?
``在PHP中作为一个执行运算符,将``里的内容作为shell命令执行并将其输出信息返回
使用(``)的效果跟shell_exec一样
接一下查看fffffffffflagafag文件
?code=print(`ca\t /fffffffffflagafag`);
这里我们的结果没有回显出来,因为ca\t中的\t会被http协议当作制表符
我们可以改成
?code=print(`ca\\t /fffffffffflagafag`); 或者 ?code=print(`c\at /fffffffffflagafag`);
得到flag:NSSCTF{This_IS_s0_easy_RCE}
[羊城杯 2020]easycon
1、题目
2、知识点
系统命令执行,目录扫描
3、思路
打开题目,出现这个Ubuntu界面,翻看一圈源码,没发现啥有用的信息
进行目录扫描
扫出了index.php界面,访问一下
弹窗提示,这里猜测用post方式上传一个cmd参数进行命令执行
cmd=system('ls');
这里不同于上面,我们要自己加上system()执行系统命令,得到结果
查看bbbbbbbbb.txt文件
cmd=system('cat bbbbbbbbb.txt');
发现最后有一个等号,猜测为base64编码,所以进行解码
使用在线网站进行解码,自动帮我们检测出图片
Base64解码 Base64编码 UTF8 GB2312 UTF16 GBK 二进制 十六进制 解密 - The X 在线工具 (the-x.cn)
打开图片
得到flag(改成NSSCTF):NSSCTF{do_u_kn0w_c@idao}
这篇文章就先写到这里了,哪里不足或者哪里不懂的欢迎指出
