NSSCTF-Web题目12

目录

[SWPUCTF 2021 新生赛]finalrce

1、题目

2、知识点

3、思路

[UUCTF 2022 新生赛]ez_rce

1、题目

2、知识点

3、思路

[羊城杯 2020]easycon

1、题目

2、知识点

3、思路

---

[SWPUCTF 2021 新生赛]finalrce

1、题目

2、知识点

命令执行，tee命令

3、思路

打开题目，出现源码。对代码进行审计

exec()

理解为可以执行系统命令函数

我们通过url参数传入我们想执行的系统命令，但是题目过滤了很多字符，需要进行过滤

我们可以在命令加上转义字符(\)，这是一种绕过方式，记住即可

改成l\s，就绕过了过滤

但是数据没有回显出来，这里查看其他大佬的wp，可以使用tee函数

tee:

Linux tee命令用于读取标准输入的数据，并将其内容输出成文件。

tee指令会从标准输入设备读取数据，将其内容输出到标准输出设备，同时保存成文件。

通俗来讲，就是可以把运行结果保存到指定文件

构造payload：/?url=l\s / | tee 1.txt

接着访问1.txt

然后我们查看这个flllllaaaaaaggggggg文件

?url=ca\t /flllll\aaaaaaggggggg | tee 2.txt

注意，flag那里需要加上\，因为也过滤了la这个字符

 

访问2.txt

得到flag：NSSCTF{22eb96aa-b1fe-47c0-b5c7-718c527adb1f}

---

[UUCTF 2022 新生赛]ez_rce

1、题目

2、知识点

系统命令执行（RCE）

3、思路

审计源码

发现代码是php语言编写

eval():

这个函数跟上面的exec()类似，都是执行命令的

同样，也对系统命令进行了过滤，我们使用转义字符（\）进行绕过

因为php的eval()不会对结果进行打印，所以我们还得使用echo或者print()将结果打印出来，注意，语句的结尾需要加上分号(;)，这是php语言的格式

构造payload：

?code=print(`l\s /`);

这里为什么使用飘号(`)呢？

``在PHP中作为一个执行运算符，将``里的内容作为shell命令执行并将其输出信息返回

使用（``）的效果跟shell_exec一样

接一下查看fffffffffflagafag文件

?code=print(`ca\t /fffffffffflagafag`);

这里我们的结果没有回显出来，因为ca\t中的\t会被http协议当作制表符

我们可以改成

?code=print(`ca\\t /fffffffffflagafag`);   或者   ?code=print(`c\at /fffffffffflagafag`);

得到flag：NSSCTF{This_IS_s0_easy_RCE}

---

[羊城杯 2020]easycon

1、题目

2、知识点

系统命令执行，目录扫描

3、思路

打开题目，出现这个Ubuntu界面，翻看一圈源码，没发现啥有用的信息

进行目录扫描

扫出了index.php界面，访问一下

弹窗提示，这里猜测用post方式上传一个cmd参数进行命令执行

cmd=system('ls');

这里不同于上面，我们要自己加上system()执行系统命令，得到结果

查看bbbbbbbbb.txt文件

cmd=system('cat bbbbbbbbb.txt');

发现最后有一个等号，猜测为base64编码，所以进行解码

使用在线网站进行解码，自动帮我们检测出图片

Base64解码 Base64编码 UTF8 GB2312 UTF16 GBK 二进制 十六进制 解密 - The X 在线工具 (the-x.cn)

打开图片

得到flag（改成NSSCTF）：NSSCTF{do_u_kn0w_c@idao}

---

这篇文章就先写到这里了，哪里不足或者哪里不懂的欢迎指出