当前位置：首页 > article >正文

ctfshow-web进阶-命令执行绕过技巧（web71-web74）

article 2026/3/31 15:06:34

1. 命令执行漏洞基础与CTF常见场景命令执行漏洞Command Execution是Web安全中一种高危漏洞它允许攻击者在服务器上执行任意系统命令。在CTF比赛中这类题目通常会模拟真实环境中开发者未对用户输入进行严格过滤的场景。我刚开始接触CTF时遇到的第一道命令执行题就是个典型例子题目只过滤了flag这个关键词但允许直接执行system函数。当时我傻乎乎地输入system(cat flag.php)结果页面返回一片空白——原来题目把输出内容中的字母数字都替换成了问号。这种看似能执行却看不到结果的情况在CTF中非常常见。PHP中常见的危险函数包括system()执行系统命令并输出结果exec()执行命令但不输出结果shell_exec()通过shell执行命令反引号与shell_exec等效passthru()直接输出命令执行结果2. web71exit()函数的妙用这道题的突破点在于输出缓冲区的处理。题目源码中使用了ob_get_contents()获取输出缓冲区内容然后用preg_replace替换所有字母数字为问号。但如果在命令执行后立即调用exit()就能提前终止脚本避免后续的替换操作。我实际测试时发现几个关键点exit()必须紧跟在有效操作后面使用include比直接读文件更可靠目录遍历时scandir()比ls更稳定有效payload示例// 列出根目录文件 cvar_export(scandir(/));exit(); // 包含flag文件 cinclude(/flag.txt);exit();这种绕过方式的本质是利用了PHP的执行流程控制。当exit()执行时它会立即终止当前脚本执行刷新所有输出缓冲区跳过后续所有代码逻辑3. web72open_basedir绕过技巧这道题新增了open_basedir限制它限定了PHP脚本能访问的目录范围。默认配置通常只允许访问/var/www/html及其子目录。我在实际渗透测试中遇到过多次这种情况有几种经典绕过方法3.1 glob://伪协议绕过glob://是PHP的一个伪协议它可以绕过部分目录限制。通过DirectoryIterator类可以遍历目录c$anew DirectoryIterator(glob:///*); foreach($a as $f) { echo($f-__toString(). ); } exit();这个payload的工作原理是创建DirectoryIterator实例扫描根目录遍历输出所有文件和目录名用exit()避免输出被污染3.2 UAF漏洞利用当常规方法失效时题目可能需要使用UAFUse After Free漏洞。下面这个经典payload利用了PHP的对象销毁机制c??php function pwn($cmd) { // 省略具体实现... // 包含内存操作和函数地址泄露 } pwn(cat /flag0.txt); ?这种方法的原理比较复杂简单来说通过PHP对象销毁触发UAF泄露内存中的函数地址构造虚假的闭包对象最终执行系统命令4. web73进阶目录遍历技巧这道题延续了之前的限制但flag位置变成了/flagc.txt。除了使用web72的方法还可以尝试4.1 直接数组索引访问cecho(scandir(/)[6]);exit();这种方法的优点是不需要复杂遍历直接定位目标文件适用于已知flag位置的情况4.2 include直接包含cinclude(/flagc.txt);exit(0);注意点文件路径必须是绝对路径文件内容必须是合法PHP代码如果flag是纯文本需要确保PHP不会将其当作代码解析5. web74终极绕过实战这道题禁用了scandir()函数但我们可以组合之前的技巧5.1 opendirglob组合c$aopendir(glob:///*); while(($filereaddir($a))!false){ echo $file.br; }; exit();5.2 文件包含终极方案cinclude(/flagx.txt);exit();在实际CTF比赛中我总结出几个通用原则先尝试最简单的include/require目录受限时用glob://伪协议输出受限时用exit()提前终止函数被禁时找替代方案如DirectoryIterator代替scandir6. 防御方案与实战建议从防御角度看开发者应该使用escapeshellarg()处理所有命令参数设置严格的open_basedir限制禁用危险函数在php.ini中设置disable_functions对输出内容进行适当编码对于CTF选手我建议熟记常见PHP危险函数掌握伪协议的各种用法了解PHP的异常处理机制积累各种绕过技巧的实际payload在真实渗透测试中命令执行漏洞的危害极大。我曾在一个实际案例中发现通过精心构造的命令可以绕过多层防御最终获取服务器权限。这也提醒我们在开发中必须对用户输入保持高度警惕。

ctfshow-web进阶-命令执行绕过技巧（web71-web74）

相关文章：

ctfshow-web进阶-命令执行绕过技巧（web71-web74）

如何通过自动化硬件适配技术突破Hackintosh配置瓶颈：OpCore Simplify技术深度解析

别再手动埋点了！用OpenTelemetry Operator在K8s里给Java应用自动注入链路追踪（附完整YAML）

SpringBoot3.3.1+Elasticsearch8.13.4日期转换踩坑实录：LocalDateTime保存为时间戳的完整方案

从游戏机到影音中心：用wiliwili解锁Switch的隐藏娱乐潜能

手把手教你用Claude Desktop的MCP协议，5分钟搞定本地SQLite数据库查询

Czkawka：用Rust构建的开源存储清理工具全解析

YOLO12开源模型合规部署：离线环境+审计日志+模型版本固化方案

Hunyuan-MT-7B保姆级教程：Pixel Language Portal在树莓派5上的轻量级翻译终端部署

春季2021亚马逊研究奖获奖者公布

收藏！小白程序员必看：Agent和工作流是最佳拍档，教你如何协同它们（附案例）

保姆级教程：用Docker Compose一键部署Dify AI平台（附国内镜像加速与端口冲突解决）

重新定义AI助手体验：突破Cursor Pro限制的5个技术方案

GyroFlow：用陀螺仪数据重塑视频稳定技术

保姆级教程：用mintar版imu_utils搞定ZED2/Realsense相机内置IMU标定（避坑kalibr_allan）

颠覆传统投资分析：TradingAgents-CN智能交易系统零门槛部署指南

不只是安装：深入理解TI毫米波雷达开发套件（MMWCAS-RF-EVM）的软件生态与数据流

【回归儿童本位，重构专业底色】学前教育行业的深度思辨与价值坚守（二）

3个关键步骤：如何用Bilibili-Evolved打造60fps流畅播放体验

【王阳明】《泛海》

Bootstrap 下拉菜单：全面解析与应用指南

如何一键备份QQ空间历史说说：完整数据备份与隐私保护指南

Cosmos-Reason1-7B部署教程：Docker镜像免配置+7860端口快速启用

船舶水动力学与运动控制技术指南：从理论建模到工程实践

5步释放Win11潜能：用Win11Debloat让系统性能提升60%的实战指南

3个步骤掌握Markmap：将Markdown转换为交互式思维导图完全指南

ROS2开发避坑：用CycloneDDS配置文件解决本地回环通信中断问题（附完整XML）

Ubuntu 20.04 下 Zotero 文献管理神器：从安装到插件配置的完整避坑指南

Natapp内网穿透避坑指南：Windows系统常见报错解决方案（2024最新版）

如何通过技术优化提升Element Plus开发效率