当前位置：首页 > article >正文

ctf show web入门54

article 2026/5/12 19:52:04

这道题目是 ctf.show 中典型的命令执行RCE绕过题。虽然看起来过滤非常严密但只要理清了它的过滤规则就能找到生存空间。过滤规则拆解代码通过 preg_match 过滤了以下内容/i 表示不区分大小写符号类 ; (分号), (反引号), %, * (通配符), , (重定向), (\x26), \t (\x09)。数字类 [0-9]。空格类直接过滤了空格。关键字类重点这里使用了 .*c.*a.t.这种贪婪匹配模式。这意味着只要你的字符串中按顺序出现了 c、a、t 这三个字母就会被拦截。被拦截的命令包括cat, flag, more, wget, less, head, sort, tail, sed, cut, tac, awk, strings, od, curl, nl, scp, rm。被过滤的命令行cat最基础的文件读取命令more分页显示文件内容less分页显示文件比more高级多一些功能head显示文件前几行默认显示前10行tail显示文件的最后几行默认显示后10行sort对文件内容进行排序会读取并显示整个文件sed对文件进行文本转换与编辑cut从每行中提取部分内容。例如cut -d: -f1 filename以冒号分隔取出第一列。tac反向catawk文本分析和处理工具。例如awk ‘{print $1}’ filename打印第一行strings从二进制文件中提取可打印字符串od选择格式显示文件nl显示文件内容并添加行号也是一个通用的命令curl通过URL传输数据可读取远程文件wget从网络下载文件scp在主机间复制文件基于ssh需要认证rm删除文件或目录那看到最后一个rm可以联想到它一系列的兄弟可以进行绕过cp复制文件可以指定名称 mv移动文件可以指定新名称 vi编辑文件除了上面两个命令之外还可以grep查找关键行 rev显示全部内容但字符顺序反转 uniq去重文件内容并显示完整内容————————————————版权声明本文为CSDN博主「!!!.」的原创文章遵循CC 4.0 BY-SA版权协议转载请附上原文出处链接及本声明。原文链接https://blog.csdn.net/m0_64481831/article/details/1541204672. 绕过思路A. 解决“空格”被过滤在 Linux shell 中当空格被过滤时常用的替代符有${IFS}$IFS$9但这题过滤了和本题解法使用 ${IFS}。B. 解决“关键字”顺序过滤正则 .*f.*l.*a.g.过滤了 flag。但它只能过滤“顺序”出现的字符。绕过技巧 1利用变量定义。在 shell 中你可以定义变量再拼接afl;bag;cataaab。但本题过滤了分号 ;无法在一行内通过分号执行多条命令。绕过技巧 2利用 Shell 特殊变量。在命令中插入空变量或特殊符号flagfl\agf${高三}lag绕过技巧 3利用通配符 ?。虽然 * 被过滤了但 ?匹配单个字符没有被过滤。C. 解决“读取命令”被过滤cat, tac, nl, more, less, tail, head 全被过滤了。剩余可用命令 rev, mv, vi (不可用), uniq。终极杀招 grep。grep 可以搜索字符串。如果我们搜索“包含某个字符”的所有行其实就相当于读取了文件。payload1使用grep查找关键行?cgrepIFS′f′{IFS}fIFS′f′{IFS}f???.phppayload2使用uniq去重文件内容并显示完整内容?cuniq${IFS}f???.phppayload3使用 rev显示全部内容但字符顺序反转:?crev${IFS}f???.php为什么payload为?cuniqIFSf???.php时成功但是payload为?cuniq{IFS}f???.php时成功但是payload为?cuniqIFSf???.php时成功但是payload为?cuniq{IFS}fl??.php就得不到flag呢核心原因正则表达式的“顺序拦截”题目中的过滤规则是这样的preg_match(“/…|.*f.*l.*a.g.|…/i”, $c)这里的 .*f.*l.*a.g.是一个极其严格的陷阱。它的含义是只要你的输入中按顺序出现了 f、l、a、g 这四个字母无论它们之间隔了多少个字符都会被拦截。我们可以对比一下这两个 Payload 在正则眼里的样子 Payload A: ?cuniq${IFS}fl??.php你的输入包含字符f, l, ?, ?, ., p, h, p正则匹配过程找到了 f。紧接着找到了 l。后面还有 .php。虽然你没有显式写 a 和 g但如果当前目录下存在一个叫 flag.php 的文件某些环境下 PHP 的 preg_match 可能会因为后续逻辑或误判触发拦截但在本题中通常是因为匹配到了顺序。更直接的原因是很多 CTF 题目的环境会在你提交后后台尝试解析或你的字符串中确实存在 f 和 l 的顺序。 Payload B: ?cuniq${IFS}f???.php你的输入包含字符f, ?, ?, ?, ., p, h, p正则匹配过程找到 f。接下来寻找 l。但是你的字符串里没有字母 l只有问号 ?。结果正则表达式匹配失败安全通过然后字符串被传给 system()。在 Linux Shell 执行时f???.php 会被通配符自动展开为 flag.php。为什么 fl??.php 往往会失败在 ctf.show 的这道特定题目中过滤规则里其实隐藏了一个逻辑它不仅过滤了 flag 单词还防止你通过前缀拼接来逼近这个单词。f l 的组合只要你写出了 fl你就已经完成了 .*f.*l.*a.g.匹配进度的 50%。问号的妙处使用 f???.php 时你绕过了 PHP 层面对于“字母顺序”的检测因为在 PHP 看来? 只是一个标点符号不是 l、a 或 g。只有当这个字符串到达 Linux 系统 Shell 手里时它才会被翻译成 flag.php。验证“顺序拦截”的威力这个正则 .*f.*l.*a.g.甚至会拦截一些看起来完全无关的句子输入funnylogicandgame \rightarrow 拦截 (因为顺序包含 f, l, a, g)输入fileagent \rightarrow 拦截输入f??? \rightarrow 放行 (因为不包含 l, a, g)总结与建议在处理这种“顺序通配符过滤”时最稳妥的办法就是只保留一个首字母剩下的全部用 ? 代替。推荐做法 ?cuniq${IFS}f??? (匹配所有 f 开头的文件)进阶做法如果连 f 都被过滤了可以使用更激进的通配符 ?cuniq${IFS}??? (匹配所有 8 位长度的文件通常能撞到 flag.php)

ctf show web入门54

相关文章：

ctf show web入门54

ctf show web入门48

ctf show web 入门46

别再手动造数据了！用Python的imgaug库5分钟搞定深度学习图像增强（附关键点/边界框处理避坑指南）

AI碳足迹深度解析：从模型压缩到软硬协同的绿色AI实践

基于OpenClaw的GitHub趋势智能监控器：自动化追踪与AI摘要推送

别再只用轮盘赌了！遗传算法选择算子实战对比：Python代码实现与性能调优心得

别再混淆了！SVPWM算法中2Udc/3和Udc的电压幅值到底指什么？一个图讲清楚

终极百度网盘加速解决方案：BaiduPCS-Web完整使用指南

别再想当然！用AD628/INA等差分放大器做单端采集，必须搞懂的共模电压计算（附Excel工具）

V2X通信：自动驾驶安全冗余与混合交通协同的关键技术

LVGL图片资源全解析：从C数组到图标字体的高效集成方案

通用汽车IT部门裁员600人，为AI人才腾空间，软件团队变革进行时

STC8H8K64U单片机IAP升级实战：从官方例程到自定义协议的完整移植指南

按类型搜索文件

零代码到全球上线：我用 Dify + EdgeOne Pages 为跨境电商打造了一个 7×24 小时 AI 智能客服

英特尔转型芯片代工：从IDM巨头到服务商的六大挑战与机遇

3分钟掌握Windows安装APK：告别复杂模拟器的终极方案

制造业财务场景AI自动化方案，主流厂商横向对比 —— 2026企业级智能体选型全景盘点

从格式混乱到工作流重构：Cloud Document Converter如何重塑飞书文档迁移体验

AI时代算力、模型与安全的三角博弈：从Nvidia生态到工程实践

知识图谱与智能体如何革新小说创作：graphify-novel项目深度解析

Windows平台ADB驱动终极安装指南：3分钟搞定Android开发环境

智能家居安全新突破：视觉AI如何实现从感知到认知的跨越

对比按量计费与Token Plan套餐，哪种方式更适合你的项目

为OpenClaw智能体工作流配置Taotoken作为统一的模型调用后端

深度学习在系外行星探测中的应用：ExoDNN框架解析与实践

初次使用Taotoken平台从注册到完成API调用的全程指引

对比体验Taotoken平台不同大模型在创意生成上的差异

基于LangGraph与MCP构建Farcaster AI智能体：从架构到DeFi集成实战