当前位置：首页 > news >正文

ctfshow-web入门-命令执行（web118详解）Linux 内置变量与Bash切片

news 2026/2/7 15:33:54

输入数字和小写字母，回显 evil input

查看源码，发现这里会将提交的参数 code 传给 system 函数

使用 burpsuite 抓包进行单个字符的模糊测试 fuzz：

发现过滤掉了数字和小写字母以及一些符号，下面框起来的部分是可用的

结合题目提示：flag 在 flag.php

那么我们就需要构造出命令去读取 flag.php

我们先来了解一下 Linux 的内置变量

在 Linux 系统中，有许多内置变量（环境变量）用于配置系统行为和存储系统信息。

（1）$BASH

描述：指向当前使用的Bash解释器的路径。
示例：/bin/bash
用途：用于确定正在使用的Bash版本和路径。

（2） $PATH

描述：存储一系列路径，这些路径用于查找可执行文件，当你在命令行中输入命令时，系统会在这些路径中查找对应的可执行文件。
示例：/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
用途：影响命令的查找和执行，可以添加自定义脚本或程序的路径。

（3）$HOME

描述：当前用户的主目录路径。
示例：/home/username
用途：表示当前用户的主目录，通常用于存储用户配置文件和个人数据。

（4）$PWD

描述：当前工作目录（Present Working Directory）。
示例：/home/username/projects
用途：表示当前的工作目录路径，常用于脚本和命令中获取或显示当前目录。

（5）$USER

描述：当前登录的用户名。
示例：username
用途：表示当前用户的名称，常用于显示或检查用户信息。

（6）$SHELL

描述：当前用户的默认shell。
示例：/bin/bash
用途：表示用户登录时使用的默认shell路径。

（7）$UID

描述：当前用户的用户ID。
示例：1000（普通用户），0（root用户）
用途：标识当前用户的唯一ID。

（8）$IFS

描述：内部字段分隔符（Internal Field Separator），用于分割输入的字段，默认为空格、制表符和换行符。
示例：默认值为<space><tab><newline>
用途：影响脚本中的字段分割，常用于处理输入和解析文本。

此外还有很多的内置变量：

接下来我们需要知道 Bash 变量的切片，与 python 的切片类似，目的还是从指定位置开始提取子字符串，用法：${VAR:offset:length}，看例子：

${PWD:1:2}

提取从第二个字符开始的两个字符，即 ro，在 Bash 中，字符串切片的索引也是从 0 开始的。

如果只填一个参数，会默认从指定的位置开始提取到字符串的末尾：

${PWD:3}

简单测一下我们就可以看出波浪号的效果：从结尾开始取

但是这里数字被过滤了，因此我们使用大写字母绕过：

可以发现任意的大小写字母与数字 0 等效

不难想到这里的 $PWD 应该是 /var/www/html（网页服务所在的常见路径）；

而 $PATH 的结尾应该也是 /bin（这个在前面我们已经测试过了）。

因此我们可以构造出 nl 命令来读取 flag.php，由于 ? 可用，因此我们可以进行通配，绕过字母的过滤，构造 payload：

${PATH:~Q}${PWD:~Q} ????.???

提交后即可拿到 flag：ctfshow{4d2d924b-7487-4ef0-8742-d8da24025418}

当然题目还给了其他 payload：

${PATH:${#HOME}:${#SHLVL}}${PATH:${#RANDOM}:${#SHLVL}} ?${PATH:${#RANDOM}:${#SHLVL}}??.???

在Bash中，${#var} 的语法用于获取变量 var 的长度（即字符数）。

这种形式可以应用于任何变量，无论是字符串变量还是环境变量。

我们知道 ${HOME} 是 /root，因此 ${#HOME} 就是 5。

以此类推，最终将这些数字应用到切片中去，绕过对数字的过滤，构造出我们想要执行的命令。

ctfshow-web入门-命令执行（web118详解）Linux 内置变量与Bash切片

相关文章：

ctfshow-web入门-命令执行（web118详解）Linux 内置变量与Bash切片

C语言指针和数组——指针和二维数组之间的关系

问题集锦1

浅析MySQL-索引篇01

2028年企业云存储支出翻倍，达到1280亿美元

ActiViz中的颜色映射表vtkLookupTable

【Spring AOP 源码解析前篇】什么是 AOP | 通知类型 | 切点表达式| AOP 如何使用

Laravel HTTP客户端：网络请求的瑞士军刀

7月07日，每日信息差

ubuntu 网络常用命令

Python28-7.4 独立成分分析ICA分离混合音频

Spring Boot与Okta的集成

MVC（Model-View-Controller）模式

MuLan：模仿人类画家的多对象图像生成

如何在Android中实现网络通信，如HttpURLConnection和HttpClient。

评价ChatGPT与强人工智能的未来

【web前端HTML+CSS+JS】--- CSS学习笔记02

linux 安装 ImageMagick 及 php imagick扩展

秋招突击——7/5——复习{}——新作{跳跃游戏II、划分字母区间、数组中的第K个大的元素（模板题，重要）、前K个高频元素}

【Linux】信号的处理

模型参数、模型存储精度、参数与显存

解锁数据库简洁之道：FastAPI与SQLModel实战指南

前端导出带有合并单元格的列表

Golang dig框架与GraphQL的完美结合

最新SpringBoot+SpringCloud+Nacos微服务框架分享

（二）原型模式

【SQL学习笔记1】增删改查+多表连接全解析（内附SQL免费在线练习工具）

Psychopy音频的使用

OPenCV CUDA模块图像处理-----对图像执行均值漂移滤波（Mean Shift Filtering）函数meanShiftFiltering()

浪潮交换机配置track检测实现高速公路收费网络主备切换NQA