0x00 前言
这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。
首先先来解释一下什么是无参数RCE:
形式:
if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}
preg_replace('/[a-z]+((?R)?)/', NULL, $code)
pre_match('/et|na|nt|strlen|info|path||rand|dec|bin|hex|oct|pi|exp|log/i', $code))
分析一下代码:
preg_replace 的主要功能就是限制我们传输进来的必须是纯小写字母的函数,而且不能携带参数。
再来看一下:(?R)?,这个意思为递归整个匹配模式。所以正则的含义就是匹配无参数的函数,内部可以无限嵌套相同的模式(无参数函数)
preg_match的主要功能就是过滤函数,把一些常用不带参数的函数关键部分都给过滤了,需要去构造别的方法去执行命令。
因此,我们可以用这样一句话来解释无参数RCE:
我们要使用不传入参数的函数来进行RCE
比如:
print_r(scandir('a()'));可以使用
print_r(scandir('123'));不可以使用
再形象一点,就是套娃嘛。。一层套一个函数来达到我们RCE的目的
比如:
?exp=print_r(array_reverse(scandir(current(localeconv()))));
0x01 从代码开始分析
我们先来看一下几天前刚做的一道题目:
[GXYCTF2019]禁止套娃
源码:
include "flag.php";
echo "flag在哪里呢?
";
if(isset($_GET['exp'])){
if (!preg_match('/data://|filter://|php://|phar:///i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+((?R)?)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
我们先来分析一下源码吧:
1:需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的内容。
2:preg_match过滤了我们伪协议的可能
3:preg_replace 的主要功能就是限制我们传输进来的必须时纯小写字母的函数,而且不能携带参数。只能匹配通过无参数的函数。
4:最后一个preg_match正则匹配掉了et/na/info等关键字,很多函数都用不了
5:eval($_GET['exp']); 典型的无参数RCE
既然getshell基本不可能,那么考虑读源码看源码,flag应该就在flag.php我们想办法读取
首先需要得到当前目录下的文件scandir()函数可以扫描当前目录下的文件,例如:
那么问题就是如何构造scandir('.')
这里再看函数
localeconv() 函数:
返回一包含本地数字及货币格式信息的数组。而数组第一项就是.current() 返回数组中的当前单元, 默认取第一个值。
这里还有一个知识点:
current(localeconv())永远都是个点