php exec ctf,从一道CTF题目谈PHP中的命令执行

answer = "phpinfo"

tmp1,tmp2 = '', ''forc inanswer:fori invalid:forj invalid:if(ord(i)^ord(j) == ord(c)):tmp1 += itmp2 += jbreakelse:continuebreakprint(tmp1,tmp2)

其中valid是可用的字符，answer是我们需要构造的字符串。那么我们得到了这个字符串，又该如何去执行呢。我们可以通过一个变量存储两字符串异或后的值，再让这个变量进行动态函数执行即可，而变量的话因为PHP的变量命名规则和C语言相同，可以使用下划线进行命名，如下：

2. 取反构造

和第一种类似，都是基于PHP字符串位运算的特点(会逐位进行位运算)。而取反构造某些情况比异或构造要方便，因为异或的情况某些字符是无法直接通过其他字符进行异或构造的，而取反却可以利用汉字或者其他特殊字符进行构造(不会有题目会限制某个汉字吧)。比如字母s我们可以通过~('和'{2})得到。而这个时候如果要用异或去构造的话，你得找到两个异或值为s的特殊字符。

取反构造的脚本和异或构造类似，在此不再给出。

3. 自增构造

`++'a' == 'b' `

这个特点是利用了PHP是弱类型语言的特性，在对变量进行操作的时候，PHP会隐式的转换其变量类型，很多代码审计的题目也是利用了这一特性。

遇到障碍

有了上面的思路后，而且也成功执行了phpinfo，下一步是不是就可以直接构造命令执行函数去进行读取文件，当时我也是这么想的，于是我构造了passthru, system, shell_exec, exec等函数，都受到了阻碍，没有回显，通过进一步的调试之后发现是禁用了这些函数(通过在函数后面加一个打印函数观察是否执行)。

在这里我停留了很久，试过打印$GLOBALS等都没有任何有用的信息。最后通过使用glob函数进行目录扫描，发现了flag.php文件，以及file_get_contents进行获取，最终的payload如下

?mess=$ _="`0123"^"?`~``";${$_}[ _]( ${$_}[__]);& _=assert&__=print_r(base64 _encode(file_put_contents("flag.php")))

最后再将其界面就可以得到最终的flag了。在最终的payload中我没有去一个一个的构造字符串异或，因为那太长了，而是构造了一个$_POST[_]($_POST[__])的动态函数，这样就可以在其他参数位置直接写函数了。

深入分析

题目到这里就结束了，其实并没有多难，首先是通过特性去构造动态函数，然后发现了命令执行被禁用之后，能够知道使用其他函数去进行获取信息就行了。但是做完这道题后，不仅引发了我的思考，PHP中的命令执行就只有这些方式了吗，肯定不是。于是，我总结了几种新的命令执行技巧供大家参考。

1. 当打印函数被禁用时

如果没有了打印函数，意味着你无法看到回显，这时候即使命令执行成功了你也无法得到信息，这个时候你就得利用其他方式去获取回显了。

首先是网上很多blog使用的方式，phpinfo如果发现开启了curl，或者其他文件传输扩展的的话，可以自建一个靶机，将所有访问信息存入数据库或是文件，然后将回显信息发送到你的靶机地址，这样你去看日志就可以了，这种方式不是很方便而且有一定的局限性。这里我要介绍的是一种新的方式。

如果你使用过Django或者jsp开发web的话，你肯定知道输出一个变量可以使用{{xxx}}或是的方式，那么在PHP中是否也有这种方式呢，答案是肯定的，PHP中的=xxx?>就可以将一个变量输出，那么如果使用它呢，你只需要构造如下的payload

$_= "xxx"; ?>=$_ ?>

这样就可以将变量$_里面的内容打印到屏幕上，而且关键的是这个输出方式默认是开启的，管理员很容易就忽视这个选项。所以在做题时不妨一试。

2. 其他的命令执行方式

当system，passthru等不能用时，网上会告诉你可以使用popen,proc_open这些管道命令去进行执行命令，当然这没有问题，而这里我向你介绍一种新方式，使用反引号，在PHP中，被两个反引号括起来的内容将会作为shell命令执行，并将输出信息返回，所以你可以构造下面的payload进行命令执行

$_= `ls`;

3. 不能使用数字字母的命令执行

当不能使用字母数字时，当然你可以使用上述的方式构造字符串进行执行，但是这里提供一些新东西，对于linux中的shell是支持正则表达式的，当你忘记某些字符时可以通过? % *来代替，经过测试，这里的匹配方式也是按照顺序进行匹配，所以你可以查看你的linux中/bin目录下面的顺序，来获取一些可以使用的命令，比如

/??? /??? => /bin/cat

那么这样的话，如果要获取/var/www/html/index.php(你得感谢apache默认目录如此之深)，则可以直接使用

/??? /??? /??? /???/???? /?????.???

来获取

总结

这篇文章只是针对这道题而延展出的一些东西，在真正做题时，情况可能更加复杂，例如限制长度，限制参数等等情况，而我们的做法也不可能千篇一律，可能某些时候我们甚至会用到一些CVE漏洞。而本篇文章只是告诉读者一些可能以前没有见过的新东西。

那么本篇文章就到此结束了。

了解投稿详情点击—— 重金悬赏 | 合天原创投稿涨稿费啦！

你的每一个在看，都是对我们的支持！返回搜狐，查看更多