ctf.show_web40(命令执行)

web40无参数RCE绕过

源码

if(isset($_GET['c'])){
     
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
     
        eval($c);
    }
        
}else{
     
    highlight_file(__FILE__);
}

大佬的wp
利用无参数RCE的姿势
一个坑的地方就是括号:

并不是(),而是()
参考:PHP Parametric Function RCE

方法一

读文件+数组改造
先把payload写下

?c=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

需要用到的函数
localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
scandir():获取目录下的文件,scandir(.):获取当前目录下所有文件
pos():返回数组中的当前元素的值。
array_reverse():数组逆序
next(): 函数将内部指针指向数组中的下一个元素,并输出。
highlight_file():函数进行文件内容的读取,并输出

解答

00x1

首先通过 pos(localeconv())得到点号(.)
该方法还有如下函数可以进行替换

dirname(_FILE_)
current(localeconv()
reset(localeconv()
pos(localeconv()
getcwd()

因为scandir(’.’)表示得到当前目录下的文件,所以
scandir(pos(localeconv()))就能得到根目录的文件了。
具体内容如下
ctf.show_web40(命令执行)_第1张图片

00x2

然后得到的文件数组结果,发现想要获取的文件排序在后面,这时候可以调整文件指针,用
array_reverse()函数,将输出文件反向排序
ctf.show_web40(命令执行)_第2张图片

00x3

next(): 函数将内部指针指向数组中的下一个元素,并输出。
想要输出指定的指针文件,next()函数需要配合highlight_file()函数进行文件的输出
ctf.show_web40(命令执行)_第3张图片

方法二

利用session_id()

刚开始的时候利用session_id(),修改下cookie中的PHPSESSID 内容为ls
ctf.show_web40(命令执行)_第4张图片
但是在进步传参为flag是无法进行文件读取
ctf.show_web40(命令执行)_第5张图片
具体的原因分析
来自: https://blog.csdn.net/miuzzx/article/details/108415301
经过测试发现,受php版本影响 5.5 -7.1.9均可以执行,因为session_id规定为0-9,a-z,A-Z,-中的字符。在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。
受到PHP版本的限制。

你可能感兴趣的:(ctf.show-wp,安全,http)