ctfhub-rce
rce:远程代码执行漏洞
分为远程命令执行 ping 和远程代码执行 evel。
其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是 RCE 漏洞。相当于直接操控服务器电脑的 cmd 命令行!高危漏洞!
eval 执行
<?php
if(isset($_REQUEST['cmd'])){
eval($_REQUEST['cmd']);
}
else{
highlight_file(__FILE__);
}
?>
传参给 cmd 来 eval
/?cmd=system("ls /");//此处因为根目录无flag 所以看上一级目录
找到后 再 cat /flag_****
文件包含
这里使用 strpos 函数
strpos:查找字符串首次出现的位置
int strpos ( string $haystack , mixed $needle [, int $offset = 0 ] )
题目使用
if(!strpos($_GET["file"],"flag")){//无flag字符即可运行
include $_GET["file"];
}
来包含文件,而下方给出的 shell.txt 含有 eval 漏洞
于是包含它(shell.txt 没有“flag”字符 所以这里 strpos 没影响)
通过 get(包含文件) post(传参)并用来得到 flag
php info
<?php
if (isset($_GET['file'])){
if ( substr($_GET["file"], 0, 6) === "php://" ) {
include($_GET["file"]);
}
else {
echo "Hacker!!!";
}}
else {
highlight_file(__FILE__);}?>
<hr>i don't have shell, how to get flag? <br><a href="phpinfo.php">phpinfo</a>
点击 phpinfo 链接 可查看 php 环境
php://input
/*php:// — 访问各个输入/输出流(I/O streams)
PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。
php://input是个可以访问请求的原始数据的只读流。
读取源代码
看环境 无法使用 php://input
<?php
error_reporting(E_ALL);
if (isset($_GET['file'])) {
if ( substr($_GET["file"], 0, 6) === "php://" ) {
include($_GET["file"]);
} else {
echo "Hacker!!!";
}
} else {
highlight_file(__FILE__);
}
?>
但还必须是 php://开头
php://filter
远程包含
同 phpinfo 做法相同
命令注入
输入命令
127.0.0.1;ls
然后 cat 时出现了问题
输出被限制了
于是用管道符号来限制输出 base64
得到后再解码
过滤 cat
<?php
$res = FALSE;
if (isset($_GET['ip']) && $_GET['ip']) {
$ip = $_GET['ip'];
$m = [];
if (!preg_match_all("/cat/", $ip, $m)) {//过滤了cat
$cmd = "ping -c 4 {$ip}";
exec($cmd, $res);
}
else {
$res = $m;
}
}
?>
<pre>
<?php
if ($res) {
print_r($res);
}
?>
</pre>
<?php
show_source(__FILE__);
?>
</body>
</html>
more
Linux more 命令类似 cat ,不过会以一页一页的形式显示,更方便使用者逐页阅读,而最基本的指令就是按空白键(space)就往下一页显示,按 b 键就会往回(back)一页显示,而且还有搜寻字串的功能(与 vi 相似),使用中的说明文件,请按 h 。
more [-dlfpcsu] [-num] [+/pattern] [+linenum] [fileNames..]
过滤空格
在 linux 里空格可用< 或 ${IFS}代替
过滤运算符
cat [file]|base64 还可以用 base64 [file]
<?php
$res = FALSE;
if (isset($_GET['ip']) && $_GET['ip']) {
$ip = $_GET['ip'];
$m = [];
if (!preg_match_all("/(\||\&)/", $ip, $m)) {
$cmd = "ping -c 4 {$ip}";
exec($cmd, $res);
} else {
$res = $m;
}
}
?>
综合练习
!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/", $ip
;可以用%0a(url 编码) cat 用 base64 flag 用正则 f*** *lag 等 空格用 ${IFS}