php知识点总结(从一道CTF题目谈PHP中的命令执行)
php知识点总结(从一道CTF题目谈PHP中的命令执行)
2024-11-25 05:37:40  作者:伱爹临死前  网址:https://m.xinb2b.cn/life/bwq162065.html

原创 Xenny 合天智汇

快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道题,正好当时有空,于是就打开了他发的链接,代码如下


很明显是一道PHP代码审计的题目,而且只需要绕过第三行的if即可进行任意命令执行。

解决思路

看了代码之后觉得是道普通的题目,对于/a-zA-Z/这个正则表达式,我们可以利用PHP动态函数的特性,构造出字符串即可。

对于想要的字符串,我们可以通过以下三种方式来构造:

1. 异或

对于PHP中的字符串,两个字符串异或的结果是将两个字符串逐位异或,返回一个新字符串。那么我们便可以使用此特性进行构造。

例如我们需要构造phpinfo,则可以用脚本得到('0302181', '@[@[_^^')这两个字符串,脚本如下:


其中valid是可用的字符,answer是我们需要构造的字符串。那么我们得到了这个字符串,又该如何去执行呢。我们可以通过一个变量存储两字符串异或后的值,再让这个变量进行动态函数执行即可,而变量的话因为PHP的变量命名规则和C语言相同,可以使用下划线进行命名,如下:


2. 取反构造

和第一种类似,都是基于PHP字符串位运算的特点(会逐位进行位运算)。而取反构造某些情况比异或构造要方便,因为异或的情况某些字符是无法直接通过其他字符进行异或构造的,而取反却可以利用汉字或者其他特殊字符进行构造(不会有题目会限制某个汉字吧)。比如字母s我们可以通过~('和'{2})得到。而这个时候如果要用异或去构造的话,你得找到两个异或值为s的特殊字符。

取反构造的脚本和异或构造类似,在此不再给出。

3. 自增构造

` 'a' == 'b'`

这个特点是利用了PHP是弱类型语言的特性,在对变量进行操作的时候,PHP会隐式的转换其变量类型,很多代码审计的题目也是利用了这一特性。

遇到障碍

有了上面的思路后,而且也成功执行了phpinfo(),下一步是不是就可以直接构造命令执行函数去进行读取文件,当时我也是这么想的,于是我构造了passthru(), system(), shell_exec(), exec()等函数,都受到了阻碍,没有回显,通过进一步的调试之后发现是禁用了这些函数(通过在函数后面加一个打印函数观察是否执行)。

在这里我停留了很久,试过打印$GLOBALS等都没有任何有用的信息。最后通过使用glob()函数进行目录扫描,发现了flag.php文件,以及file_get_contents()进行获取,最终的payload如下

?mess=$_="`0123"^"?`~``";${$_}[_](${$_}[__]);&_=assert&__=print_r(base64_encode(file_put_contents("flag.php")))


最后再将其界面就可以得到最终的flag了。在最终的payload中我没有去一个一个的构造字符串异或,因为那太长了,而是构造了一个$_POST[_]($_POST[__])的动态函数,这样就可以在其他参数位置直接写函数了。

深入分析

题目到这里就结束了,其实并没有多难,首先是通过特性去构造动态函数,然后发现了命令执行被禁用之后,能够知道使用其他函数去进行获取信息就行了。但是做完这道题后,不仅引发了我的思考,PHP中的命令执行就只有这些方式了吗,肯定不是。于是,我总结了几种新的命令执行技巧供大家参考。

1. 当打印函数被禁用时

如果没有了打印函数,意味着你无法看到回显,这时候即使命令执行成功了你也无法得到信息,这个时候你就得利用其他方式去获取回显了。

首先是网上很多blog使用的方式,phpinfo如果发现开启了curl,或者其他文件传输扩展的的话,可以自建一个靶机,将所有访问信息存入数据库或是文件,然后将回显信息发送到你的靶机地址,这样你去看日志就可以了,这种方式不是很方便而且有一定的局限性。这里我要介绍的是一种新的方式。

如果你使用过Django或者jsp开发web的话,你肯定知道输出一个变量可以使用{{xxx}}或是<%=xxx%>的方式,那么在PHP中是否也有这种方式呢,答案是肯定的,PHP中的<?=xxx?>就可以将一个变量输出,那么如果使用它呢,你只需要构造如下的payload

valid = "1234567890!@$%^*(){}[];\'\",.<>/?-=_`~ "answer = "phpinfo"tmp1,tmp2 = '',''for c in answer: for i in valid: for j in valid: if (ord(i)^ord(j) == ord(c)): tmp1 = i tmp2 = j break else: continue breakprint(tmp1,tmp2)

这样就可以将变量$_里面的内容打印到屏幕上,而且关键的是这个输出方式默认是开启的,管理员很容易就忽视这个选项。所以在做题时不妨一试。

2. 其他的命令执行方式

当system,passthru等不能用时,网上会告诉你可以使用popen,proc_open这些管道命令去进行执行命令,当然这没有问题,而这里我向你介绍一种新方式,使用反引号,在PHP中,被两个反引号括起来的内容将会作为shell命令执行,并将输出信息返回,所以你可以构造下面的payload进行命令执行

$_=`ls`;

3. 不能使用数字字母的命令执行

当不能使用字母数字时,当然你可以使用上述的方式构造字符串进行执行,但是这里提供一些新东西,对于linux中的shell是支持正则表达式的,当你忘记某些字符时可以通过? % *来代替,经过测试,这里的匹配方式也是按照顺序进行匹配,所以你可以查看你的linux中/bin目录下面的顺序,来获取一些可以使用的命令,比如

/???/??? => /bin/cat

那么这样的话,如果要获取/var/www/html/index.php(你得感谢apache默认目录如此之深),则可以直接使用

/???/??? /???/???/????/?????.???

来获取

总结

这篇文章只是针对这道题而延展出的一些东西,在真正做题时,情况可能更加复杂,例如限制长度,限制参数等等情况,而我们的做法也不可能千篇一律,可能某些时候我们甚至会用到一些CVE漏洞。而本篇文章只是告诉读者一些可能以前没有见过的新东西。

那么本篇文章就到此结束了。

如果想更多系统的学习CTF,可点击“http://www.hetianlab.com/pages/CTFLaboratory.jsp”,进入CTF实验室学习,里面涵盖了6个题目类型系统的学习路径和实操环境。


声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关!

  • 唱首山歌闹元宵(唱山歌闹元宵)
  • 2024-11-25唱山歌闹元宵粤剧是阳西群众喜闻乐见的艺术形式阳西文艺工作者将高雅艺术送到基层县级非遗“搂大头狗”在月亮湾景区表演小朋友们在制作汤圆的过程中,既饱口福又长知识元宵节前夕,阳西县文化馆设置了猜灯谜环节阳西县元宵节文艺。
  • 脓毒血症休克治疗指南(脓毒症休克诊疗规范)
  • 2024-11-25脓毒症休克诊疗规范脓毒症定义:由感染导致危及生命的器官功能障碍一:诊断:1)脓毒症诊断:对于感染或疑似感染的者,当脓毒症相关的序贯器官衰竭SOFA评分较基线上升≥2分可诊断脓毒症(SOFA评分2分的情况:格拉斯哥昏迷量。
  • 老旧小区能否设置停车场(停车场楼板是三合板)
  • 2024-11-25停车场楼板是三合板12日上午,贵阳市花溪区中铁城锦溪南区的几名业主拨打本报新闻热线反映,该小区南区地下停车场负二层和负三层的结构板(楼板)涉嫌偷工减料,正常的楼层结构板应该是钢筋混凝土,而他们小区部分区域的结构板竟然是。
  • 手机电池更耐用使用方法(如何让手机电池更耐用)
  • 2024-11-25如何让手机电池更耐用智能手机用的时间越长,当中的锂电池越来越不耐用是人们的共识当然,也有很多人觉得无所谓,因为“反正手机是一直充着电的”那么,如何才能让手机电池更耐用?有哪些注意事项?目前,手机用的电池几乎全部都是锂电池。
  • 甲鱼焖鸡怎么做(甲鱼焖鸡做法)
  • 2024-11-25甲鱼焖鸡做法主料:野生甲鱼1只(重约600克),清远老鸡1只(净重约500克),大水律蛇(人工饲养)1千克;调料:鸡粉30克,精盐15克,味粉10克,炸大蒜粒30克,高汤1千克,葱段、姜片各5克,辣椒适量,色拉油。
  • 文艺又凄美的心情短语(文艺又凄美的短句)
  • 2024-11-25文艺又凄美的短句真正的坚韧,应该是哭的时候要彻底,笑的时候要开怀,说的时候要淋漓尽致,做的时候不要犹豫很多人不是孤僻,而是有原则有选择地社交,和喜欢的人千言万语,和其他的人一字不提如果一个人,在你心里,在你脑海里,在。
  • 长短期保安管吃住(不管吃住的保安)
  • 2024-11-25不管吃住的保安#2021城事#我给你们算一笔在我们南宁某某事业单位不包吃不包住保安的工资分配这关系老铁了赵乐怡,我单位的保安,我进门测体温,他经常给我招呼,“领导早啊”的叫,不小心得了一个“领导”的称谓[我想静静]。
  • 足浴店上班女孩最后去哪里了(在足浴店的我终于离职了)
  • 2024-11-25在足浴店的我终于离职了第一天去上班的我,特意发表了一段文字还在想自己能坚持多久离职嘻嘻……没想到这一天这么快就来了对班是个刚来一个月的新人,是她带了我三天,我们就开始分班了我就变成新新人了她连着上了一个月的白班分班的时候轮。
  • 十大刮油去脂的食物:解馋不发胖的15种零食
  • 2024-11-25十大刮油去脂的食物:解馋不发胖的15种零食零食一直是公认的最令人发胖的食物,零食是很多女性保持身材的“敌人”但是很多上班族女性往往容易饿,但吃太多主食又怕影响正餐,所以不得不选择零食解馋上班族女性何不多吃些既解馋又不长胖的零食呢?1.黑巧克力。
  • 西班牙领土历史演变(欧洲史斯科普里)
  • 2024-11-25欧洲史斯科普里资料整理来源于:网络斯科普里,北马其顿共和国首都,也是北马其顿最大都市斯科普里附近地区自约前4000年以来就有人居住1世纪前夕,集落被罗马人攻克,成为罗马军队的野营地第一次世界大战后,斯科普里成为新建。
  • 杨林画家北京(著名画家杨林似曾相识)
  • 2024-11-25著名画家杨林似曾相识图文/杨林一、发现鸟巢我向来喜爱竹子,所谓“宁可食无肉,不可居无竹无肉令人瘦,无竹令人俗”当初我修建院子时特地从徽州山里移植过来一些竹子栽在后院里竹子的生命力顽强且旺盛,必须定期修整,否则整个院子很快。