web40无参数RCE绕过
源码
<?php
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
大佬的wp
利用无参数RCE的姿势
一个坑的地方就是括号:
并不是(),而是()
参考:PHP Parametric Function RCE
方法一
读文件+数组改造
先把payload写下
?c=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
需要用到的函数
localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)
scandir():获取目录下的文件,scandir(.):获取当前目录下所有文件
pos():返回数组中的当前元素的值。
array_reverse():数组逆序
next(): 函数将内部指针指向数组中的下一个元素,并输出。
highlight_file():函数进行文件内容的读取,并输出
解答
00x1
首先通过 pos(localeconv())得到点号(.)
该方法还有如下函数可以进行替换
dirname(_FILE_)
current(localeconv()
reset(localeconv()
pos(localeconv()
getcwd()
因为scandir(’.’)表示得到当前目录下的文件,所以
scandir(pos(localeconv()))就能得到根目录的文件了。
具体内容如下
00x2
然后得到的文件数组结果,发现想要获取的文件排序在后面,这时候可以调整文件指针,用
array_reverse()函数,将输出文件反向排序
00x3
next(): 函数将内部指针指向数组中的下一个元素,并输出。
想要输出指定的指针文件,next()函数需要配合highlight_file()函数进行文件的输出
方法二
利用session_id()
刚开始的时候利用session_id(),修改下cookie中的PHPSESSID 内容为ls
但是在进步传参为flag是无法进行文件读取
具体的原因分析
来自: https://blog.csdn.net/miuzzx/article/details/108415301
经过测试发现,受php版本影响 5.5 -7.1.9均可以执行,因为session_id规定为0-9,a-z,A-Z,-中的字符。在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。
受到PHP版本的限制。