网络安全CTF靶场之rce-labs

# RCE-labs 靶场内容(还将继续持续更新)： | 关卡号 | 类别 | 内容 | |---------|------------------------------|--------------------------------------------------| | Level 0 | 基础篇 | 代码执行&命令执行 | | Level 1 | 基础篇 | 一句话木马和代码执行 | | Level 2 | 基础篇 | PHP代码执行函数 | | Level 3 | 基础篇 | 命令执行 | | Level 4 | 命令执行 | SHELL 运算符 | | Level 5 | 命令执行 | 黑名单式过滤 | | Level 6 | 命令执行 | 通配符匹配绕过 | | Level 7 | 命令执行 | 空格过滤 | | Level 8 | 命令执行 | 文件描述和重定向 | | Level 9 | 命令执行 | 无字母命令执行_八进制转义 | | Level 10| 命令执行 | 无字母命令执行_二进制整数替换 | | Level 11| 命令执行 | 无字母命令执行_整数1的特殊变量替换 | | Level 12| 命令执行 | 无字母命令执行_整数0的特殊变量替换 | | Level 13| 命令执行 | 无字母命令执行_特殊扩展替换任意数字 | | Level 14| 命令执行 | 7字符RCE | | Level 15| 命令执行 | 5字符RCE | | Level 16| 命令执行 | 4字符RCE | | Level 17| 命令执行 | PHP命令执行函数 | | Level 18| 命令执行 | 环境变量注入 | | Level 19| RCE类型 | 文件写入导致的RCE | | Level 20| RCE类型 | 文件上传导致的RCE | | Level 21| RCE类型 | 文件包含导致的RCE | | Level 22| PHP 特性 | 动态调用 | | Level 23| PHP 特性 | 自增 | | Level 24| PHP 特性 | 无参命令执行 | | Level 25| PHP 特性 | 取反绕过 | | Level 26| PHP 特性 | 无字母数字的代码执行 | | Level 27| RCE类型 | 模板注入导致的RCE | ## WriteUp 后面慢慢补（） ### Level 0 : 代码执行&命令执行 打开题目即可得Flag，没有什么可以说的，作为第一个关卡主要是用于理解两者的区别。 **「任意代码执行 (Arbitrary Code Execution, ACE)」** 是指攻击者在目标计算机或目标进程中运行攻击者选择的任何命令或代码的能力，这是一个广泛的概念，它涵盖了任何类型的代码运行过程，不仅包括系统层面的脚本或程序，也包括应用程序内部的函数或方法调用。 在此基础上我们将通过网络触发任意代码执行的能力通常称为 **「远程代码执行 (Remote Code Execution, RCE)」**。 **「命令执行 (Command Execution)」** 通常指的是在操作系统层面上执行预定义的指令或脚本。这些命令最终的指向通常是系统命令，如Windows中的CMD命令或Linux中的Shell命令，这在语言中可以体现为一些特定的函数或者方法调用，如PHP中的`shell_exec()`函数或Python中的`os.system()`函数。 **「代码执行 (Code Execution)」** 同我们最开始说到的任意代码执行，在语言中可以体现为一些函数或者方法调用，如PHP中的`eval()`函数或Python中的`exec()`函数。 在该题目中： ```php 代码执行：eval("include('flag.php');echo 'This will get the flag by eval PHP code: '.\$flag;"); 命令执行：system("echo 'This will get the flag by Linux bash command - cat /flag: ';cat /flag"); ``` ### Level 1 : 一句话木马和代码执行 概念已经在题目引导部分做出解释： > 「代码执行 (Code Execution)」 在某个语言中，通过一些方式（通常为函数或者方法调用）执行该语言的任意代码的行为，如PHP中的`eval()`函数或Python中的`exec()`函数。 > 当漏洞入口点可以执行任意代码时，我们称其为代码执行漏洞 —— 这种漏洞包含了通过语言中对接系统命令的函数来执行系统命令的情况，比如 `eval("system('cat /etc/passwd');");` 也被归为代码执行漏洞。 题目给了一个常见的一句话木马，其需要传递的参数为 `a` ，使用POST的方法传递。 由于题目包含了 `get_flag.php`，所以我们直接在执行点输出flag就行： **POST**：`a=echo $flag;` 当然，一句话木马支持Webshell管理工具进行链接，通常情况下链接密码为提交的参数（如蚁剑）。 ### Level 2 : PHP代码执行函数 首先通过发送 GET：`/?action=` 去随机的获取一个函数，然后通过往 `/?action=submit` 路由 POST：`content=<函数参数>` 的方法完成题目。 通过源码可以看到最后我们的提交会组合为一个函数去调用： `eval(funciton(content))` 对应函数输出flag的方式可以参考下面的表格： #### PHP 代码执行相关函数 | 函数 | 说明 | 示例代码 | | ------------------------------------------------------------ | ------------------------------------------------------------ | ------------------------------------------------------------ | | `${}` | 用于复杂的变量解析，通常在字符串内用来解析变量或表达式。可以配合 `eval` 或其他动态执行代码的功能，用于间接执行代码。 | `eval('${flag}');` | | [`eval()`](https://www.php.net/manual/zh/function.eval.php) | 用于执行一个字符串作为 PHP 代码。可以执行任何有效的 PHP 代码片段。没有返回值，除非在执行的代码中明确返回。 | `eval('echo $flag;');` | | [`assert()`](https://www.php.net/manual/zh/function.assert.php) | 测试表达式是否为真。PHP 8.0.0 之前，如果 `assertion` 是字符串，将解释为 PHP 代码并通过 `eval()` 执行。<br />**PHP 8.0.0 后移除该功能。** | `assert(print_r($flag));` | | [`call_user_func()`](https://www.php.net/manual/zh/function.call-user-func.php) | 用于调用回调函数，可以传递多个参数给回调函数，返回回调函数的返回值。适用于动态函数调用。 | `call_user_func('print_r', $flag);` | | [`create_function()`](https://www.php.net/manual/zh/function.create-function.php) | 创建匿名函数，接受两个字符串参数：参数列表和函数体。返回一个匿名函数的引用。<br />**自 PHP 7.2.0 起被*废弃*，并自 PHP 8.0.0 起被*移除*。** | `create_function('$a', 'echo $flag;')($a);` | | [`array_map()`](https://www.php.net/manual/zh/function.array-map.php) | 将回调函数应用于数组的每个元素，返回一个新数组。适用于转换或处理数组元素。 | `array_map(print_r($flag), $a);` | | [`call_user_func_array()`](https://w