REC一些操作解法

一.Linux命令长度突破

1.源码如下

<?php
$param = $_REQUEST['param'];if ( strlen($param) < 8 ) {echo shell_exec($param);
}

 2.源码分析

   echo执行函数，$_REQUEST可以接post、get、cookie传参

3.破题思路

源码中对参数长度做了限制，小于8位，可以利用文件包含中学习到的临时函数，构造一个post传参的数据包，因为php将上传文件保存在tmp的临时目录底下，因为Linux特殊机制，可以用.来执行没有执行权限的文件，使用t*/*来匹配刚才上传的临时文件，shell_exec就会直接执行系统命令

4.过程

post数据包

构造数据包匹配临时文件

成功执行命令

二.RCE(利用php伪协议解题）

<?php
error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){eval($c);}
}else{highlight_file(__FILE__);
} 

1.代码分析

代码对一些特殊字符进行了过滤，例如flag、systemctl、标点符号、还有数字等等，一旦检测出这些特殊字符就会跳出代码不能执行 

2.解题过程

因为对括号进行了过滤，所以只能使用一些不带括号执行的函数，例如include，因为eval要带括号进行执行函数，括号又被过滤，所以可以使用断标签?>来结束eval

3.结果

使用了base64对flag文本内容加密，所以此时需要解密

4.防御手段 

在php.ini中禁用allow_url_include或者配置白名单。

三.RCE(php中点的构造）

1.代码分析

<?php
highlight_file(__FILE__);
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    eval($_GET['code']);
}
?>

该代码中过滤了数字，字母和下划线，\w匹配字母、数字和下划线，?R是递归匹配，后面的？是匹配0次到多次，所以该正则就是匹配无参函数

2.解题过程

构造无参函数进行命令执行或者文件，print_r(scandir('.'));可以用来查看当前目录所有文件名，共有两种构造点的方法，首先使用localeconv函数返回一包含本地数字及货币格式信息的数组，点就

出现在第一个数组当中，可以使用current函数，默认去到数组中第一个单元值，所以可以取到点，如果current函数被禁止，也可以使用pos代替该函数 

 成功执行命令

3.解法二

使用chr()函数构造点，因为chr()函数是将数字转为单字节字符串，.对应的数字为46，chr()函数是以256为周期，所以302 ，558都是点对应的

同样可以构造点，进行执行 。