当一套题过滤了函数的参数(括号内的内容,有时候也可以通过过滤单双引号实现),但是没有过滤函数时就可以利用无参数RCE
这种题目的做法基本上就是,利用超级全局变量来进行bypass,利用函数的嵌套的替代参数的出现。然后进行任意文件读取。
利用函数通常为 eval
system
include
通常我们会用到这些函数
localeconv() – 函数返回一个包含本地数字及货币格式信息的数组 第一个是 .
pos() – 返回数组中的当前单元, 默认取第一个值
next – 将内部指针指向数组下一个元素并输出
scandir() – 扫描目录
array_reverse() – 翻转数组
array_flip() - 键名与数组值对调
array_pop() — 弹出数组中最后一个元素
readfile()
array_rand() - 随机读取键名
var_dump() - 输出数组,可以用print_r替代
file_get_contents() - 读取文件内容,show_source,highlight_file echo 可代替
get_defined_vars() - 返回由所有已定义变量所组成的数组
end() - 读取数组最后一个元素
current() - 读取数组的第一个元素
#php内置函数
只要将这些函数按照逻辑组合起来,就能实现任意文件读取
使用 get_defined_vars()
介绍 get_defined_vars()
这是一个用于返回由所有已定义变量所组成的数组
这个数组中第一个变量是$_GET
第二个变量是$_POST
- 我们就可以利用
pos(get_defined_vars())
(current(get_defined_vars())
) 和next(get_defined_vars())
分别获取$_GET 和 $_POST - 然后再利用
array_pop()
current
pos
end
来获得数组中第一个或者最后一个参数 - 利用
array_rand
随机获取取一个键名,同时可以搭配array_flip()
将键名和键值对调,实现获取任意一个键值
利用这一点,我们可以通过传值来绕过无参数的限制,为其他函数提供我们想要的参数
介绍 localeconv()
函数返回一个包含本地数字及货币格式信息的数组 第一个是 .
- 利用
pos(localeconv())
current(localeconv())
可以获得字符串.
,并利用这个点搭配scandir()
扫描当前目录文件
介绍 readfile()
当我们把参数构造好后,就可以利用这个函数来实现任意文件读取
实例一
readfile(pos(next(get_defined_vars())));
POST : 1=flag.php
// 读取当前目录下的 flag.php文件
实例二
readfile(array_rand(array_flip(scandir(pos(localeconv())))));
// 随机读取当前目录下的一个文件
总结
无参数RCE大体上就是通过上面的逻辑来实现的,用函数取构造参数,再用函数去执行这些被构造的参数,实现RCE