RCE奇技淫巧:1、参数值长度限制2、长度限制+不能有字母数字

已于 2024-08-11 23:04:38 修改
阅读量539 收藏 19
点赞数 15
分类专栏: HCIE SQL注入 网络安全 文章标签: 服务器 网络安全 网络协议 开发语言 智能路由器
于 2024-08-11 22:55:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZQXSSJHK/article/details/141113342
版权
网络安全 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
HCIE
9 篇文章 0 订阅
订阅专栏
SQL注入
4 篇文章 0 订阅
订阅专栏

奇技淫巧

一、首先打破长度限制

有以下三种方法:

001、用多个参数来实现分段写

当我们的url中id参数长度被被限制了,那么我们可以采用将需要执行的代码进行分开再合拢

后端:eval($_get[id]) ,id长度被限制

前端:?id=echo `$_get[1]`&1=whoami

注意千万不能这样写:?id=`$_get[1]`&1=echo whoami

因为这样的真实还原是:$_get[1]=`"echo whoami"`;地址栏传递值会自动加上双引号

002、先要执行的一句话代码写入一个文件1,再用文件1包含这个文件2;

访问文件1,就执行文件1的include,就将文件2包含进来了,文件2就也会被执行,文件2执行就是解码,解码后是eval执行语句,然后就还会执行文件2解码后的eval()内容

eval($_get[parm])

先将base64编码后的eval内容写入N这个文件;(PD...等值就是eval转码之后的内容)

然后在下面再去把所有参数传给eval($_get[parm]),然后eval一执行就会执行include,include一执行就会把get[1]当成一个php文件包含进该文件中,因为你访问了该文件,所以包含进来的文件也会被执行,而包含进来的文件就是对N文件中的内容再解码回去,解码回去又是一个eval()的执行函数,所以访问包含进来的文件时,也会执行eval,执行eval时,eval就会执行里面的php代码

---之所以要先转码再解码是因为,file_put_contents是不能写特殊符号的;

003、回调函数usort,这个函数其实是用来给数组排序的,参数1是数组,参数2是排序规则的函数;因此我们的数组肯定是会被usort放进排序规则函数中去执行的;因此我们也可以把这个usot当成一个回调函数;

---当a,b();abc(a,b);当abc可以将a放入b函数中,那么这个abc()就可以称之为回调函数

eval($_get[parm])

从上面看出,我们的parm参数没有呀,那么我们这个参数应该在哪里写?

这个usort方法我们使用post请求来实现

这里第三种跟第一种有点像

注意post请求的content-type和id(parm)=usort(...$GET);必须要空一行;最后记得eval是需要有分号的;

...$_GET是代表接收多个参数;其中这里应该是数组参数,一个是普通参数

参数长度限制+不能有大小写字母+数字

我去,这还玩个屁呀,前面长度限制我还有的搞,大不了将parm参数的值写成接收$_GET[1],然后参数1才是接收真正的代码嘛;

但是这个直接就是不能有字母,那我参数值里面不能有字母还玩个屁啊;

NONONO!!

首先我们要明确一点,这个过滤规则只是针对接收的parm变量,不会针对其他任何东西

因此上面我们既然可以将参数parm写成$_get[1],然后去接收1的值,就是将代码转义,我去接收存放代码的那个变量;

那么我们是不是也可以将代码写入一个脚本文件中,然后去执行那个脚本文件即可;

哈哈哈,现在有思路啦;

这里说一嘴,既然我们是将代码写入脚本文件中,那么我们何不直接去将该代码写入临时文件中呢,这样我们运行完了脚本中的程序之后,临时文件还能自动删除,这岂不是还能增加安全性吗;

实现步骤:

1、首先,我们需要考虑的就是怎样将代码写入临时文件中,临时文件的内容是你提交的内容中的一些基本信息;如果我们提交的是一个文本文件,那么文本文件的内容也会写入临时文件中;因此我们可以通过在文本文件中写入一串脚本;然后在通过post提交这个脚本文件的时候系统就会自动就其脚本文件内的内容写入临时文件中;

好,因此我们需要在本地写一个脚本文件,方便临时文件的内容自动写入

2、脚本文件的写入:我们的脚本文件的内容是会写入临时文件中的,后面我们的临时文件也是需要去被执行的,那么执行的方式应该是什么?就是系统在执行这个脚本文件的时候应该把他成是什么脚本语言去执行?

因为真实环境中的服务器通常是部署在Linux下的,所以我们这里就应该写Linux的脚本文件,因此确定是写Linux的shell的话,那么我们的开头就应该是

#!/bin/bash

Linux的具体命令----

3、好,临时文件的内容可以被确定了之后,接下来就是考虑怎么去执行这个临时文件了,就是说怎么让系统用Linux的方式去执行这个Linux 的shell脚本;

---我们Linux的脚本执行方式的其中一种:引号

我们用反引号括起来的文件都会被当成Linux文件去执行;

4、欧克欧克,到达最后一步了:我们怎么去选中这个临时文件:

使用glob路径匹配符

POST /web.php?code=?><?=`.+/???/????????[@-[]`;?> HTTP/1.1 //大多数临时文件的格式

这里的[@-[]代表匹配一个大写字符

就这样,我将glob匹配放入eval中后,eval就会执行这个匹配,然后就会匹配到对应的临时文件;

注意:系统不会把这个当成正则表达式,

因为正则表达式是必须在类似于这种函数里面的:pre_match()

流程简解:1、创建文本文件,存放代码,用于临时文件创建   1-2点↑

2、执行该临时文件,`反引号`     3点↑

3、匹配临时文件 4点↑

补充小知识点:

1、Linux中:ps -ef 和netstat的区别

netstat是查看网络状态的命令,包括监听的端口号(-l);

ps -ef 是查看当前的所有进程,包括端口号

2、注意:只能一个提交表单,一个用于访问,因为提交表单的时候, 你访问的是html文件;所以你的shell脚本是写在用于访问的那个数据包里面的,且为了生成临时文件,需要将用于访问的get访问模式修改成post访问模式;只有post访问才能生成临时文件;

既然你是post传参,肯定除开修改post请求模式以外,还需要添加post请求模式中 必要的值;但是不需要删除开始的值,因为后端验证是通过获取一个一个字段来验证的,所以你不删除的字段他也不会获取,所以不需要删除多余的;

--需要添加的部分:

注意,这个执行命令是添加在.txt文件中

执行过程:首先访问php,然后php获取参数,然后执行php代码,php代码在执行的时候,会因为反引号,就会直接将该反引号的东西当成Linux命令执行;跟system/exec执行命令一样;

而这个命令就是:执行匹配上的临时文件,临时文件里面的内容就是这个请求头中从上传文件中取出来的内容

3、tmp注意必须要有执行权限,不然Linux系统不能为其创建临时文件;且必须是post请求

---------------------------------我们只讲思路,不讲详细过程;

                                          过程是背,思路是理解;

                                           想要走多远,10%背+90%理解

祝你年薪百万,成绩辉煌!!!

五岁就很酷
关注
专栏目录
[极客大挑战 2019]RCE ME (无字母数字RCE+有长度限制)
开心星人的博客
09-01 1232
利用蚁剑插件:disable_functions,右键数据->加载插件->辅助工具->绕过disable_functions->然后选择PHP7_GC_UAF->点击开始,然后直接输入命令/readflag,即可得到flag。根目录下有flag,但是无法读取。我们先构造phpinfo()antsword连接url时。取反得到payload。将参数也带上,才能连上。...
字母数字rce总结(自增、取反、异或、或、临时文件上传)
whale_waves的博客
02-29 1879
临时文件上传 通过上传文件然后用符号.调用执行文件 第一个知识点: 通过post上传文件,此时php会在linux里的零时文件夹保存文件,且文件一定是php加上六个随机的字符 /tmp/php?????? 这个应php保存的临时文件会有一个特性,就是这6个随机的字符会出现大写的情况 例如: 普通文件/tmp/adcabcabc php保存的临时文件/tmp/phpAvxAsa 第二个知识点: 现在直到了文件上传的位置以及特性那么现在要怎么利用它 shell下支持使用. 来
RCE绕过之字符长度受限
Ciyaso的博客
07-23 1188
有事我们的命令长度可能受限,这时我们可以使用touch来生成文件,然后将生成的文件名拼凑成一句命令,最后执行,达到目的 <-- cat flag.php --> 替换: touch "hp" touch "g.p\\" touch "la\\" touch "t f\\" touch "ca\\" ls -t ls -t >a 将 ls -t 内容写入到a文件中 sh a \是指换行 ls -t将文件按时间排序输出 sh命令可以从一个文件中读取命令来执行 返回主页 ...
RCE之突破长度限制
a15183865601的博客
08-12 961
我们在写webshell时通常会遇到过滤,但除了过滤之外还可能会有长度限制,这里就简单说一下关于RCE突破长度限制的技巧。
字母数字RCE
yourdawntown的博客
09-06 2032
版本为php5 php5中assert是一个函数,我们可以通过f=′assert′;f='assert';f=′assert′;f(…);这样的方法来动态执行任意代码。 但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。但也无需过于担心,比如我们利用file_put_contents函数,同样可以用来getshell。 无数字字母rce 测试代码 <?php if(!preg_match('/[a-z0-9]/is',
数字字母rce总结(取反、异或、自增、临时文件)
东隅的博客
09-27 7799
数字字母rce的知识点、poc、exp(取反、异或、自增、临时文件)
CTF中字符长度限制下的命令执行 rce(7字符5字符4字符)汇总
热门推荐
Love&Share
10-21 2万+
七字符rce 源码 <?php highlight_file(__FILE__); if(strlen($_GET[1]<7)){ echo strlen($_GET[1]); echo '<hr/>'; echo shell_exec($_GET[1]); }else{ exit('too long'); } ?> #写入语句 <?php eval($_GET[1]); #base64编码后 PD9waHAgZXZhbCgkX0dFV
RCE绕过之无数字字母getshell
Ciyaso的博客
07-23 1885
数字字母getshell ①取反 php可以对汉字取反获得乱码,但大多数会包含一个字母,例如你字取反为B_其中第二位就是大写字母B,所以可以通过这种方法获得字母B 这里使用羽师傅的脚本 <?php //在命令行中运行 /*author yu22x*/ fwrite(STDOUT,'[+]your function: '); $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); fwrite(STDOUT,'[+]you
【Web】无字母/数字/参RCE相关例题wp
uuzeray的博客
11-10 978
话说14号还有一场小比赛嘞,恰逢周末,好好整理一下贴出几篇文章一起学习。
字母数字rce(ctfshow web入门56)
L1ni01
11-01 3665
字母数字rce(ctfshow web入门56) 我们根据这一题直接进入主题 //web56 <?php // 你们在炫技吗? if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } 过滤
通达OA的未授权、有限制未授权、upload——rce的poc.rar
09-02
POC1(未授权登录+upload rce).py是一个证明概念(Proof of Concept,POC)脚本,它演示了如何利用这个漏洞进行未授权登录,并且结合了上传RCE的能力。 接着,我们讨论“upload——rce”,即上传远程执行代码漏洞...
Java-Rce-Echo:Java RCE回显测试代码
03-19
Java RCE回显 支持的回显测试代码 Linux通用回显 Windows通用回显 春天回显 Tomcat通用回显(已在6.0.10 / 6.0.53 / 7.0.34 / 7.0.54 / 7.0.70 / 7.0.96 / 7.0.104 / 8.0.18 / 8.0.32 / 8.0.48 / 8.5.12测试/...
solr_rce:通过Velocity模板的Apache Solr RCE
03-08
通过Velocity模板的Apache Solr RCE python用法: python solr_rce.py http://xxxx:8983 command getshell编码有效负载 whoami >>> bash -c {echo,d2hvYW1p}|{base64,-d}|{bash,-i} 0x01 solr简介 Solr是Apache ...
redis-rce:Redis RCE 的几种方法
04-15
1. 配置安全:限制 Redis 只监听在内部网络,避免暴露在公网上;设置密码认证,如使用 `requirepass` 防止未授权访问。 2. 输入验证:对客户端应用中的 Redis 命令进行严格的输入验证,防止命令注入。 3. 安全持久...
[鹏城杯 2022]简单的php - 无数字字母RCE(取反)【*】
oZuoShen123的博客
10-08 626
分析题目 参数:code 特点:1、参数值长度不能超过80    2、不能输入数字字母,仅这一点就可以排除常规做法。所以这题利用取反+RCE来做
基于高通主板的ARM架构服务器
D404234的博客
09-11 1355
但高通在服务器市场面临激烈竞争,联发科在手机芯片市场挑战高通,苹果加快自研芯片使用步伐给高通压力,服务器市场英特尔占主导,高通要成功需克服诸多困难。高通在服务器芯片领域面临挑战,有收购与专利问题,博通收购后高通削减“非核心业务”支出,Intel 市占率高且 Arm 生态和软件不完善,高通在 Arm 服务器芯片市场进展不大,2018 年高通服务器芯片部门裁员约 280 名,占部门总人数一半左右,业务前景充满不确定性。易获取部署,众多供应商,90%主流软件适配,兼容性强,常见系统和程序可顺畅运行。
Linux:五种IO模型
MaoRuofeng的博客
09-09 1226
阻塞IO: 在内核将数据准备好之前,系统调用会一直等待.所有的套接字,默认 都是阻塞方式。非阻塞 IO: 如果内核还未将数据准备好, 系统调用仍然会直接返回, 并且返回EWOULDBLOCK 错误码。 非阻塞 IO 往往需要循环的方式反复尝试读写文件描述符(对于CPU会有较大的浪费), 这个过程称为轮询。 信号驱动 IO: 内核将数据准备好的时候, 使用 SIGIO 信号通知应用程序进行 IO操作。IO 多路转接: 虽然从流程图上看起来
Windows电脑A远程连接电脑B
weixin_44750594的博客
09-11 239
3. 打开电脑A,如果默认没有搜索图标出来,可以利用Windows+X调用出搜索命令,之后输入“远程桌面连接”,打开远程桌面把B电脑的IP输入。ip看以无线局域网适配器 WLAN里面的本地链接IPV6地址:X.X.X.X(这是那个地址的格式就是,例如为10.222.1.2)4. 如果电脑B有密码和名字,把电脑的名字和电脑密码输入给A,这样就可以连接。
怎么选择适合的服务器
最新发布
2403_86998484的博客
09-14 411
大家都知道,不管是公司还是个人,在数字化浪潮已经席卷全球的环境下,大家对服务器的需求是日渐增长的。很多人在买服务器的时候,多少都有点选择困难,今天我们就来对比下物理服务器和弹性云服务器,看看选哪个更省心。业务规模:如果你的业务还在起步阶段,或者只是想自己倒腾点东西,比如建steam游戏的服务器、建个人博客、论坛等,那么云服务器应该更适合你。想象一下,物理服务器就像你家的老式冰箱,虽然样子有点过时,但性能稳定,用起来心里踏实。而弹性云服务器,就像是你的智能手机,随时随地,想怎么用就怎么用。
Spring-beans RCE漏洞:非基本参数类型引发的安全威胁
本文将深入分析Spring-beans Remote Code Execution (RCE) 漏洞,该漏洞发生在Spring框架的参数绑定功能中。漏洞利用者可以利用Java的反射机制,通过构造特定的输入参数来执行任意代码,最初看似不太严重,但实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值