PHP 无参数RCE总结

于 2024-08-15 20:46:38 发布
阅读量176 收藏 7
点赞数 13
分类专栏: CTF 文章标签: php android 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68483928/article/details/141231265
版权

在这篇文章中,我总结了在参与CTF比赛过程中积累的关于PHP无参数远程代码执行(RCE)的经验。由于一直以来时间有限,今天终于有机会整理这些知识点。

可能用到的函数(PHP的内置函数)

localeconv() 函数返回一个包含本地数字及货币格式信息的数组,第一个值是.

pos() 返回数组中的当前单元,默认取第一个值

next() 将内部指针指向数组的下一个元素并输出

scandir() 扫描目录

array_reverse() 翻转数组

array_flip() 键名与数组值对调

readfile() 读取文件

array_rand() 随机读取键名

var_dump() 输出数组,可以使用print_r替代

file_get_contents() 读取文件的内容

show_source highlight_file echo 可替代

get_defined_vars() 返回由所有的一定义的变量所组成的数组

end() 将数组的内部指针移动到数组的最后一个元素,并返回这个元素的值。

current() 读取数组的第一个元素

方式1
利用get_defined_vars()函数的特性进行RCE

比如
在这里插入图片描述

然后我们假装使用GET传参,利用current()获取第一个参数_GET

在这里插入图片描述

然后我们可以利用end()获取_GET中的最后一个参数值

利用这个特性我们可以构造payload

code=eval(end(current(get_defined_vars())));&c=system('ls');

//先获取到所有的元素,然后获取第一个参数。end获取第一个参数的最后一个元素的值,这里相当于是获取_GET参数的最后一个元素的值也就是$C的值system('ls');.然后通过eval()执行
方式2

利用**localeconv()**读取当前目录文件的内容

利用**pos(localeconv())获取. 然后使用scandir()获取当前目录的文件。然后通过array_flip()将键值调换,键值的位置替换到键的位置上去。再使用array_rand()随机读取一个键,这个键可能是我们想要读取的敏感文件。然后我们再使用read_file()**读取文件内容

方式3
另外一种方法(通过pos(localeconv()获取一个. 再用scandir 获取当前目录文件,再通过next(array_reverse)获取flag.php ,最后readfile读取文件)

http://target.com/?code=readfile(next(array_reverse(scandir(pos(localeconv())))));
Eileen Seligman
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 1877
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
初探无参数RCE
weixin_46330722的博客
12-07 2683
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
参数RCE总结
Manuffer的博客
10-13 5633
文章目录知识点概念常见绕过姿势1、getallheaders()2、get_defined_vars()3、session_id()配合使用的函数CTF例题[GXYCTF2019]禁止套娃姿势一:array_reverse()姿势二:session_id() 知识点 概念 无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。 没有参数的函数什么意思?一般该类题目代码如下(或类似): <?php if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NU
php参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 522
前言最近做了一些 php参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
php参数函数实现rce,无参数读文件和RCE总结
weixin_28759987的博客
04-02 759
chr(time)chr(current(localtime(time)))chr(time) :chr 函数以256为一个周期,所以 chr(46) , chr(302) , chr(558) 都等于 "."所以使用 chr(time) ,一个周期必定出现一次 "."chr(current(localtime(time))) :数组第一个值每秒+1,所以最多60秒就一定能得到46,用 curre...
参数RCE--总结
weixin_58646698的博客
10-13 461
参数RCE绕过姿势总结
参数RCE知识点
m0_75178803的博客
12-12 646
无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果。
参数读文件和RCE总结
蚁景网安学院
07-06 2823
引言代码解析无参数任意文件读取查看当前目录文件名读取当前目录文件查看上一级目录文件名读取上级目录文件查看和读取多层上级路径的就不写了,一样的方式套娃就行查看和读取根目录文件无参数命令执行...
参数RCE绕过的详细总结(六种方法)
2301_76690905的博客
10-26 3229
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
Yii框架反序列化RCE利用链分析1
08-03
总结起来,Yii2框架中的这个反序列化RCE漏洞利用链涉及到了多个类的交互,包括`BatchQueryResult`、`DbSession`和`IndexAction`。通过精心构造对象和调用链,攻击者可以执行任意代码,对系统造成严重威胁。因此,...
PbootCms-3.04前台RCE挖掘过程1
08-03
本文档基于一篇详细介绍了该漏洞挖掘过程的文章进行总结,并深入分析其技术细节。 #### 漏洞挖掘思路 在开始审计PbootCms之前,作者参考了两篇相关文章来梳理思路: 1. 第一篇文章描述了当后台配置值设置为`if`标签...
怎样挖掘出属于自己的 php 反序列化链1
08-03
此外,作者还给出了如何利用可变参数、调用无参数函数的结构,以及如何构造数组来调用类的公共方法等技巧。 总之,挖掘PHP反序列化链需要对PHP对象的生命周期、魔术方法、类和对象的交互有深入理解,并结合实际代码...
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
Web安全】无字母数字Webshell总结Web安全领域,Webshell是一种常见的攻击手段,用于在目标服务器上获得远程控制。无字母数字Webshell是指避开常规字母和数字字符限制的Webshell构造方法。通常,服务器会通过...
CTF知识总结,写的不错
10-29
- **无参数RCE**:无需参数的远程代码执行漏洞,可能出现在不安全的函数调用中。 - **Session管理**:了解如何操作和篡改PHP session,包括自定义session处理器。 - **Phar归档**:PHP的Phar归档格式允许打包PHP...
文件上传-.user.ini利用
最新发布
feiwujiushiwo的博客
08-13 182
php.ini是php的全局配置文件,对整个web服务起作用.user.ini和.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件。
zabbix的setup无法进入第二步
houduanq的博客
08-11 463
chmod: 无法访问"/var/lib/php/session": 没有那个文件或目录。
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 561
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 319
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
php RCE常用函数
08-26
PHP中常用的RCE(远程代码执行)函数包括preg_match、array_values、current和eval。其中,preg_match函数主要用于过滤函数,将一些常用不带参数的函数的关键部分过滤掉,需要使用其他方法来执行命令。 array_values函数可以将数组的值重新组成一个数组,配合current函数可以取出数组的第一个值,用于RCE。另外,chdir()函数返回的是布尔类型的true,对不需要传入参数的time()函数没有影响,可以正常执行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [浅谈无参数RCE](https://blog.csdn.net/weixin_30568317/article/details/116284685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值