简述
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统
常见命令执行
system():执行外部程序并返回结果;
exec():执行外部程序,但是只返回执行结果的最后一行(约等于无回显);
shell_exec():通过shell环境执行命令。
passthru():执行外部程序,但把命令的运行结果原样输出】;
反引号``:直接执行系统命令,回显需要echo;
常见代码执行
eval():传入参数作为php代码执行,原理:?><?=即需要加上分号结尾
assert():传入参数直接代码执行不需要分号结尾
create_function():主要创建匿名函数执行代码;
call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数;
call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组;
绕过小技巧
<?php
$param = $_REQUEST['param']; If (
strlen($param) < 17 && stripos($param, 'eval') === false && stripos($param, 'assert') === false
) {
eval($param);
}
方法一`$_GET[1]`
可以看到eval与assert两大函数被过滤
可以利用反引号将代码执行转换为命令执行
再利用eval执行echo `$_GET[1]这条命令,并且绕过了过滤最后再将get参数传入到linux命令执行并回显
法二 file_put_contents
利用函数file_put_contents对文件进行写入,使用追加的方式将base64编码写入文件
法三 usort(...$_get[])
通过php特性,可变长参数修改http包为post接收,利用请求体接收url传参
<?php
$param = $_REQUEST['param']; If ( strlen($param) < 8 ) { echo shell_exec($param);
}
法四
当可控数据只有8字节的时候
可以使用w> or >
提升
<?php
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>35){
die("Long.");
}
if(preg_match("/[A-Za-z0-9_$]+/",$code)){
die("NO.");
}
eval($code);
}else{
highlight_file(__FILE__);
}
这里过滤了字母数字和下划线$,
在php7的版本里
可以通过两个括号来执行('phpinfo')(); 第一个为任意php表达式
在5的版本中
采用反引号加shell的方式来打破
在我们上传一个文件时,系统会产生一个临时文件,最后一位为大写字母or0,我们可以利用这个特性来匹配这个临时文件,通过.空格的方式执行脚本
在glob通配符里 *
可以代替0个及以上任意字符 ?
可以代表1个任意字符
这种过滤情况下采用?来匹配,最后一位为大写,而大写字母在ASCII表里在`@`与`[`之间
则ls /???/????????[@-[]来匹配临时文件,多尝试几次匹配成功