无参函数的RCE

最新推荐文章于 2024-08-10 23:45:03 发布
最新推荐文章于 2024-08-10 23:45:03 发布
阅读量2.4k 收藏 6
点赞数 2
分类专栏: ctf_web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silence1_/article/details/102835743
版权

无参函数的RCE

最近遇到挺多rce的题,这里记录一下关于无参函数的rce。

先看看代码:

<?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
} else {
    show_source(__FILE__);
}
?>

很明了,get的code只能是函数形式的,且不能带参数。
也就是a(); a(a());这种可以,不能是a('1');这种。

这里有几种不同的方法来达到rce的目的。这里我们可以使用函数,但不能传入参数,所以我们就想办法用函数来代替我们想要传入的参数。

还要考虑的是,我们用什么方式来传递参数,很容易想到,常规的get、post可以传参,http headers也可以用来传参。

先来看看用http headers如何传参。
http头中又有那么多内容,而最容易想到的就是利用cookies传递参数

查找php中关于session的函数,发现有一个session_id 函数

session_id ([string$id ] ) :string

session_id() 可以用来获取/设置当前会话 ID。
那么可以用这个函数来获取cookie中的phpsessionid了,并且这个值我们是可控的。
但其有限制:

文件会话管理器仅允许会话 ID 中使用以下字符:a-z A-Z 0-9 ,(逗号)和 - 减号)

没事,我们只要数字和字母就可以了,因为可以将我们的参数转化为16进制穿进去,之后再用hex2bin()函数转换回来就可以了。

所以,payload可以为:code=eval(hex2bin(session_id()));
但session_id必须要开启session才可以使用,所以我们要先使用session_start。
最后,payload:eval(hex2bin(session_id(session_start())));
在http头中设置PHPSSID为想要执行代码的16进制

hex("phpinfo();")=706870696e666f28293b

在这里插入图片描述
成功rce

还有一种方法就是使用get/post传参。
先来看看几个函数:

get_defined_vars ( void ) : array 返回由所有已定义变量所组成的数组
此函数返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。

试一下,在这里插入图片描述
可见我们的b参数在里面,那么这么把它提取出来呢
再找找位置函数
发现GET的参数在数组的第一个,于是用到current函数。

current ( array &$array ) : mixed 返回数组中的当前单元
每个数组中都有一个内部的指针指向它“当前的”单元,初始指向插入到数组中的第一个单元。

此时,我们就可以提取到GET参数的数组了
在这里插入图片描述
我们的b在最后一个位置,于是可以用end函数来取出来。

end ( array &$array ) : mixed end()
将 array 的内部指针移动到最后一个单元并返回其值。

在这里插入图片描述
成功取到了传入的b参数,于是在配合eval就可以利用参数b来达到rce的目的了。
最终payload:code=eval(end(current(get_defined_vars())));&b=phpinfo();
在这里插入图片描述

Dar1in9
关注
专栏目录
无参 RCE
snowlyzz的博客
08-07 617
无参rce
无参rce
qi_SJQ_的博客
08-10 253
getcwd():返回当前目录的绝对路径------返回路径 scandir() :列出指定路径中的文件和目录,返回的是数组!-----利用路径(目录) print_r() :以易于理解的格式打印变量-----输出 怎么构造? localeconv() :返回一包含本地数字及货币格式信息的数组,而数组第一项就是".",因此要再用一个函数取出这个点。可以current(localeconv())返回“.”。 故:var_dump(scandir(current(localeconv())));----遍历当
无字母RCE
qq_64201116的博客
06-23 1776
无字母RCE你到底有多懂,看了也许会更进一步
RCE——远程命令执行(无字母数字篇)
最新发布
m0_69151365的博客
08-10 804
这道题属于是一个无字母无数字的题目,除了高版本的解法之外,我们更应该关注通用版本的解法,我们主要利用的php代码文件上传在代码执行完之前会存放在临时文件里,我们利用它的默认命名方式来进行一个正则匹配,而且Linux一般文件都不会用大写命名,从而写出这个正则来进行匹配。
无参RCE
sGanYu
10-02 2177
[GXYCTF2019]禁止套娃 <?php include "flag.php";//执行并包含flag.php echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串 if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/.
无字母数字RCE
yourdawntown的博客
09-06 2032
版本为php5 php5中assert是一个函数,我们可以通过f=′assert′;f='assert';f=′assert′;f(…);这样的方法来动态执行任意代码。 但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。但也无需过于担心,比如我们利用file_put_contents函数,同样可以用来getshell。 无数字和字母rce 测试代码 <?php if(!preg_match('/[a-z0-9]/is',
无参函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 922
目录无参RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
php无参函数实现rce,浅谈无参RCE
weixin_30568317的博客
04-02 1937
0x00 前言这几天做了几道无参RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
[ctf web]从 [GXYCTF2019]禁止套娃 开始的无参函数RCE
ShenZ的博客
08-15 335
无参函数RCE [GXYCTF2019]禁止套娃 wp 无参函数RCE sky大佬yyds!rce一定要看大佬的文章!!link
初探无参RCE
weixin_46330722的博客
12-07 2799
概念 所谓无参RCE,就是通过没有参数函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
无参rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
RCE无参数构造
nobugnomoney的博客
05-24 1399
一、RCE无参数构造 无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数函数套娃就可以达到命令执行的效果,这在ctf中也算是一个比较常见的考点,接下来就来详细总结总结它的利用姿势。 核心的代码 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 也就是说只能传入函数(),但是()里面能有参数,要是有参数的话最终的返回值不是;就不能进行匹配。例如传入A
无字母数字rce总结(自增、取反、异或、或、临时文件上传)
whale_waves的博客
02-29 1888
临时文件上传 通过上传文件然后用符号.调用执行文件 第一个知识点: 通过post上传文件,此时php会在linux里的零时文件夹保存文件,且文件一定是php加上六个随机的字符 /tmp/php?????? 这个应php保存的临时文件会有一个特性,就是这6个随机的字符会出现大写的情况 例如: 普通文件/tmp/adcabcabc php保存的临时文件/tmp/phpAvxAsa 第二个知识点: 现在直到了文件上传的位置以及特性那么现在要怎么利用它 shell下支持使用. 来
无参RCE知识点
m0_75178803的博客
12-12 675
无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数函数套娃就可以达到命令执行的效果。
无参数绕过RCE
m0_73756016的博客
04-07 996
顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;使用的函数规定必须参数为空或者为一个参数无参数题目特征if(';R)?代码解析这里使用替换匹配到的字符为空,\w匹配字母、数字和下划线,等价于,然后R)?这个意思为递归整个匹配模式eg:[^\W]+\(?\)匹配到"a()"形式的字符串,但是()不能内出现任何参数(?R)代表递归,即a(b(c()))都能匹配到使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;
无参rce
热门推荐
Love&Share
11-27 1万+
无参rce 前几天比赛中遇到的一道题,get了无参rce的一种新的方法 121.196.32.184:12001 基础绕过 访问./3b8cf4731c36d20776c76e20f9c774c7.php 参考链接https://www.jianshu.com/p/7355a5ab4822 解码提示 访问得到一个php文件 html>$file=$_POST['file'];if($file!="/xxx")die("你需要知道写入的文件名!!!!!我猜你知道到这个文件叫什么,记得加上绝对路径
rce所用函数
qi_SJQ_的博客
10-30 265
(1)对于数组的函数: current() //返回数组中的当前单元,默认取第一个值。 reset() //将数组的内部指针指向第一个单元。 end() //将数组的内部指针指向最后一个单元。 next() //将数组中的内部指针向前移动一位。 prev() //将数组内部指针倒回一位。 array_reserve():将数组反转,第一位变成最后一位. array_flip() array_rand() :从数组中取出一个或多个随机的单元,并返回随机条目的一个或多个键(即数字)。 (2)常见函
php RCE常用函数
08-26
- *1* *2* *3* [浅谈无参RCE](https://blog.csdn.net/weixin_30568317/article/details/116284685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值