php无参数函数实现rce,浅谈无参数RCE

最新推荐文章于 2024-04-10 16:31:45 发布
最新推荐文章于 2024-04-10 16:31:45 发布
阅读量1.8k 收藏 9
点赞数 5
文章标签: php无参数函数实现rce

0x00 前言

这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。

首先先来解释一下什么是无参数RCE:

形式:

if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}

preg_replace('/[a-z]+((?R)?)/', NULL, $code)

pre_match('/et|na|nt|strlen|info|path||rand|dec|bin|hex|oct|pi|exp|log/i', $code))

分析一下代码:

preg_replace 的主要功能就是限制我们传输进来的必须是纯小写字母的函数,而且不能携带参数。

再来看一下:(?R)?,这个意思为递归整个匹配模式。所以正则的含义就是匹配无参数的函数,内部可以无限嵌套相同的模式(无参数函数)

preg_match的主要功能就是过滤函数,把一些常用不带参数的函数关键部分都给过滤了,需要去构造别的方法去执行命令。

因此,我们可以用这样一句话来解释无参数RCE:

我们要使用不传入参数的函数来进行RCE

比如:

print_r(scandir('a()'));可以使用

print_r(scandir('123'));不可以使用

再形象一点,就是套娃嘛。。一层套一个函数来达到我们RCE的目的

比如:

?exp=print_r(array_reverse(scandir(current(localeconv()))));

0x01 从代码开始分析

我们先来看一下几天前刚做的一道题目:

[GXYCTF2019]禁止套娃

源码:

include "flag.php";

echo "flag在哪里呢?
";

if(isset($_GET['exp'])){

if (!preg_match('/data://|filter://|php://|phar:///i', $_GET['exp'])) {

if(';' === preg_replace('/[a-z,_]+((?R)?)/', NULL, $_GET['exp'])) {

if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {

// echo $_GET['exp'];

@eval($_GET['exp']);

}

else{

die("还差一点哦!");

}

}

else{

die("再好好想想!");

}

}

else{

die("还想读flag,臭弟弟!");

}

}

// highlight_file(__FILE__);

?>

我们先来分析一下源码吧:

1:需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的内容。

2:preg_match过滤了我们伪协议的可能

3:preg_replace 的主要功能就是限制我们传输进来的必须时纯小写字母的函数,而且不能携带参数。只能匹配通过无参数的函数。

4:最后一个preg_match正则匹配掉了et/na/info等关键字,很多函数都用不了

5:eval($_GET['exp']); 典型的无参数RCE

既然getshell基本不可能,那么考虑读源码看源码,flag应该就在flag.php我们想办法读取

首先需要得到当前目录下的文件scandir()函数可以扫描当前目录下的文件,例如:

那么问题就是如何构造scandir('.')

这里再看函数

localeconv() 函数:

返回一包含本地数字及货币格式信息的数组。而数组第一项就是.current() 返回数组中的当前单元, 默认取第一个值。

这里还有一个知识点:

current(localeconv())永远都是个点

最低0.47元/天 解锁文章
顾煜
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
命令执行rec总结
qq_45655564的博客
06-30 1205
过滤flag,php等关键字 fla? fla\g fl* fla’'g PHP短标签 或者 <script language=”php”> echo“444444444444 <br>” </script> 如果是替换可以双写绕过 用于执行rce函数方法 反引号``与shell_exec作用相同 system执行外部程序,并且显示输出 exec 执行一个外部程序 passthru执行外部程序并且显示原始输出 shell_exec通过 shell 环境执行
参数rce
qi_SJQ_的博客
08-10 216
getcwd():返回当前目录的绝对路径------返回路径 scandir() :列出指定路径中的文件和目录,返回的是数组!-----利用路径(目录) print_r() :以易于理解的格式打印变量-----输出 怎么构造? localeconv() :返回一包含本地数字及货币格式信息的数组,而数组第一项就是".",因此要再用一个函数取出这个点。可以current(localeconv())返回“.”。 故:var_dump(scandir(current(localeconv())));----遍历当
2021西电MoeCTF
little_L_A的博客
09-27 2126
MOECTF新生赛wpwebweb_Lnc web web_Lnc 题目 <?php error_reporting(0); include_once "flag.php"; $a=$_GET['a']; $b=$_POST['b']; if(isset($a)){ if($a!=$b&&md5($a)===md5($b)){ echo $flag; }else{ echo 'try again'; } }else{ hi
[MoeCTF 2021]——Web方向 wp
Leaf_initial的博客
08-09 1553
这里注意必须是0才可以,因为只有一个f1Ag的值往进传,所以前后必须是一样的,如果为其他数字的话需要俩个变量往进传。中的值代入进去,然后找到他的所属类,然后找到FLAG中的全局变量flag。__get() :获得一个类的不可访问或者不存在的成员变量时调用。__call():在对象上下文中调用不可访问的方法时触发。这里不多阐述原型链污染的概念了,可以去看p神的文章。提示我们可以有十点属性来分配,分配肯定是打不过的。游戏题,要求我们打到5w分,基本上是达不到的。在源码中找到控制分数的属性,
无参rce总结
weixin_66839513的博客
04-10 654
if(';R)?正则表达式 [^\W]+\((?R)?\) 匹配了一个或多个(表示函数名),后跟一个括号(表示函数调用)。其中 (?R) 是递归引用,它只能匹配和替换嵌套的函数调用,而不能处理函数参数。使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;,而最终结果强等于;时,payload才能进行下一步。简而言之,无参数rce就是不使用参数,而只使用一个个函数最终达到目的。
[SHCTF]web方向wp
Elite的博客
11-11 1816
2023年SHCTFweb方向wp
参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
phpstudy后门rce批量利用脚本的实现
10-15
`write_shell`函数是核心功能,它接收URL和请求头作为参数,尝试连接并检测是否存在后门。如果返回的响应中包含了`echo`命令的输出,那么就认为后门存在并成功利用。此外,脚本还提供了将成功利用的URL记录到文件`...
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
Apache-druid-kafka-rce.yaml
最新发布
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
SHCTF2023-校外赛道
Fab1an的博客
10-30 432
taoCMS是一个完善支持多数据库(Sqlite/Mysql)的CMS网站内容管理系统,是国内最小的功能完善的基于php+SQLite/Mysql的CMS。体积小(仅180Kb)速度快,包含文件管理、数据采集、Memcache整合、用户管理等强大功能,跨平台运行,支持SAE、BAE云服务,阿里云虚拟主机。代码手写采用严格的数据过滤,保证服务器的安全稳定!
CTFshow命令执行29-123
qq_43534481的博客
08-06 1413
CTFshow命令执行WP
PHP参数RCE
weixin_43610673的博客
03-14 2823
参数函数RCE,即在不使用参数的条件下,仅使用函数进行REC。 如:代码中有 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/ 对于...
SHCTF-2023-WEB
m0_74317362的博客
10-04 51
经测试,发现游戏属于JS代码运行,搜索。发现可能弹出代码的地方。
[SHCTF 2023]——week1-week3 Web方向详细Writeup
Leaf_initial的博客
12-04 432
源码如下扫描一下当前目录,发现flag绕过方式如下payload如下?好好好,这么玩是吧flag在根目录里得到flag。
php无参执行RCE
遇事不决冲冲冲
03-23 3125
php无参执行RCE一般来说当我们可以控制或自己上传一个木马后,就可以进行任意命令执行,但像上面这样`/[^\W]+\((?R)?\)/`的正则过滤方式,我们不能输入任何参数,这样想绕过的话一个大的思路就是通过套娃,通过让一个函数的返回值作为另一个函数参数,也就是这样`a(b(c()));`,最终达到rce的效果,下面列几种绕过方法
参数RCE
m0_62422842的博客
05-11 1502
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
php RCE常用函数
08-26
- *1* *2* *3* [浅谈参数RCE](https://blog.csdn.net/weixin_30568317/article/details/116284685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值