无参数RCE--总结

最新推荐文章于 2023-11-07 20:14:02 发布
最新推荐文章于 2023-11-07 20:14:02 发布
阅读量455 收藏 3
点赞数 2
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58646698/article/details/127301221
版权

文章目录

知识点

概念

常见绕过姿势

        1、getallheaders()

        2、get_defined_vars()

        3、session_id()

配合使用的函数

知识点

概念

无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。
没有参数的函数什么意思?一般该类题目代码如下(或类似):

<?php
	if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']){
 		     eval($_GET['exp']);
	}
?>

先来解读下代码:

1、如果';'===preg_replace(...),那么就执行exp传递的命令
2、\ : 转义字符不多说了
3、[a-z,_]+ : [a-z,_]匹配小写字母和下划线 +表示1到多个
4、(?R)? : (?R)代表当前表达式,就是这个(/[a-z,_]+((?R)?)/),所以会一直递归,?表示递归当前表达式0次或1次(若是(?R)*则表示递归当前表达式0次或多次,例如它可以匹配a(b(c()d())))
简单说来就是:这串代码检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是字符串接一个(),那么字符串就会被替换为空。如果(递归)替换后的字符串只剩下;,那么我们传进去的 exp 就会被 eval 执行。比如我们传入一个 phpinfo();,它被替换后就只剩下;,那么根据判断条件就会执行phpinfo();。

(?R)?能匹配的只有a(); a(b()); a(b(c()));这种类型的。比如传入a(b(c()));,第一次匹配后,就剩a(b());,第二次匹配后,a();,第三次匹配后就只剩下;了,最后a(b(c()));就会被eval执行。

常见绕过姿势

        1、getallheaders()

在这里插入图片描述

 getallheaders()返回所有的HTTP头信息,但是要注意的一点是这个函数返回的是一个数组,而eval()要求的参数是一个字符串,所以这里不能直接用,这时我们就要想办法将数组转换为字符串。正好implode()这个函数就能胜任。

implode()能够直接将getallheaders()返回的数组转化为字符串。
本地测试代码:

<?php
	echo implode(getallheaders());
?>

         

可以看到获取到的头信息被当作字符串输出了,且是从最后开始输出(由于php版本不同,输出顺序也可能不同),那么我们就可以在最后随意添加一个头,插入我们的恶意代码并将后面的内容注释掉。

 

payload:?exp=eval(implode(getallheaders()));

(该图来自csdn的noViC4,我自己没有成功 )

        2、get_defined_vars()

在这里插入图片描述

 该函数的作用是获取所有的已定义变量,返回值也是数组。不过这个函数返回的是一个二维数组,所以不能与implode结合起来用。将get_defined_vars()的结果用var_dump()输出结果如下:

<?php
	var_dump(get_defined_vars());
?>

在这里插入图片描述

可以看到用GET传入的参数会被显示在数组中的第一位: 

不过这里有这么多的数组,我们也不需要全部查看是吧?那么使用current()函数就可以办成这个事情:

在这里插入图片描述 

函数可以返回数组中的单元且初始指针指向数组的第一个单元。因为GET方式传入的参数存在该二维数组中的第一个一维数组(也就是上图array(7)中的第一个数组["_GET"]=> array(1) { ["get"]=> string(1) "a" }),所以我们可以通过这个函数将其取出来(官方这个演示很详细了,可以自己看看)。
 

<?php
    var_dump(current(get_defined_vars()));
?>

在这里插入图片描述 

从图中能看出后面传入的shell=phpinfo();出现在了第一个数组的最后。

end()想必你应该了解,说简单点就是将 array 的内部指针移动到最后一个单元并返回其值。

回忆一下之前的payload:?exp=eval(implode(getallheaders()));,设想下:current()是取出二维数组中的第一个(指针指向的那个)一维数组,用end()就可以取出这个一维数组中的最后那个值,加上之前的payload你能想到什么?
新payload:?exp=eval(end(current(get_defined_vars())));&shell=phpinfo();
用这个payload的话就可以执行shell的命令了(理论上可行,我这里环境有问题就不演示了)。。。

 3、session_id()

在这里插入图片描述

 官方说:session_id()可以用来获取/设置当前会话 ID。
那么可以用这个函数来获取cookie中的phpsessionid了,并且这个值我们是可控的。
但其有限制:

文件会话管理器仅允许会话 ID 中使用以下字符:a-z A-Z 0-9 ,(逗号)和 - (减号)

解决方法:将参数转化为16进制传进去,之后再用hex2bin()函数转换回来就可以了。

所以,payload可以为:?exp=eval(hex2bin(session_id()));
但session_id必须要开启session才可以使用,所以我们要先使用session_start。
最后,payload:?exp=eval(hex2bin(session_id(session_start())));
说到这里,这套组合拳还差了点东西,你还没写你要执行的代码!
不是才说道session_id()可以获取cookie中的phpsessionid,并且这个值我们是可控的吗?所以我们可以在http头中设置PHPSESSID为想要执行代码的16进制:hex("phpinfo();")=706870696e666f28293b
所以最终组合拳这样打:
在这里插入图片描述 

配合使用的函数

getchwd() 函数返回当前工作目录。
scandir() 函数返回指定目录中的文件和目录的数组。
dirname() 函数返回路径中的目录部分。
chdir() 函数改变当前的目录。
readfile() 输出一个文件。
current() 返回数组中的当前单元, 默认取第一个值。
pos() current() 的别名。
next() 函数将内部指针指向数组中的下一个元素,并输出。
end() 将内部指针指向数组中的最后一个元素,并输出。
array_rand() 函数返回数组中的随机键名,或者如果您规定函数返回不只一个键名,则返回包含随机键名的数组。
array_flip() array_flip() 函数用于反转/交换数组中所有的键名以及它们关联的键值。
array_slice() 函数在数组中根据条件取出一段值,并返回。
array_reverse() 函数返回翻转顺序的数组。
chr() 函数从指定的 ASCII 值返回字符。
hex2bin() — 转换十六进制字符串为二进制字符串。
getenv() 获取一个环境变量的值(在7.1之后可以不给予参数)。
localeconv() 函数返回一包含本地数字及货币格式信息的数组。

TzzSa
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
无参 RCE
snowlyzz的博客
08-07 600
无参rce
初探无参数RCE
weixin_46330722的博客
12-07 2670
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
参数RCE总结
Manuffer的博客
10-13 5569
文章目录知识点概念常见绕过姿势1、getallheaders()2、get_defined_vars()3、session_id()配合使用的函数CTF例题[GXYCTF2019]禁止套娃姿势一:array_reverse()姿势二:session_id() 知识点 概念 无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。 没有参数的函数什么意思?一般该类题目代码如下(或类似): <?php if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NU
参数rce
qq_45570082的博客
06-07 2041
总结一下无参数rce的各种解法(为了便于自己查找,同时为了把自己收藏夹的几个相关网址删掉,每次都在别人博客找很麻烦的(手动狗头)) 首先准备代码 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['a'])) { eval($_GET['a']);} 利用session_id php中有一个函数叫session_id(),可以直接获取到cookie中的phpsessionid值,phpsessionid的组成符号有
参数RCE
m0_62422842的博客
05-11 1517
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
ctfshow---php特性
fainpo的博客
04-02 1317
使用此管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。就是比如get传入a=1第一个foreach的$key就是a,$value就是1,利用die($error) 这里退出会输出$error,所以将flag的值赋值给他就能得到flag,当然第一个if不让,所以我们利用一个跳板。_()==gettext() 是gettext()的拓展函数,开启text扩展。
Python库 | tencentcloud-sdk-python-rce-3.0.514.tar.gz
03-11
总结来说,Tencentcloud-sdk-python-rce 3.0.514是腾讯云提供的一款强大的Python SDK,它使开发者能够轻松地进行远程代码执行,管理腾讯云上的各种资源。通过理解和熟练运用这个库,开发者可以更高效地构建和运维云...
WEB安全知识总结.zip
12-27
6. **远程命令执行(RCE)**:如果Web应用允许不受限制的代码执行,攻击者可能利用此漏洞执行任意系统命令。加固代码审查、限制函数调用和禁用不必要的系统服务可以减少风险。 7. **XML外部实体(XXE)漏洞**:在...
exploit-code-by-me:利用我复制的开发代码
04-02
在Tomcat中,可能存在的漏洞可能涉及反序列化、远程代码执行(RCE)或者目录遍历等。利用代码通常会创建恶意的请求,以触发这些漏洞并获取服务器的控制权。 "SQL注入-proof"表明这个项目中可能包含用于演示如何防止...
Windows-SMB-Ghost-CVE-2020-0796漏洞分析1
08-03
这两个字段直接影响内存分配函数SrvNetAllocateBuffer的参数。如果攻击者构造特定的畸形数据包,使得OriginalCompressedSegmentSize+Offset小于实际所需内存大小,那么在后续调用解压函数SmbCompressionDecompress时...
PHP getallheaders无法获取自定义头(headers)的问题
10-22
主要介绍了PHP getallheaders无法获取自定义头(headers)的问题的相关资料,需要的朋友可以参考下
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
【Web安全】无字母数字Webshell总结 在Web安全领域,Webshell是一种常见的攻击手段,用于在目标服务器上获得远程控制。无字母数字Webshell是指避开常规字母和数字字符限制的Webshell构造方法。通常,服务器会通过...
php get all headers,PHP get_headers()函数详解
weixin_32123259的博客
03-19 190
定义get_headers - 取得服务器响应一个 HTTP 请求所发送的所有头信息描述get_headers ( string $url [, int $format = 0 [, resource $context ]] ) : array如果将 format 参数设为 1,则 get_headers() 返回带键值的关联数组。context 参数A valid context resourc...
php get_defined_vars,PHP: get_defined_vars - Manual
weixin_35255032的博客
03-26 105
Here is a function which generates a debug report for display or emailusing get_defined_vars. Great for getting a detailed snapshot withoutrelying on user input.// Usage: generateDebugReport(method,ge...
‘/[a-z_]+\((?R)?\)/‘
qq_43470425的博客
05-07 366
(?R)是引用当前表达式的意思。 即可以用\w+((?R)?)替换到(?R)的位置,因此可以衍生成匹配\w+(\w+((?R)?))、\w+(\w+(\w+((?R)?)))、等等。 (?R)? 这里多一个?表示可以有引用,也可以没有。
get_defined_vars() 函数
冷月醉雪的博客
04-24 690
查看更多 https://www.yuque.com/docs/share/6ef686e4-b03d-43c2-b74e-bde464d38ea0
无参rce
最新发布
m0_74317362的博客
11-07 128
​ 最近参加了两个CTF比赛,都遇到了无参数RCE的问题。第一次遇到虽然没解出来,但是为第二次比赛遇到做了基础铺垫,第二次也迎刃而解,同时这次比赛也学到了很多fuzz的方法和思路,在这里做个总结
C语言服务器编程必备常识
xllntld的专栏
12-15 675
入门 包含了正确的头文件只能编译通过,没链接正确的库链接会报错。 一些常用的库gcc会自动链接。 库的缺省路径/lib /usr/lib /usr/local/lib 不知道某个函数在那个库可以nm -o /lib *.so | grep 函数名 man sin 会列出包含的头文件和链接的库名。man 2 sin 2表示系统调用,3表示c库函数 一旦子进程被创建,父子进程一起从fork处被创建。创建子进程为了争夺资源。 重定向用dup2函数
thinkphp2-rce
07-28
ThinkPHP 2.x版本中存在远程代码执行(RCE)漏洞。该漏洞可以通过构造恶意的请求来执行任意的PHP代码。具体来说,漏洞出现在ThinkPHP框架中的路由处理函数中,使用了不安全的preg_replace函数,并且使用了/e模式进行正则表达式匹配。攻击者可以通过在请求中注入恶意的代码来执行任意的PHP代码。这个漏洞在ThinkPHP框架的Dispatcher类中的102行被触发。\[2\]\[3\] 为了修复这个漏洞,建议升级到最新版本的ThinkPHP框架,或者手动修复代码中的漏洞。具体修复方法包括使用更安全的正则表达式替代preg_replace函数,并且避免使用/e模式进行正则表达式匹配。此外,还应该对用户输入进行严格的过滤和验证,以防止恶意代码的注入。 #### 引用[.reference_title] - *1* [【漏洞复现】[ThinkPHP]2-Rce](https://blog.csdn.net/Mr_atopos/article/details/124907676)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [ThinkPHP2-RCE漏洞复现](https://blog.csdn.net/qq_51459600/article/details/125179451)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值