初学无参数RCE

最新推荐文章于 2025-03-26 18:01:15 发布
最新推荐文章于 2025-03-26 18:01:15 发布
阅读量576 收藏 2
点赞数
文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62709637/article/details/124724463
版权

前置知识:

1、文件读取函数:

  1. show_source():对文件进行语法高亮显示;
  2. highlight_file():对文件进行语法高亮显示;
  3. readfile():
  4. file_get_contents():
  5. file():

tips:show_source()和highlight_file()函数无法直接在页面输出需要配合echo()等函数一同使用;

2、写题时常用的输出函数:

  1. print_r():
  2. var_dump():
  3. echo():

3、无参数rce常见正则匹配

1、'/[^\W]+\((?R)?\)/'

2、'/[a-z,_]+\((?R)?\)/'

无参数rce:

1、什么是无参数函数RCE

我们常用eval($_GET['code']);来实现一句换木马和getshell,但是如果开发者进行了过滤:

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}


那么我们就无法使用参数,也就无法通过正则的校验

在此过滤条件下我们只能执行如下格式的函数

a();
a(b());
不可使用

a('abc');

这样对我们使用scandir('.')等查看目录文件造成了很大影响,所以我们要进行构造;
 

构造思路:

1、char(46)==>'.'

  1. char(rand())==>对于随机这种东西不太推荐(尤其是手动测试的时候)                                          
  2. char(time())==>chr()函数以256为一个周期,所以chr(46),chr(302),chr(558)都等于"."

    所以使用chr(time()),一个周期必定出现一次"."                                                                                                            

  3. localtime(time())==>数组第一个值每秒+1,所以最多60秒就一定能得到46,用current(pos)就能获得"."                                                                                                                               (可能是我的食用方式不大对,在使用2、3两个方法测试时并没有得到预期值T。T)                
  4. phpversion返回计算

payload:chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion())))))))) 

测试(题目,buu禁止套娃):

         

5.crypt()配合ord()

ord()返回字符串中第一个字符的Ascii值

hebrevc(crypt(arg))可以随机生成一个hash值,第一个字符随机是$(大概率) 或者 "."(小概率) 然后通过chr(ord())只取第一个字符;

注:因为随机所以第一次不一定会出值,多刷新几次即可;

payload:chr(ord(hebrevc(crypt(time()))))

测试(题目,buu禁止套娃):

 

 

2、寻找返回信息中带'.'的函数通过一些计算,分割等方法获得'.';

  1. payload:var_dump(scandir(current(localeconv())));就可以遍历当前目录所有文件。

        

current():它还有别名pos(),其实都是一样的。

输出数组当前元素的值,每一个数组中都有一个内部的指针,指向他当前的元素。初始指向当前数组中的第一个元素。这个函数不会移动指针,但是有next()函数和prev函数可以移动指针。

tips:如果在写题过程中这两个函数都被禁用了还可以使用reset()函数;

测试(题目,buu禁止套娃):

 

       2. 利用环境参数

phpversion():

 

zend_version():

 因为是返回版本有关参数(eg:2.4.0)所以我们可以配合str_split()函数,next(),prev()等函数获取'.';

payload:scandir(next(str_split(zend_version())));

测试(题目,buu禁止套娃):

 

payload:scandir(next(str_split(phpversion())));

测试(题目,buu禁止套娃):

我们还可以用print_r(scandir('绝对路径'));来查看当前目录文件名;

读取当前目录文件

通过前面的方法输出了当前目录文件名,如果文件不能直接显示,比如PHP源码,我们还需要使用函数读取:

前面的方法输出的是数组,文件名是数组的值,那我们要怎么取出想要读取文件的数组呢:

查询PHP手册发现:

current(),each(),end(),next(),prev()函数

手册里有这些方法,如果要获取的数组是最后一个我们可以用:

show_source(end(scandir(getcwd())));或者用readfile、highlight_file、file_get_contents 等读文件函数都可以(使用readfile和file_get_contents读文件,显示在源码处)

ps:readgzfile()也可读文件,常用于绕过过滤;

 

 

最后对文件进行读取:

array_reverse() 以相反的元素顺序返回数组;

我们可以使用array_rand(array_flip()),array_flip()是交换数组的键和值,array_rand()是随机返回一个数组。配合next,current等控制指针的函数调用我们所需要查看的文件即可;

大佬博客:

php rce之无参数读文件 - FreeBuf网络安全行业门户(力推,我看起来比较轻松易懂)

https://blog.youkuaiyun.com/weixin_46706771/article/details/119034638

[GXYCTF 2019]禁止套娃 – JohnFrod's Blog

PHP: phpversion - Manual

!!!如有侵权,联系必删!!!

RCE远程命令/代码执行漏洞及绕过
G3et的博客
01-01 1169
(1)RCE主要是执行了危险的函数(3)常见的绕过:空格过滤、命令分隔符、编码绕过、Hex编码绕过、Oct编码绕过、变量绕过、反斜杠绕过、偶读拼接绕过关键字过滤等 (4)熟悉掌握php中远程命令/代码执行的相关函数以及绕过和原理参考文档:远程命令/代码执行漏洞(RCE)总结RCE远程命令执行绕过初学RCE(远程命令/代码执行漏洞)
FUZZ初学笔记(一)
qq_33517546的博客
04-22 3466
安全漏洞发觉方法:   1.白盒测试:     为源代码评审,这种方法也可以在自动化工具的辅助下完成,源代码分析工具一般可以分为三类:        1.1.1,编译时检查器:这种工具通常与编译器记成子啊一起,但是主要查找与安全性有关的问题而不是应用程序的功能问题        1.1.2,源代码浏览器:这种工具是专门设计用于辅助人工检查和评审源代码的软件工具,这类工具允许评审者执行代码的
无参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
无参数rce
weixin_63231007的博客
05-15 680
函数介绍 (1) scandir() 函数: 返回指定目录中的文件和目录的数组. scandir("."):得到该文件下的所有文件和文件夹 (2) print_r() 函数 print_r() 函数用于打印变量,以更容易理解的形式展示。 参数为要打印的变量,如果给出的是 string、integer 或 float 类型变量,将打印变量值本身。如果给出的是 array,将会按照一定格式显示键和元素。object 与数组类似。 (3) localeconv() 函数: 返回一包含本地数字及货币
无参数读文件和RCE
智商不在服务区的博客
03-26 1149
无参数(No-Argument)的概念,顾名思义,就是在PHP中调用函数时,不传递任何参数。我们需要利用仅靠函数本身的返回值或嵌套无参数函数的方式,达到读取文件或远程命令执行(RCE)的目的。这类攻击通常受限于特定的代码环境,例如:只能使用不带参数的函数。传递参数时,必须是另一个函数的返回值。受限于PHP的内置安全机制,如和。
无参数RCE
qq_52579508的博客
07-02 426
就会被eval执行,但相反,像a(b(‘111’));简单来说就是把恶意代码写到COOKIE的PHPSESSID中,然后利用session_id()这个函数去读取它,返回一个字符串,然后我们就可以用eval去直接执行了,这里有一点要注意的就是session_id()要开启session才能用,所以说要先session_start()。这里我们就需要先将二维数组转换为一维数组,这里我们用到current()函数,这个函数的作用是返回数组中的当前单元,而它的默认是第一个单元,也就是我们GET方式传入的参数。
RCE靶场
最新发布
04-02
- **OWASP Juice Shop**: OWASP 组织维护的一个故意存在大量编程错误的教学性质电商网站应用案例,适合初学者入门级了解多种现代Web开发中的潜在风险因素。 #### 自建RCE漏洞环境指南 如果想要自己创建一个专门针对...
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
07-11
Netgear WNAP320是一款企业级接入点设备,其固件版本2.0.3存在一个未认证的RCE漏洞,允许攻击者通过特定参数执行任意系统命令。 ### 0x01 Bug搜索方法 在寻找漏洞时,通常可以利用在线资源,如Exploit-DB网站,或者...
零基础入门:Netgear WNAP320 RCE漏洞实战与POC解析
在本文档中,标题《[零基础学IoT Pwn] 复现Netgear WNAP320 RCE》是一篇针对初学者的物联网(IoT)漏洞利用教程,专注于网络安全与编程攻击(Pwn)领域。作者以Netgear WNAP320无线接入点(Access Point)为例,讲解...
无参数函数RCE
weixin_53146913的博客
07-19 2205
1.利用超全局变量进行bypass,进行RCE 2.进行任意文件读取
PHP无参数RCE
weixin_43610673的博客
03-14 3071
无参数函数RCE,即在不使用参数的条件下,仅使用函数进行REC。 如:代码中有 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/ 对于...
初探无参数RCE
weixin_46330722的博客
12-07 3008
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
无参数绕过RCE
m0_73756016的博客
04-07 1248
顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;使用的函数规定必须参数为空或者为一个参数等无参数题目特征if(';R)?代码解析这里使用替换匹配到的字符为空,\w匹配字母、数字和下划线,等价于,然后R)?这个意思为递归整个匹配模式eg:[^\W]+\(?\)匹配到"a()"形式的字符串,但是()不能内出现任何参数(?R)代表递归,即a(b(c()))都能匹配到使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;
无参数RCE知识点
m0_75178803的博客
12-12 1080
无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果。
无参 RCE
snowlyzz的博客
08-07 716
无参rce
Byte CTF boring_code(fuzz,无参数RCE)
a3320315的博客
11-09 2092
0x01 贴出代码 <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } return true; } return false; } if (is...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值