WEB应用(十三)---RCE

什么是RCE?

Remote Command/Code Execute,远程命令或代码执行。通过构造特殊的字符串,将数据提交至Web应用程序,并利用该方式执行外部程序或系统命令实施攻击,类似于SQL注入。
Web应用程序使用了一些可以执行系统命令或代码的函数,而且对用户提交的数据过滤不严格,导致黑客可以利用服务器执行命令或代码。

php相关函数:

  1. eval(string $code);
  2. assert()函数
  3. preg_replace()函数
  4. call_user_func()函数
  5. exec()/shell_exec()函数
  6. 反撇号,作为命令来执行

当然不是只有以上的方式才是实现rce,这几个是最典型的函数,还有其他的函数就又大家以后去收集了

下面我们来看看远程代码执行

eval()函数 **,**我们在www目录下创建一个名为rce的文件夹,并且创建rce.php文件,写入以下代码

php 复制代码
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
eval($_GET["code"]);
?>

去访问这个文件,然后传入参数,?code=echo 8-2;可以看到页面回显了6。

如果是一个恶意代码呢,?code=phpinfo(); 回显了php等其他相关信息

assert()函数,assert函数的本意并不是要执行代码,而是程序员用来调试代码用的。但是,如果第一个参数是字符串,它将会被 assert() 当做 PHP 代码来执行。先来看代码

php 复制代码
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
assert($_GET['code']);
?>

**preg_replace函数,**preg_replace ( mixed pattern , mixed replacement , mixed $subject)

搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。如果所替换内容为可执行函数,则该函数会被执行。

e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码。

php 复制代码
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
//assert($_GET['code']);
//这里可以将phpinfo,替换成$_GET['code']
preg_replace("/www/e","phpinfo()","www.com");
?>

**call_user_func()函数,**这个函数输入的不是函数,而是函数名,?code=phpinfo

php 复制代码
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
//assert($_GET['code']);
//preg_replace("/www/e","phpinfo()","www.com");
call_user_func($_GET['code']);
?>

下面是远程命令执行

exec()、shell_exec()函数

这里就可以输入ipconfig,whoami,在我们输入ipconfig时,我们发现只有一行的回显,这是因为返回时有多行信息,所以就返回最后一行,所以我们就可以换一个函数

php 复制代码
<?php
echo exec($_GET['cmd']);
?>

这个时候再传入ipconfig,信息就完整了

php 复制代码
<?php
//echo exec($_GET['cmd']);
echo shell_exec($_GET['cmd']);
?>

反撇号

这个键在Esc键的下方,Tab键的上方,被反撇号包起来的的内容会被当做命令去执行,但是内部不允许使用单引号,双引号等,所以直接上代码

php 复制代码
<?php
//echo exec($_GET['cmd']);
//echo shell_exec($_GET['cmd']);
$cmd = $_GET['cmd'];
echo `$cmd`;
?>

接下来看看命令连接符

下面几个命令作为练习,和验证

php 复制代码
<?php
//echo exec($_GET['cmd']);
//echo shell_exec($_GET['cmd']);
//$cmd = $_GET['cmd'];
//echo `$cmd`;
//pwd是linux下的命令在windows中不会有任何操作
echo `whoami&&ipconfig`;
echo `pwd&&ipconfig`;
?>

趁热打铁,我们来到pikachu靶场,进入第一个环境

这里提示要我们输入一个ip地址进去,我这里输入127.0.0.1,可以看到正确执行了,这些乱码其实是pikachu内置的编码和浏览器不一致导致的

当然输入一个域名也是可以的,这里我输入的百度的

接下来就可以练习命令连接符,这里去ping127.0.0.1一定可以执行,通过&&的连接后面的命令一定可以执行,如果你的靶场搭建在linux操作系统中相应的命令要发生变换

php 复制代码
//比如输入
127.0.0.1&&whoami
127.0.0.1&&ipconfig

接下来看看evel,最简单的输入phpinfo(); ,或者echo 10-2; 。

rce漏洞该怎么防御呢,对用户输入的符号做替换,进行严格的过滤,还可以进行输入内容的特征来详细的过滤,比如第一个ping,在这个环境中他只想让我们输入Ip地址,那我们就可以根据Ip地址的特点,点分十进制,首先将输入的内容以点号来分割,校验这四个部分是不是都是数字,只要有一个部分不是数字,那便返回错误。

相关推荐
小小小小钰儿13 小时前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
NOVAnet202319 小时前
SASE 架构如何为本地 DeepSeek 大模型提供全域网络安全支撑
web安全·安全架构·sd-wan·sase·零信任访问
NOVAnet20231 天前
云网 + 存储一体化灾备方案解析:南凌科技 × 爱数全景云灾备技术与行业落地价值
科技·web安全·企业数字化·企业sd-wan·混合云网络
数据知道2 天前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Gyr02 天前
关于证书站捡洞这一档事
安全·web安全
网安蟹佬霸2 天前
我国网络安全人才缺口现状、成因与对策研究
安全·web安全
云水一下2 天前
零基础玩转bWAPP靶场(一):从起源到环境搭建,开启Web安全实战之旅
web安全·靶场·bwapp
HackTwoHub2 天前
AntiDebug Mcp、AI逆向绕过前端,Hook 加密接口,抓取 Vue 路由漏洞,接入 MCP 让 AI 自动化挖掘前端漏洞
前端·vue.js·人工智能·安全·web安全·网络安全·系统安全
leagsoft_10032 天前
从“策略看不清”到“风险可收敛”:某高端精密制造企业的网络安全策略治理实践
网络·web安全·制造
白帽小阳2 天前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动