内容简介:这是在整个代码逻辑很简单,需要关注的点就两个。一个是
这是在 code-breaking 中遇到的一道题目,名为:easy - phpmagic。题目地址: http://51.158.75.42:8082
整个代码逻辑很简单,需要关注的点就两个。一个是 第17-18行 处存在命令字符串格式化,而这里的格式化变量 $domain 经过了 escapeshellarg 函数的处理,没有其他攻击点结合,很难绕过。另外一个点是 第25行 的文件操作,我们会发现文件名 $log_name 变量完全可控,而文件内容 $output 也是部分可控(文件内容还经过了 htmlspecialchars 函数处理)。由于写入内容是部分可控,而文件名是完全可控,这就很容易让人联想到 PHP伪协议 的使用。举个例子,如果有下面这么一段代码,请问要如何利用该代码进行 getshell ?
<?php file_put_contents($_GET['filename'], '<?php exit;?>' . $_GET['content']);
我们可以看到这个问题和上面的题目本质上是一样的,文件名完全可控,而写入内容前存在不可控部分,这部分甚至会影响我们 webshell 的时候用,然而我们却可以利用 PHP伪协议 轻松绕过,达到 getshell 目的。 payload 如下:
这里假设我们要写入的内容是 <?php phpinfo(); 字符串,该字符串的 base64 编码为: PD9waHAgcGhwaW5mbygpOw== ,但是我们上面的payload中前面却多了一个A,这个A是我随意输入的,目的是为了和前面的字符凑成4的倍数进行 base64 解码而不影响我们 shell 本身。这里有个知识点,php的 base64_decode 函数在遇到除了 [a-zA-Z0-9+/] 之外的字符时会自动跳过,而且会将每4个字符作为一个单位进行解码。上面写入的内容前面拼接了 <?php exit;?> 字符串,真正被解码的,只有 phpexit 7个字符。为了不影响后续解码出来的 <?php phpinfo(); 所以我们要再在前面填充一个字符。这里特性之前也被用在过狗一句话中:
<?php
$a = base64_decode('JF9___QT1N____UWyd____hJ10='); ## 当中的下划线并不会被解码,只是起混淆作用
assert($a);
//assert($_POST[a]);
?>
进过上述例子的讲解,相信大家应该都明白了原理,那我们就继续来看题目。首先文件名变量 $log_name 由 $_SERVER[‘SERVER_NAME’] 和 $_POST[‘log’] 决定。 $_POST[‘log’] 自不必说,我们来看 PHP 手册中对 $_SERVER[‘SERVER_NAME’] 的说明:
可以看到,如果在 apache2 环境下,没有设置 UseCanonicalName = On 和 ServerName , $_SERVER[‘SERVER_NAME’] 的值可以由客户端控制。简单测试如下:
在看明白上述内容后,我们最后还需要绕过题目 第23行 处的 pathinfo 函数对文件后缀名的判断,这里用了 in_array 的强判断(第3个参数为true),就不用考虑弱类型绕过了,关注点应该放在 pathinfo 函数上。在PHP手册的 User Contributed Notes 部分,我们还是看到了该函数获取结果不准确的问题。如下:
其中第二种写法 /var/www/html/1.php/./ 在 file_put_contents 函数中,会被处理成 /var/www/html/1.php (具体原因可以参考: php & apache2 &操作系统之间的一些黑魔法 ),而在 pathinfo 函数中,返回的结果为空字符串,这样也绕过了题目中黑名单的检测,所以最终的解题 payload 如下:
http://......./xx.php?cmd=var_dump(scandir('../../../'));highlight_file('../../../flag_phpmag1c_ur1');
参考
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- PHP利用PCRE回溯次数限制绕过某些安全限制
- 文件上传限制绕过
- 文件上传限制绕过技巧
- 如何绕过Mojave沙箱限制
- GET请求Referer限制绕过总结
- RFI 绕过 URL 包含限制 getshell
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
