代码审计
$ a r g s 可 以 理 解 为 args 可以理解为 args可以理解为($args)
eg:
$a=“hello world!”;
$args=“a”;
echo $$args; 输出结果为: hello world!
介绍完每一行代码意思,我们来整理一下思路。
eval()函数存在命令执行漏洞 我们的目标是查看flag1.php中的flag 首先想到的是本地包含漏洞查看源码 或者上传一句话木马等思路
链接 http://120.24.86.145:8003/ 这道题思路为上述所说。
而本题条件判断加了正则表达式判断,过滤了括号和引号等字符。无法构造! 但输出时是 $$args
我们想到构造 php中超全局变量 $GLOBALS
PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。
可以看到 x 和 x和 x和y本身局部变量,未在函数体内声明,但是在全局变量$GLOBALS数组中存放着,可以调用,最后输出95。
构造
eval("var_dump( a r g s ) ; " ) ; 首 先 将 v a r d u m p ( args);"); 首先将 var_dump( args);");首先将vardump(args); 当成代码执行 var_dump($GLOBALS);
var_dump()函数将$GLOBALS数组中存放的所有变量以数组的方式输出 得到flag!
最后补充一点 很多人都认为global和$GLOBALS[]只是写法上面的差别,其实不然。
前者为变量实体 后者为别名引用
eg:
<?php $var1 = 1; function test(){ unset($GLOBALS['var1']); } test(); echo $var1; ?>因为$var1被删除了,所以什么东西都没有打印。
<?php $var1 = 1; function test(){ global $var1; unset($var1); } test(); echo $var1; ?>意外的打印了1。
证明删除的只是别名,$GLOBALS[‘var’]的引用,起本身的值没有受到任何的改变。
验证了我们之前所说的东西
260
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
