本文探讨了一段PHP代码审计问题,重点在于如何利用短标签绕过限制,构造payload来获取flag。讲解了短标签的工作原理,以及如何通过填充长度和特殊字符绕过对flag字符串的过滤,最终成功输出flag。总结了短标签绕过的技巧,并提醒关注代码审计中的安全风险。
打开题目启动场景
是一段PHP代码 应该是代码审计问题 首先 分析代码
我的习惯是从目标下手 从目标向上找条件或者说是破绽 再去构造打破破绽的“武器”
这里输出flag的条件有三个
即 长度 flag变量的长度不能等于$exam
关键字 flag变量的长度不能包含 `,“,. ,\ ,( ,),[ ,] ,_ ,flag echo print require include die exit
eval($-GET['flag']) === sha1($flag)
那么我们可以从第三点突破
其中第三点等于sha1可以利用短标签绕过判断,直接利用eval输出$flag变量的值,构造payload绕
过对flag字符串的过滤,payload为?flag=$a='blag';$a{0}='f';?>11111110001111111;<?=$$a;?>,其
中?>用于闭合开头的<?php 标记,111…111是用来填充长度的。 (借鉴大佬理解)
对于短标签绕过理解
(用<?= ?>代替php标签。<?= ?>短标签会直接把php的结果输出,<? ?>的功能则和<?php?>完全一样。过滤空格可以用\t绕过,或者%09也是tab的URL编码。php反引号中的字符串会被当作命令执行)
构造后得到flag
小结:
短标签绕过
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
