有一道题目如下:对该段php代码拟定一个长度不大于13的payload获取其webshell<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|?|[|]|*|@|||^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

时间: 2023-06-12 09:03:51 浏览: 54
这是一道比较典型的 PHP 代码审计与漏洞利用题目。根据题目描述,我们需要构造一个长度不大于13的payload,然后获取webshell。 首先来分析一下这段代码: 1. error_reporting(0); :禁止输出 PHP 错误信息。 2. highlight_file(FILE); :将代码高亮输出。 3. if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } :当存在 GET 参数 debug 时,禁止 phpinfo 函数的执行,直接结束程序。 4. function count_string_char($str) { ... } :定义了一个函数,用于计算字符串中有多少个不同的字符。 5. if (isset($_POST['cmd']) { ... } :当存在 POST 参数 cmd 时,执行后续操作。 从代码中可以看出,存在一个可以执行任意命令的漏洞。我们需要构造一个payload,让服务器执行我们的命令,然后获取webshell。 首先,我们需要使用 POST 方法提交命令。由于存在字符串去重的处理,我们需要避免重复字符。因此,我们选择使用数字0-9和字母a-f组成的16进制字符串,避免重复字符的同时,也能够满足我们的需求。 接下来,我们需要构造一个命令,来获取webshell。由于此处的命令执行函数没有被禁用,我们可以使用反弹shell的方法,将一个绑定了反弹shell的命令提交到服务器上,从而获取webshell。 最终,我们可以构造出如下payload: ```php <?php system($_GET['cmd']); ?> ``` 将其编码成16进制字符串,再使用POST方法提交到服务器上,即可获取webshell。完整payload如下: ``` cmd=73797374656d28245f4745545b27636d64275d293b&submit=Submit ``` 其中,cmd参数对应的值为system($_GET['cmd']);的16进制表示。

相关推荐

pdf

PHP XML error parsing SOAP payload on line 1

WebService,想必大家都比较熟悉,是由“服务提供方”向“服务调用方”提供服务的一种方式。里面有几项关键的技术: XML:描述数据的标准方法 SOAP:简单对象访问协议,用于信息交换 WSDL:Web服务描述语言 UDDI:...
zip

payload_dumper_tool_by_ius_payload_dumper_payload_dumper.py_andr

payload dumper extract boot.img and others
zip

:cyclone:一个JSON Web令牌(JWT)PHP扩展-PHP开发

RFC 7519 OAuth JSON Web令牌(JWT)PHP扩展要求PHP 7 + PHP json扩展,在加载JWT扩展之前需要json扩展。 OpenSSL(版本> = 1.1.0j)可与旧版本一起使用RFC 7519 OAuth JSON Web令牌(JWT)PHP扩展要求PHP 7 + PHP ...

有一道题目如下:对该段php代码拟定一个长度不大于13的payload获取其flag<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|?|[|]|*|@|||^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

注意,这个 payload 的长度为 59,超过了题目要求的长度不大于 13 的限制,因此我们需要继续优化 payload。可以使用一些短的 PHP 代码来实现相同的功能,例如: <?=cat /flag?> 将其 URL 编码后,可以...

有一道题目如下:对该段php代码拟定一个payload获取其webshell:<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|\?|\[|\]|\*|@|\||\^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

这段 PHP 代码存在一个关键的漏洞,即未对用户输入进行充分的过滤和验证,导致可以通过构造恶意 payload 来获取 webshell。具体的 payload 如下: POST /test.php HTTP/1.1 Host: example.com Content-Type: ...

有一道CTF题目如下:长度不大于13,且只能使用$和_,构造payload获取其flag:<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|?|[|]|*|@|||^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

这道 CTF 题目是一个 PHP 代码审计题目,需要我们构造一个可以绕过代码中的一些限制,获取 flag 的 payload。让我们逐步分析代码。 首先,代码中调用了 error_reporting(0) 函数,这意味着错误信息将不会被显示。...

有一道题目如下:长度不大于13,且只能使用$和_,获取其flag:<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|?|[|]|*|@|||^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

在主函数中,如果接收到了 POST 请求中的 cmd 参数,就会通过 preg_match 函数判断该参数是否符合要求,即只包含 $ 和 _ 字符,并且长度不大于 13。如果符合要求,则会执行 eval 函数并传入该参数。 那么,我们可以...

题目如下:对该代码拟定一种获取webshell的方式,<?php error_reporting(0); highlight_file(__FILE__); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|\\?|\\[|\\]|\\*|@|\\||\\^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

对于该代码,一种获取webshell的方式是通过利用PHP的反序列化漏洞来执行恶意代码,具体步骤如下: 1. 构造一个恶意的反序列化payload,例如使用如下代码生成payload: <?php class Test{ public $cmd; ...

<?php error_reporting(0); highlight_file(__FILE__); $finfo = finfo_open(FILEINFO_MIME_TYPE); if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){ exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]); }; 这段代码如何实现读取文件

这段代码存在非常严重的安全问题,严重不建议在生产环境中使用,建议避免使用。 针对你的问题,如果攻击者想要读取其他文件,可以通过构造恶意的 payload 来实现。以下是可能的一些 payload: 1. 读取 /etc/passwd ...

这是一道CTF题 ,请仔细阅读以下php代码,设计一种长度小于等于13且不包含小写字母、数字、()<>{}[]?@^~&的payload获取其flag,获取其flag<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|\?|\[|\]|\*|@|\||\^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

这是一个 PHP 代码审计题目,需要我们找到一种不包含小写字母、数字、括号和特殊符号的长度小于等于13的字符串,使得该字符串在这段 PHP 代码中被执行后可以使程序输出 "flag"。 php <?php $flag = "flag"; if...

error: unknown type name 'RTP_PAYLOAD_ RTP_PAYLOAD_TYPE RTP_PAYLOAD_TYPE_VIDEO_0;//first streamer video type

这个错误提示表明编译器无法识别 'RTP_PAYLOAD_TYPE' 或 'RTP_PAYLOAD_TYPE_VIDEO_0' 这些类型名。可能的原因是这些类型没有被正确定义。 要解决这个问题,你需要确保在使用这些类型之前先进行定义。你可以检查代码...

error: unknown type name 'RTP_PAYLOAD_TYPE' RTP_PAYLOAD_TYPE RTP_PAYLOAD_TYPE_VIDEO_0;//first streamer video type

这个错误提示表明编译器无法识别类型名 'RTP_PAYLOAD_TYPE'。这可能是由于以下几种情况导致的: 1. 头文件未包含:请确保在使用 'RTP_PAYLOAD_TYPE' 之前已经包含了定义该类型的头文件。查看代码中是否有包含相关...

请对以下代码构造一段pop链,这只是一道试题:<?php highlight_file(__FILE__); class home{ private $args; function __construct($args){ $this->args=$args; } function __wakeup() { echo file_get_contents($this->args); } } $a=$_GET['a']; unserialize($a);

首先需要构造一个类,这个类需要实现__destruct()方法,将一个对象的属性指向另一个对象,从而构造出pop链。代码如下: class a { public $b; function __destruct() { $this->b->args = 'file.php'; } } ...

请对如下代码进行pop链的构造,这只是一道试题:<?php highlight_file(__FILE__); class Demo{ private $a; public function __destruct(){ $this->a->c; } } class Test{ private $b; public function __get($name) { eval($this->b); } } unserialize($_GET['ser']); ?>

在 unserialize 函数中,我们可以传入一个经过序列化的字符串,使其被还原成一个对象。因此,我们可以通过构造一个恶意的序列化字符串,触发 Demo 类的析构函数,并在其中访问私有成员变量 $a 的 c 属性。同时,我们...

getChangePayload 是一个方法,用于获取 RecyclerView.Adapter 中某个 item 发生变化时的 payload。举个简单的代码例子

// 比较两个 ViewHolder 中的数据是否发生变化,如果有变化则返回一个 payload 对象 if (!oldHolder.getData().equals(newHolder.getData())) { return new Object(); } return super.getChangePayload...

请帮我构造以下代码的pop链,这是一道试题 <?php highlight_file(__FILE__); class Demo{ private $a; public function __destruct(){ $this->a->c; } } class Test{ private $b; public function __get($name) { eval($this->b); } } unserialize($_GET['ser']); ?>

其次,需要注意的是,这道题目中的 Demo 类中有一个 __destruct 方法,该方法会访问一个私有成员变量 $a 的属性 c,而 $a 是一个未初始化的对象,因此会触发 PHP 的魔术方法 __get。因此,我们需要构造...

请帮我看一下这道题.下面payload想要成功利用的前提条件为(indexphp?file=data://text/plain<?phpphpinfo0;> (2分) A. php <=5.2 B.allow url fopen =On C.allow url include=On D. php>=5.2

这个 payload 的作用是将 data://text/plain<?phpphpinfo0;> 文件包含进 index.php 中,从而执行其中的 PHP 代码 phpinfo()。这个操作需要使用到 PHP 的 allow_url_include 配置项,该配置项允许 PHP 的 include 和 ...

将.cpp文件改为.c文件后编译报错 error: unknown type name 'RTP_PAYLOAD_TYPE' RTP_PAYLOAD_TYPE RTP_PAYLOAD_TYPE_VIDEO_0;//first streamer video type

当您将一个 .cpp 文件改为 .c 文件后,编译器会将其视为 C 语言文件而非 C++ 文件进行编译。出现错误 error: unknown type name 'RTP_PAYLOAD_TYPE' 的原因可能是因为在 C 文件中找不到 RTP_PAYLOAD_TYPE 的...

{"code":"PARAM_ERROR","message":"http header中的mchid与post payload中的mchid不匹配"}

根据问题中的错误信息"{"code":"PARAM_ERROR","message":"http header中的mchid与post payload中的mchid不匹配"}",可以判断这是一个参数错误的问题,具体是由于请求头中的mchid与请求体中的mchid不匹配导致的。...

最新推荐

recommend-type

Servlet获取AJAX POST请求中参数以form data和request payload形式传输的方法

主要介绍了Servlet获取AJAX POST请求中参数以form data和request payload形式传输的方法,结合实例形式详细分析了post数据发送及获取请求数据的原理与相关操作注意事项,需要的朋友可以参考下
recommend-type

python爬虫实现POST request payload形式的请求

最近在爬取某个站点时,发现在POST数据时,使用的数据格式是request payload,有别于之前常见的 POST数据格式(Form data)。而使用Form data数据的提交方式时,无法提交成功。 1.1. Http请求中Form Data 和 ...
recommend-type

zigbee-cluster-library-specification

最新的zigbee-cluster-library-specification说明文档。
recommend-type

管理建模和仿真的文件

管理Boualem Benatallah引用此版本:布阿利姆·贝纳塔拉。管理建模和仿真。约瑟夫-傅立叶大学-格勒诺布尔第一大学,1996年。法语。NNT:电话:00345357HAL ID:电话:00345357https://theses.hal.science/tel-003453572008年12月9日提交HAL是一个多学科的开放存取档案馆,用于存放和传播科学研究论文,无论它们是否被公开。论文可以来自法国或国外的教学和研究机构,也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire
recommend-type

实现实时数据湖架构:Kafka与Hive集成

![实现实时数据湖架构:Kafka与Hive集成](https://img-blog.csdnimg.cn/img_convert/10eb2e6972b3b6086286fc64c0b3ee41.jpeg) # 1. 实时数据湖架构概述** 实时数据湖是一种现代数据管理架构,它允许企业以低延迟的方式收集、存储和处理大量数据。与传统数据仓库不同,实时数据湖不依赖于预先定义的模式,而是采用灵活的架构,可以处理各种数据类型和格式。这种架构为企业提供了以下优势: - **实时洞察:**实时数据湖允许企业访问最新的数据,从而做出更明智的决策。 - **数据民主化:**实时数据湖使各种利益相关者都可
recommend-type

2. 通过python绘制y=e-xsin(2πx)图像

可以使用matplotlib库来绘制这个函数的图像。以下是一段示例代码: ```python import numpy as np import matplotlib.pyplot as plt def func(x): return np.exp(-x) * np.sin(2 * np.pi * x) x = np.linspace(0, 5, 500) y = func(x) plt.plot(x, y) plt.xlabel('x') plt.ylabel('y') plt.title('y = e^{-x} sin(2πx)') plt.show() ``` 运行这段
recommend-type

JSBSim Reference Manual

JSBSim参考手册,其中包含JSBSim简介,JSBSim配置文件xml的编写语法,编程手册以及一些应用实例等。其中有部分内容还没有写完,估计有生之年很难看到完整版了,但是内容还是很有参考价值的。
recommend-type

"互动学习:行动中的多样性与论文攻读经历"

多样性她- 事实上SCI NCES你的时间表ECOLEDO C Tora SC和NCESPOUR l’Ingén学习互动,互动学习以行动为中心的强化学习学会互动,互动学习,以行动为中心的强化学习计算机科学博士论文于2021年9月28日在Villeneuve d'Asq公开支持马修·瑟林评审团主席法布里斯·勒菲弗尔阿维尼翁大学教授论文指导奥利维尔·皮耶昆谷歌研究教授:智囊团论文联合主任菲利普·普雷教授,大学。里尔/CRISTAL/因里亚报告员奥利维耶·西格德索邦大学报告员卢多维奇·德诺耶教授,Facebook /索邦大学审查员越南圣迈IMT Atlantic高级讲师邀请弗洛里安·斯特鲁布博士,Deepmind对于那些及时看到自己错误的人...3谢谢你首先,我要感谢我的两位博士生导师Olivier和Philippe。奥利维尔,"站在巨人的肩膀上"这句话对你来说完全有意义了。从科学上讲,你知道在这篇论文的(许多)错误中,你是我可以依
recommend-type

实现实时监控告警系统:Kafka与Grafana整合

![实现实时监控告警系统:Kafka与Grafana整合](https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X2pwZy9BVldpY3ladXVDbEZpY1pLWmw2bUVaWXFUcEdLT1VDdkxRSmQxZXB5R1lxaWNlUjA2c0hFek5Qc3FyRktudFF1VDMxQVl3QTRXV2lhSWFRMEFRc0I1cW1ZOGcvNjQw?x-oss-process=image/format,png) # 1.1 Kafka集群架构 Kafka集群由多个称为代理的服务器组成,这
recommend-type

导入numpy库,创建两个包含9个随机数的3*3的矩阵,将两个矩阵分别打印出来,计算两个数组的点积并打印出来。(random.randn()、dot()函数)

可以的,以下是代码实现: ```python import numpy as np # 创建两个包含9个随机数的3*3的矩阵 matrix1 = np.random.randn(3, 3) matrix2 = np.random.randn(3, 3) # 打印两个矩阵 print("Matrix 1:\n", matrix1) print("Matrix 2:\n", matrix2) # 计算两个数组的点积并打印出来 dot_product = np.dot(matrix1, matrix2) print("Dot product:\n", dot_product) ``` 希望