您当前位置: 首页 » 敏感函数 » exit()

exit()

2017年2月8日 | 发表评论(0) 查看评论

看了p牛的文章受益匪浅,跟着p牛的思路复现一遍如何绕过exit函数。

环境:win+iis+php

一、通过phpfilter协议的base64编码

可以看到在写入的文件之前存在exit;即使正确写入了shell也无法执行。这种情况一般出现在一些缓存文件中。如果能绕过这些就可以直接getshell了。

幸运的是,这里的$_POST[‘filename’]是可以控制协议的,使用php://filter流的base64-decode方法,将$content解码,利用php base64_decode函数特性去除“死亡exit”。

值得注意的有两点:

  • . base64_decode()会忽略要解码字符串中无效字符像<>?;等,这里给出base64_decode()函数忽略无效字符相应的代码
  • “phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,”phpexita”被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。
  • 可以看到结果 <?php exit;?>已经不存在了。

    利用php://filter的strip_tags

    除了使用base64特性的方法外,我们还可以利用php://filter的strip_tags方法来去除“死亡exit”。

    strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。但是当我们直接使用strip_tags的时候。我们输入的shell的内容也会被过滤掉。

    但是php://filter支持多个过滤器。

    我们只需结合base64-decode即可实现getshell

发表评论?

0 条评论。

发表评论


注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">