发布于2022年11月4日2年前 从PbootCMS审计到某狗绕过 有date,in_array,explode,implode,乍一看是些没啥用的函数, 但是经过一番冥思苦想,还是找到了可以利用的方式,只要将函数名写成数组,经由implode拼接成字符串,最后进入eval即可执行代码。{pboot:if(implode('', ['c','a','l','l','_','u','s','e','r','_','f','u','n','c'])(implode('',['p','h','p','i','n','f','o'])))}!!!{/pboot:if}if括号中的payload会最终进入到eval中执行, 测试一下这种方式行不行,如图这样是可以执行代码的。最后将payload插入到后台网站基本信息中,随便访问一个网页代码就会执行。4.webshell绕过某狗上文最后的绕过姿势主要使用了implode函数将数组元素拼接成了字符串,同时php有种可变函数的机制,如果一个变量名后面有圆括号,php将寻找与变量值同名的函数,并且尝试执行它。同时注意可变函数不能用于类似echo的语言结构,如何判断一个字符串能不能作为可变函数呢?只需要var_dump(function_exists('call_user_func'))返回true即可判断,如这个姿势除了能绕过上文的过滤还有啥用呢? 想不到能干啥就过个狗吧。 环境搭起来,Apache2.4.39, 某狗Apache版V4.0 我们以执行系统命令的system函数做测试, 首先判断一下system是不是一个函数,返回true说明system能够作为可变函数使用,接着我们只使用可变函数看下会不会被狗拦截,被狗咬了,我们再使用implode函数将system函数加工一下,成功执行命令!上文另外一个姿势,在函数名和圆括号之间插入控制字符能不能绕过狗呢?答案是可以! 先将十六进制转换为文本字符串复制这两个原点到php文件中,测试一下,执行成功!
创建帐户或登录后发表意见