死亡exit
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了死亡exit相关的知识,希望对你有一定的参考价值。
看了p牛的文章受益匪浅,跟着p牛的思路复现一遍如何绕过exit函数。
环境:win+iis+php
|
1
2
3
4
5
6
7
|
<?php
$c="<?php exit;?>";
@$c.=$_POST[‘c‘];
@$filename=$_POST[‘file‘];
@file_put_contents($filename, $c);
highlight_file(‘tmp.php‘);
?>
|
一、通过phpfilter协议的base64编码
可以看到在写入的文件之前存在exit;即使正确写入了shell也无法执行。这种情况一般出现在一些缓存文件中。如果能绕过这些就可以直接getshell了。
幸运的是,这里的$_POST[‘filename’]是可以控制协议的,使用php://filter流的base64-decode方法,将$content解码,利用php base64_decode函数特性去除“死亡exit”。
值得注意的有两点:
- . base64_decode()会忽略要解码字符串中无效字符像<>?;等,这里给出base64_decode()函数忽略无效字符相应的代码
- “phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,”phpexita”被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。
- 可以看到结果 <?php exit;?>已经不存在了。
利用php://filter的strip_tags
除了使用base64特性的方法外,我们还可以利用php://filter的strip_tags方法来去除“死亡exit”。
strip_tags() 函数剥去字符串中的 html、XML 以及 PHP 的标签。但是当我们直接使用strip_tags的时候。我们输入的shell的内容也会被过滤掉。
但是php://filter支持多个过滤器。我们只需结合base64-decode即可实现getshell
以上是关于死亡exit的主要内容,如果未能解决你的问题,请参考以下文章