这个题我想记录一下,主要是这个方法属实是有点惊艳到我了。故而进行记录,也为了方便大家阅读理解。
看题目,根据题目我写一下我的分析:
$_POST传入一个v1,$_GET传入一个v2,一个v3。
赋值符号= 优先级高于and,所以$v2=$v4
is_numeric — 检测变量是否为数字或数字字符。
substr — 返回字符串的子串
call_user_func — 把第一个参数作为回调函数调用
file_put_contents — 将一个字符串写入文件
<?php
highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
$s = substr($v2,2);
$str = call_user_func($v1,$s);
echo $str;
file_put_contents($v3,$str);
}
else{
die('hacker');
}
?>
根据上面的函数解释再看一遍源代码。
分析出来:1、 $s = substr($v2,2);由此可知,返回$v2的前三位;
2、$str = call_user_func($v1,$s);由此可知$v1是函数,$s是参数
3、给v3一定要传入一个文件名字,这样才能构造出来一个接受$str的文件
原本我的想法是:$v3传1.php,$v1传system,但是卡在了$v2传不下去了
参考了大师傅的想法和各位万能的网友的wp后,感觉大有所获,来详细分享。
大师傅wp:
所以对应的我们可以反着来
同时在参考大家的wp的时候学到了一个知识点:在以上$c前加11可以使其在base64编码时产生乱码,可以绕过substr的截断,这点真的很重要。
hex2bin — 转换十六进制字符串为二进制字符串
bin2hex — 函数把包含数据的二进制字符串转换为十六进制值
以下为此方法构造命令的新姿势,只是谈谈思路:
那么已经有了这种思路我们是否能够通过这种思路自己构造命令呢??
当然可行,试试。
构造一条获取f*文件的命令,创建一个1.php文件
执行代码,得到命令。
不死心,再试试
但是有点可惜的是并没有把flag回显出来虽然回显出来了东西
还是需要查看源代码才能看到flag,很可惜啊。
如果有师傅能直接回显出来flag的话,真的真的真的,请教教我,谢谢各位师傅啦!!!