---恢复内容开始---

# 背景
***
***
今天我们换一个方式来分析这个漏洞，从渗透的角度去搞。

渗透过程

---

---

测试漏洞

---

先来看看，观察URL是：http://192.168.195.195/bWAPP/phpi.php



message像是有链接，点击看看



在查看url是http://192.168.195.195/bWAPP/phpi.php?message=test，GET型参数，burp扫一下



感觉不对，怎么可能只有Flash跨域红红的，目测这个地方是echo xxxx，猜测代码：

<?php

    echo $_GET["message"];

?>

可是这样哪里来的代码注入啊，难道message有问题，测试phpinfo()，果然有问题



那就可以看代码了，执行message=system("cat phpi.php > phpi.txt") ，请求一下phpi.txt



我们来看代码：

代码设计

---

<?php

if(isset($_REQUEST["message"]))

{

    // If the security level is not MEDIUM or HIGH

    if($_COOKIE["security_level"] != "1" && $_COOKIE["security_level"] != "2")

    {

?>

    <p><i><?php @eval ("echo " . $_REQUEST["message"] . ";");?></i></p>

<?php

    }

    // If the security level is MEDIUM or HIGH

    else

    {

?>

    <p><i><?php echo htmlspecialchars($_REQUEST["message"], ENT_QUOTES, "UTF-8");;?></i></p>

<?php

    }

}

?>

卧槽，什么鬼竟然用了eval，这个可是执行代码内容的函数，类似的还有asset、preg_replace、call_user_func, call_user_func_array，array_map等等，这其中还包括thinkphp5-RCE的罪魁祸首函数哈哈。中级和高级过滤了，使用了htmlspecialchars函数就OK了