摘要:
反斜杠被过滤,利用cd回到根目录 <?php error_reporting(0); if(isset($_GET["cmd"])){ if(preg_match('/et|echo|cat|tac|base|sh|more|less|tail|vi|head|nl|env|fl|\||;|\^|\ 阅读全文
摘要:
PHP利用PCRE回溯次数限制绕过某些安全限制 参考于(https://www.freebuf.com/author/phithon) 正则表达式 正则表达式是一个可以被「有限状态自动机」接受的语言类。 「有限状态自动机」,其拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个 阅读全文
摘要:
creat_function()代码注入 creat_function函数根据传递的参数创建匿名函数,并为其返回唯一名称。 语法: create_function(string $args,string $code) string $args 声明的函数变量部分 string $code 执行的方法 阅读全文
摘要:
日志文件包含漏洞 日志包含漏洞属于是本地文件包含,同样服务器没有很好的过滤,或者是服务器配置不当导致用户进入了内网,本来常规用户是访问不了这些文件的,但由于发起访问请求的人是服务器本身,也就导致用户任意文件读取。 原理: apache服务器日志存放文件位置:/var/log/apache/acces 阅读全文
摘要:
伪随机数种子爆破 一、前言 ctf中有很多php随机数的题目,考察方式一般如下: 给定一个随机数,求产生随机数的种子。 做这种题,先了解点知识 二、基础知识 php产生随机数 php 通过 以下两个函数产生随机数 mt_srand() //播种 Mersenne Twister 随机数生成器。 mt 阅读全文
摘要:
利用 pearcmd.php 实现 Getshell 关于pear pecl是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.3及以前,pecl/pear是默认安装的;在7.4及以后,需要我们在编译PHP的时候指定`--with-pear`才会安装。 不过,在Docke 阅读全文
摘要:
preg_replace /e 模式下的代码执行问题 preg_replace在/e模式下存在代码执行问题 这里借用例题分析 function complex($re, $str) { return preg_replace( '/(' . $re . ')/ei', 'strtolower("\\ 阅读全文
摘要:
有长度限制的命令执行 长度9 大多数常用的命令长度都小于9,所有都可以直接执行 ls / cat /flag.... 长度7 cat /flag:这个命令长度为8,那么正常的命令是执行不了的。 我们可以通过把命令写入到文件名里面,从而通过创建多个文件,把含有命令的文件名写入到一个文件中,再去执行这个 阅读全文
摘要:
Apache SSI 远程命令执行漏洞 ssi简介 SSI(服务器端包含)是放置在HTML页面中的指令,并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页面,而不必通过CGI程序或其他动态技术来提供整个页面。 例如,您可以将指令放置到现有的HTML页面中,例如: 阅读全文
摘要:
ssti模板注入 介绍 SSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。ssti和sql注入的思路相似,所以可以类比分析。 漏洞原理 render_template渲染函数的问题 渲染函数在渲染的时候,往往对用户输入的变量不做渲染 阅读全文
摘要:
CSRF 原理 在浏览器中cookie在一段时间内是不会过期(不关闭或者退出浏览器),再次访问都会默认登录,这个应该都有体验。如果在cookie存在期间,通过构造csrf脚本或包含csrf脚本的链接发送给用户,得到信息后,再伪造成用户身份,执行相关操作 形象理解:如果将XSS攻击过程比喻为小偷偷取了 阅读全文
摘要:
xss 原理: 攻击者在恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。 xss分类 反射型 特征:恶意代码的输入点是URL 即时触发,利用方式是制作钓鱼链接,通过社工方式进行盗取用户coo 阅读全文
摘要:
文件上传 原理 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、 阅读全文
摘要:
web [网鼎杯 2020 青龙组]AreUSerialz <?php include("flag.php"); //提示包含一个flag.php文件,我们的目的就是读取这个flag文件 highlight_file(__FILE__); class FileHandler { //定义一个File 阅读全文