PHP trick

1、绕过is_numeric。 %00放在数字开头或者结尾,%20放在开头都能使函数返回false

2、类型转换上限。intval函数在32位系统最大返回2147483647,64位系统最大返回9223372036854775807。浮点数向下取整。

3、eregi匹配可以用%00截断,参数是数组返回NULL。

4、strcmp、strpos绕过。传数组。一般处理字符串的,传入数组会返回null。

5、md5和sha加密,加密是数组的话md5()===md5()成立。

6、session绕过。删除cookie,没有cookie中的SESSIONID就找不到对应的session文件,相应的$_SESSION['var']就为NULL,传参NULL。

7、伪造ip:X-Client-IP:  X-Remote-IP:  X-Remote-Addr:  X-Originating-IP:  X-Forwarded-For:  client-ip:

可以不用点分十进制,用八进制或者十六进制绕过ip地址限制。

8、md5之后==比较相等, 240610708    QNKCDZO

9、md5后sql注入,md5($var,true)把md5后的十六进制转换为字符串,字符 ffifdyop 加密后再转换为字符串为 'or'6即可。

10、unserialize反序列化。if (preg_match('/[oc]:\d+:/i', 'O:4:"Demo":1:{s:10:"Demofile";s:16:"f15g_1s_here.php";}'))  进行这种正则判断的时候,可以在数字前加'+'号来绕过,数字的正号在序列化后的字符串中可以省略,但是可以绕过正则。类序列化之后,再调用unserialize()反序列化这个字符串,会调用类的__wakeup()函数(如果存在的话),之后再调用析构函数。序列化之后的字符串,如果改变属性的数量后,再反序列化,不会调用__wakeup函数。

11、PHP双引号中的变量会被正常解析,比如"hello $name",$name的值会被代入。${}里面的代码会正常执行。比如${@eval(...)}一句话木马。

12、绕过openbase_dir列目录,p师傅的文章:https://www.leavesongs.com/PHP/php-bypass-open-basedir-list-directory.html

或者"; }?>

13、///可以使得parse_url解析错误,不过必须是跟在ip地址后面,具体文件后面不行。

14、利用phar://协议读取phar文件,可以触发反序列化,受影响函数:file_exists file_get_content file_put_content等等

详细介绍:https://xz.aliyun.com/t/2715#toc-5

深入介绍:https://xz.aliyun.com/t/2958

15、php://filter/convert.iconv.UTF-8/UTF-7/resource= 可以把文件从一个编码转换到另一个编码,可以用来读取某些服务器不支持的格式的文件。

16、file_put_contents() 在写入文件时,第二个参数,写入数据如果是数组的话,会被连接起来写入文件。但是这样就能绕过前面的过滤。

17、php读取写入文件,都会调用php_stream_open_wrapper_ex打开流,而判断文件存在、重命名、删除不会。php_stream_open_wrapper_ex会把文件名标准化为一个绝对路径,删除等操作没有。所以读取写入的时候会处理掉相对路径不会出错,删除因为不会处理所以出错。

linux绕过: xxxxx/../exp.php    exp.php/.

windows绕过: exp.ph<

18、end()和count。类似 end($var)==$var[count($var)-1] 绕过,end是直接取数组最后一位,count是根据下标来取的,所以打乱下标可以绕过。

例如:  ?a[1]=ab&a[0]=cd

19、filter_var($url,FILTER_VALIDATE_URL) 绕过,http://localhost/?url=0://evil.com:2333,skysec.top:80/  或者 http://localhost/?url=0://evil.com:233;skysec.top:80/ 都可以绕过, 或者 http://localhost/?url=0://evil.com$skysec.top:80/    parse_url($url)['host'] 还是// 和 /之间的内容,但是curl请求的是前半部分的内容。

参考:http://skysec.top/2018/03/15/Some%20trick%20in%20ssrf%20and%20unserialize()/#some-trick-in-ssrf

20、parse_url 和libcurl(就是curl函数的库)。  parse_url 匹配host中最后一个@后面符合格式的host    curl匹配第一个。

例如 http://@[email protected] parse_url 中host 为b.com    curl中host为 a.com  (后面的会忽略?)。

关于有端口号的url:和libcurl版本号有关:

libcurl 7.55.1 版本之后的 对于  http://@localhost:[email protected]:8001 host为 localhost 访问端口号为最后那个指定的 中间那个80无用

    7.50.3版本之前的(具体哪个版本分界我也不知道啊!)对上面的url无法访问,需要把最后面那个端口号去掉才行,同时访问的端口号为80

21、反序列化注入代码。构造属性内容,使得前一个属性因为过滤,属性值内容减少的时候,可以吃掉原本的属性,使得下一个属性的内容成为属性。


PHP trick_第1张图片


PHP trick_第2张图片

这样就可以在原本的属性值中构造注入代码。对象注入,使得某个特定的对象成为当前的一个属性,然后可以操作相关函数。

22、json_encode:将数组转换为json,只支持utf8格式的数据。json_encode 会自动将utf8格式的汉字转为unicode格式。gbk格式的数据只能输出NULL。

json_decode:可以解析unicode编码格式的字符串,官方说明只能解析utf-8编码的数据。  英文字符不区分编码格式,encode  decode都能解析。

json_decode:可以当作mysql的分隔符: 空格    +  \f  \n  \r  \t \u0009  \u000A  \u000B  \u000C  \u000D  \u0020    \u002B

你可能感兴趣的:(PHP trick)