1、绕过is_numeric。 %00放在数字开头或者结尾,%20放在开头都能使函数返回false
2、类型转换上限。intval函数在32位系统最大返回2147483647,64位系统最大返回9223372036854775807。浮点数向下取整。
3、eregi匹配可以用%00截断,参数是数组返回NULL。
4、strcmp、strpos绕过。传数组。一般处理字符串的,传入数组会返回null。
5、md5和sha加密,加密是数组的话md5()===md5()成立。
6、session绕过。删除cookie,没有cookie中的SESSIONID就找不到对应的session文件,相应的$_SESSION['var']就为NULL,传参NULL。
7、伪造ip:X-Client-IP: X-Remote-IP: X-Remote-Addr: X-Originating-IP: X-Forwarded-For: client-ip:
可以不用点分十进制,用八进制或者十六进制绕过ip地址限制。
8、md5之后==比较相等, 240610708 QNKCDZO
9、md5后sql注入,md5($var,true)把md5后的十六进制转换为字符串,字符 ffifdyop 加密后再转换为字符串为 'or'6
10、unserialize反序列化。if (preg_match('/[oc]:\d+:/i', 'O:4:"Demo":1:{s:10:"Demofile";s:16:"f15g_1s_here.php";}')) 进行这种正则判断的时候,可以在数字前加'+'号来绕过,数字的正号在序列化后的字符串中可以省略,但是可以绕过正则。类序列化之后,再调用unserialize()反序列化这个字符串,会调用类的__wakeup()函数(如果存在的话),之后再调用析构函数。序列化之后的字符串,如果改变属性的数量后,再反序列化,不会调用__wakeup函数。
11、PHP双引号中的变量会被正常解析,比如"hello $name",$name的值会被代入。${}里面的代码会正常执行。比如${@eval(...)}一句话木马。
12、绕过openbase_dir列目录,p师傅的文章:https://www.leavesongs.com/PHP/php-bypass-open-basedir-list-directory.html
或者"; }?>
13、///可以使得parse_url解析错误,不过必须是跟在ip地址后面,具体文件后面不行。
14、利用phar://协议读取phar文件,可以触发反序列化,受影响函数:file_exists file_get_content file_put_content等等
详细介绍:https://xz.aliyun.com/t/2715#toc-5
深入介绍:https://xz.aliyun.com/t/2958
15、php://filter/convert.iconv.UTF-8/UTF-7/resource= 可以把文件从一个编码转换到另一个编码,可以用来读取某些服务器不支持的格式的文件。
16、file_put_contents() 在写入文件时,第二个参数,写入数据如果是数组的话,会被连接起来写入文件。但是这样就能绕过前面的过滤。
17、php读取写入文件,都会调用php_stream_open_wrapper_ex打开流,而判断文件存在、重命名、删除不会。php_stream_open_wrapper_ex会把文件名标准化为一个绝对路径,删除等操作没有。所以读取写入的时候会处理掉相对路径不会出错,删除因为不会处理所以出错。
linux绕过: xxxxx/../exp.php exp.php/.
windows绕过: exp.ph<
18、end()和count。类似 end($var)==$var[count($var)-1] 绕过,end是直接取数组最后一位,count是根据下标来取的,所以打乱下标可以绕过。
例如: ?a[1]=ab&a[0]=cd
19、filter_var($url,FILTER_VALIDATE_URL) 绕过,http://localhost/?url=0://evil.com:2333,skysec.top:80/ 或者 http://localhost/?url=0://evil.com:233;skysec.top:80/ 都可以绕过, 或者 http://localhost/?url=0://evil.com$skysec.top:80/ parse_url($url)['host'] 还是// 和 /之间的内容,但是curl请求的是前半部分的内容。
参考:http://skysec.top/2018/03/15/Some%20trick%20in%20ssrf%20and%20unserialize()/#some-trick-in-ssrf
20、parse_url 和libcurl(就是curl函数的库)。 parse_url 匹配host中最后一个@后面符合格式的host curl匹配第一个。
例如 http://@[email protected] parse_url 中host 为b.com curl中host为 a.com (后面的会忽略?)。
关于有端口号的url:和libcurl版本号有关:
libcurl 7.55.1 版本之后的 对于 http://@localhost:[email protected]:8001 host为 localhost 访问端口号为最后那个指定的 中间那个80无用
7.50.3版本之前的(具体哪个版本分界我也不知道啊!)对上面的url无法访问,需要把最后面那个端口号去掉才行,同时访问的端口号为80
21、反序列化注入代码。构造属性内容,使得前一个属性因为过滤,属性值内容减少的时候,可以吃掉原本的属性,使得下一个属性的内容成为属性。
这样就可以在原本的属性值中构造注入代码。对象注入,使得某个特定的对象成为当前的一个属性,然后可以操作相关函数。
22、json_encode:将数组转换为json,只支持utf8格式的数据。json_encode 会自动将utf8格式的汉字转为unicode格式。gbk格式的数据只能输出NULL。
json_decode:可以解析unicode编码格式的字符串,官方说明只能解析utf-8编码的数据。 英文字符不区分编码格式,encode decode都能解析。
json_decode:可以当作mysql的分隔符: 空格 + \f \n \r \t \u0009 \u000A \u000B \u000C \u000D \u0020 \u002B