CTF中php学习

最新推荐文章于 2023-06-12 18:45:00 发布
最新推荐文章于 2023-06-12 18:45:00 发布
阅读量130 收藏
点赞数
分类专栏: lemoncc 文章标签: php 学习 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CC_zzx/article/details/128552963
版权

LFI文件包含漏洞

php filter base64,通过php://filter/read=convert.base64-encode/resource= 利用LFI来查看源码

  • 这里还用到PHP伪协议的技巧
    PHP伪协议详解
    eg:
  • passthru函数实现exec函数功能

web常见绕过小技巧

  • 反序绕过
    例如:对cat进行筛选,即可以使用反序的‘tac’
  • 在eval函数中嵌入时可以使用多个语句组合方式。
  • 更为简单的,应用\转义符号拆分单词,组合使用*任意匹配符号对某文件读取;
  • 复杂且较为常用的,使用base64进行编码解码。base64_decode();
  • 在php中可以用?>来代替最后的一个;,因为php遇到定界符关闭标签会自动在末尾加上一个分号。

任意文件访问

  • include函数的危险性,在于可以对其他文件进行包含,从而实现访问,结合某些可以被修改的文件,即可实现网页木马上传控制。例如:nginx日志中记录user-agent内容,访问时

PHP安全问题总结

php安全总结链接
将以下函数禁用:system、exec、passthru、shell_exec、proc_open、popen

没有做出来的题

  • web萌新里的获得百分之百的快乐
CC_zzx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFPHP学习之路
vege_og的博客
08-04 152
PHP基础语法 一、变量和常量 常用的几个系统常量: PHP_VERSOIN PHP版本号 PHP_INT_SIZE 整形大小 PHP_INT_MAX 整形能表示的最大值 系统魔术常量 __DIR__ 当前被执行的脚本所在电脑的绝对路径 __FILE__当前被执行的脚本所在...
云演CTF——php4fun
weixin_56301399的博客
01-16 3660
CTF-PHP代码审计学习笔记分享
最新发布
m0_62945162的博客
06-12 1274
CTF学习笔记分享-PHP代码审计。自己总结,若有错误,请联系改正,谢谢!
攻防_漏洞_命令执行_php命令执行
redglare的博客
10-21 577
php 命令执行
ubuntu php 无法执行exec_从一道CTF题目谈PHP的命令执行
weixin_39756696的博客
11-23 217
原创 Xenny 合天智汇 快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道题,正好当时有空,于是就打开了他发的链接,代码如下很明显是一道PHP代码审计的题目,而且只需要绕过第三行的if即可进行任意命令执行。解决思路看了代码之后觉得是道普通的题目,对于/a-zA-Z/这个正则表达式,我们可以利用PHP动态函数的特性,构造出字符串即可。对于想要的字符串,我们可以通过以下三种方式来构造:1...
php exec ctf,[CTF_web]exec/exec1.php
weixin_35524300的博客
03-17 594
CTF_web源码如下 :// Get input$target = $_REQUEST[ 'ip' ];// var_dump($target);$target=trim($target);// var_dump($target);// Set blacklist$substitutions = array('&' => '',';' => '','|' => '',...
CTF 离线C PHP python 汇编函数查询 chm电子书合集
10-06
本资源集合是一套针对CTF(Capture The Flag)竞赛离线学习的专业电子书籍,主要涵盖了C语言、PHP、Python和汇编语言等关键领域的函数查询。这些书籍以CHM(Compiled Help Manual)格式提供,是一种常见的Windows...
CTF-Web-Challenge:使用PHP在Web进行CTF挑战
03-25
在这个"CTF-Web-Challenge",你将有机会学习和实践如何在Web环境识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF撰写
02-09
CTF(Capture The Flag)是一种网络安全...通过深入研究“CTF-writeups-master”的内容,你可以了解各种CTF挑战的解决方案,同时提高自己的PHP安全技能,这对于想要在网络安全领域发展的人来说是一项宝贵的学习资源。
OpenCTF:一个用php编写的开源CTF托管平台
06-04
OpenCTF是一个基于PHP开发的开源CTF(Capture The Flag)比赛托管平台。CTF是一种网络安全竞赛,参与者通过解决各种安全挑战来...通过学习和实践OpenCTF,不仅可以提升PHP编程技能,还能深入了解CTF比赛的运作机制。
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境0x00 前言CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。0x01 搭建环境使用CTFhub的环境的前提条件需要在本地...
ctf常见php rce绕过总结
2302_76827504的博客
04-28 2054
只是总结一些常见的姿势,大佬轻喷。
每天一道CTF---bugku-----有趣的题(PHP语言特性)
qq_51550750的博客
01-15 955
php exec ctf,从一道CTF题目谈PHP的命令执行
weixin_42365490的博客
03-17 897
answer = "phpinfo"tmp1,tmp2 = '', ''forc inanswer:fori invalid:forj invalid:if(ord(i)^ord(j) == ord(c)):tmp1 += itmp2 += jbreakelse:continuebreakprint(tmp1,tmp2)其valid是可用的字符,answer是我们需要构造的字符串。那么我们得到了...
[ACTF2020 新生赛]Exec
yuanqiqi_的博客
09-01 1211
萌新记录一下自己的CTF——web刷题之旅
BUUCTF刷题[PHP]&[EasySQL]&[Exec]
Pysnow's Blog
12-12 576
[极客大挑战 2019]PHP [SUCTF 2019]EasySQL [ACTF2020 新生赛]Exec
记录CTF命令执行练习遇到的几道题(一些PHP命令过滤的绕过方法)
weixin_40103894的博客
10-01 1580
【代码】记录CTF命令执行练习遇到的几道题(一些PHP命令过滤的绕过方法)
[原题复现]百度杯CTF比赛 十月场 WEB EXEC(PHP弱类型)
笑花大王
03-12 666
简介 原题复现: 考察知识点:PHP弱类型、 线上平台:https://www.ichunqiu.com/battalion(i春秋 CTF平台) 过程 看源码发现这个 vim泄露 下方都试了一遍 。index.php.swp是的 下载源码即可 .index.php.swpindex.php.swp ——vim文件泄露index.php.bakindex.php~ 要通过...
CTF--PHP特性小记(见到及时记录)
weixin_53425135的博客
07-03 204
PHP弱类型总结+绕过方式 注:是搜集总结的知识点 一.两种比较符号 == 和 === == 在进行比较的时候,会先将字符串类型转化成相同类型,再进行比较。 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再进行比较。 如果一个数值和字符串进行比较的时候,会将字符串转换成数值。 看几个具体的例子: 1. var_dump("admin"==0);//正确 将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0和0相等 2. var_dump("admin1"==1);//错误
ctf入门学习网站
05-22
以下是一些CTF入门学习网站: 1. CTF365:https://ctf365.com/ 2. CTFHub:https://www.ctfhub.com/ 3. HackThisSite:https://www.hackthissite.org/ 4. Root-Me:https://www.root-me.org/ 5. Hacking-Lab:https://www.hacking-lab.com/ 6. PentesterLab:https://pentesterlab.com/ 7. WebGoat:https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project 这些网站提供了各种类型的CTF挑战,包括web应用程序安全、网络安全、逆向工程和加密等。希望对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值