PHP字符串解析特性 ($GET/$POST参数绕过)(含例题 buuctf easycalc)

最新推荐文章于 2024-05-28 10:57:22 发布
最新推荐文章于 2024-05-28 10:57:22 发布
阅读量2.4k 收藏 13
点赞数 4
分类专栏: 网络安全 文章标签: php 网络安全 web 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bin789456/article/details/120305682
版权

了解一下

PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

1)删除空白符

2)将某些字符转换为下划线(包括空格)

例如:

在这里插入图片描述
下面这个图就是测试出来在能够哪些地方添加并得到特殊处理。
在这里插入图片描述
通过以上特性,当waf限制get参数类型或者长度等等,我们就可以很轻松的绕过。

参考链接:https://www.freebuf.com/articles/web/213359.html

例题 buuctf-easycalc

打开题目,查看源代码
在这里插入图片描述
提示中显示有WAF,同时有一个检验函数,有一个calc.php,进入后查看如下
在这里插入图片描述
具有一些关键字屏蔽
经过简单的测试,会发现如果输字符字符会直接WAF禁止
在这里插入图片描述
这里就可以用到字符串解析特性了,对于这种get参数非常好用,在num前面加上空格或者+号,再测试一下就可以了
在这里插入图片描述
接下来就是构造命令来进行查看,显示用var_dump()print_r()啥的都行,当前目录用scandir,屏蔽的/可以用chr(47),查看文件用file_get_content()或者highlight_file()都行
在这里插入图片描述
查看文件
在这里插入图片描述

sayo.
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
网络安全 | CTF】攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议】
等风来
05-22 9871
PHP 语言中一个重要的文件包机制,可以将一个 PHP 文件包到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
渗透测试之SQL注入(POST型的四种注入手法)、SQL注入绕过手段
Hi~ 土拨鼠
12-11 7557
文章目录使用BurpSuite进行post请求的抓包使用联合查询进行注入:使用报错注入进行注入:布尔盲注:时延查询:SQL注入绕过手段大小写字母绕过双写绕过编码绕过内联注释绕过 POST和GET的区别就是注入点位置发生了变化,在浏览器中已经无法直接进行查看与修改。当然可以借助对应的插件可以完成修改任务。 使用BurpSuite进行post请求的抓包 以Sqli-Lab Less11为例。 查看抓的包 将抓到的包发送到repeater模块,就可以进行重复测试了 初步判断sql语句大概为:select un
php 字符串异或 绕过,浅析CTF绕过字符数字构造shell
weixin_36349685的博客
03-19 1258
前言在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。无字母数字webshell简单来说就是payload中不能出现字母,数字(有些题目还有其他一些过滤),通过异或取反等方法取得flag。本文涉及知识点实操练习-使用base64与deflate对webshell编码测试源码...
利用PHP字符串解析特性Bypass
最新发布
2401_84466359的博客
05-28 1194
上述PHP语句的参数%20news[id%00的值将存储到$_GET["news_id"]中。HP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符2.将某些字符转换为下划线(包括空格)parse_str函数通常被自动应用于get、post请求和cookie中。如果你的Web服务器接受带有特殊字符的参数名,那么也会发生类似的情况。如上代码所示,我进行了多次循环,枚举了参数名三个位置的0到255之间的所有字符,看看解析函数到底是如何处理这些特殊字符的。
一天一道ctf 第42天(php解析字符串特性
scrawman的博客
07-23 389
[MRCTF2020]套娃 进去啥也没有,先看一下源码,发现第一关 $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_
[PHP内核]PHP内核学习(四)------回答PHP字符串解析特性Bypass([、空格被解析为_,[[只将第一个[解析为_)
Y4tacker的博客
09-27 1255
文章目录写在前面结果演示parse_str处理流程[、空格被解析为_[[只将第一个[解析为_ 写在前面 写这一篇是自己很早之前就很好奇为什么会这样处理,当时没什么能力,今天来尝试分析一下,php底层对其的处理,因为对web的调试比较麻烦,这里用parse_str分析代替,本文先跟踪parse_str流程再解释 结果演示 [被替换为_ test[a[bc被解析为test_a[bc 空格被替换为_ parse_str处理流程 parse_str实现在ext\standard\string.c 首先是初始化
CG-CTF 综合题2(sql注入绕过、注入技巧、preg_replace()漏洞)☆
Sea_Sand息禅
03-19 5783
这道题确实综合性挺强的。 1、老程序,先收集信息。 页面可以输入的地方可以输入些信息试试,搜索框输入1,会转到so.php,这里是有sql查询的。 留言的地方,输入可以转到preview.php,预览之后转到say.php。 最下面有个“本CMS说明”,这个点击之后会得到更多的信息: config.php index.php passencode.php say.php sm.txt 还给了我们...
CTF题目中遇到的PHP考点总结(一)
HBohan的博客
02-15 2060
介绍 本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。 PHP函数特性相关 一、 考点一:intval函数传入非空数组时会返回1 详情可以查一下PHP手册。【https://www.php.net/manual/zh/function.intval.php】 考点二:preg_match()只能处理字符串,当传入的是数组时将会返回false,详情也可以查一下PHP手册。 例题: incl.
PHP 黑魔法
apple_54886810的博客
09-21 446
PHP 黑魔法 弱比较 若字符串以数字开头,则取开头数字作为转换结果,若无则输出0 <?php echo "---------------- 弱比较黑魔法 -------------------------"; echo "<br>";echo "<br>"; if (1 == "1abc") { if (0 == "abc") { if ("0e132456789" == "0e7124511451155") { #常见于md5弱比较绕过 echo "两个
CTF中PHP相关题目考点总结(二)
HBohan的博客
02-16 3060
介绍 本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。 PHP特性相关考点 一、 考点:php正则表达式的匹配模式差异。 例题: show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ #/i表示不区分大小写,/m表示多行匹配 i.
php get请求_如何绕过代码过滤和WAF规则远程执行PHP代码
weixin_39808893的博客
11-27 376
而在本文中,我将介绍,关于PHP语言,在绕过代码过滤和WAF规则去远程执行代码方面,到底有多少可能。当我写这类绕过防护的文章时,人们总是问“真的有人写这样的代码吗?”这些人通常都不是渗透测试人员。但是如果你还想问这个问题,我现在就回答你:YES。( https://www.google.com/search?q=PHP+remote+code+execution)以下是我用于测试的两个PHP脚本中...
sqli-labs-less-25 get型waf绕过 or and 关键字重复
yzcn
12-03 308
补充知识: sql注入waf绕过: Waf绕过可分为三类: 一、 白盒绕过 通过源代码分析,进行绕过,分析源代码中有哪些转义规则,通过避开这些规则进行注入 二、 黑盒绕过 1、 架构层面绕过waf (1) 寻找源网站进行waf检测,只要针对云waf,通过直接访问网站真实地址,绕过云waf的检测 (2) 通过同网段绕过waf检测 可能存在与该网站服务器在同一网段的主机,没有进行waf防护,我们可以通过对该主机进行入侵,获取权限后,利用该主机访问服务器,这时因为在内网,因此可能没有很高的防护,我们可以获取数据。
《这是知识点》之上传POST绕过Java过滤器
御前提笔小书童
01-30 553
项目场景: 提示:公司有个项目做安全测评时发现了一个注入问题。系统设置了全局的XSS过滤器,在其他功能点上生效了,但在一个发布功能没有被过滤,后续排查发现安全测评走的是上传包注入方式,故记录此次问题 问题描述: 问题功能模块的作用是一个添加相关参数并上传附件的点,问题出在添加的参数未被全局XSS过滤器生效 原因分析: 基于Tomcat和Spring MVC的底层代码分析问题原因 常用的请求分文三种,GET型请求,普通POST型请求和上传POST型请求。本文的普通型POST请求指的是除上传POS
一天一道CTF 第十天 (PHP字符串解析特性绕过
scrawman的博客
03-15 380
前面几天因为做战队大佬出的题耽误了,今天开始继续 [RoarCTF 2019]Easy Calc 直接查看源码发现有一个calc.php文件,URL后面加/calc.php直接就进去了 那么在这里我们就可以传递num参数,这里有两个难点:一个是WAF只允许num传入数字,另一个是preg_match过滤了很多字符。 前一个我们可以在num前面加空格绕过,应用的是PHP字符串解析特性,waf会将" num"和"num"识别为两个不同的变量,但是PHP解析字符串的时候会将空格自动去掉。 所以最后的pay
php标签中使用get参数_PHP中GET方法参数传递空格+逗号等特殊字符处理办法
weixin_39892309的博客
03-09 690
自己在项目开发中写了个自用接口,用GET方法传参(用户名和密码)。最近收到用户反馈:密码为特殊字符时会出错。我一开始想是不是php的mysql_real_escape_string函数将特殊字符转义了,但用户说自己密码只有“+”号这个特殊字符,而“+”号不属于该函数转义的范围之内。为了弄明白这个问题我就在本地测试了一下,果然发现有bug。测试代码:index.phpecho $_GET['a']....
php post验证输入,PHP简单post验证绕过
weixin_39938746的博客
03-10 754
if($_POST[user] && $_POST[pass]) {$conn = mysql_connect("*******", "****", "****");mysql_select_db("****") or die("Could not select database");if ($conn->connect_error) {die("Connection fai...
$.Ajax、$.Get、$.Post代码实例参数解析
06-08
好的,下面是关于 `$.ajax()`、`$.get()`、`$.post()` 的参数解析及代码实例: ## `$.ajax()` `$.ajax()` 是 jQuery 中最基础的 AJAX 方法,可以通过它来发起各种类型的 AJAX 请求,其常用参数如下: - `url`:请求的 URL 地址。 - `type`:请求类型,如 GET、POST 等。 - `data`:要发送的数据,可以是对象、字符串或数组。 - `dataType`:服务器返回的数据类型,如 text、json 等。 - `success`:请求成功后的回调函数。 - `error`:请求失败后的回调函数。 下面是一段 `$.ajax()` 的代码实例: ```javascript $.ajax({ url: 'test.php', type: 'POST', data: { name: '张三', age: 18 }, dataType: 'json', success: function(data) { console.log(data); }, error: function(xhr, textStatus, errorThrown) { console.log(textStatus, errorThrown); } }); ``` ## `$.get()` `$.get()` 是一个简单的 GET 方法,其常用参数如下: - `url`:请求的 URL 地址。 - `data`:要发送的数据,可以是对象、字符串或数组。 - `dataType`:服务器返回的数据类型,如 text、json 等。 - `success`:请求成功后的回调函数。 - `error`:请求失败后的回调函数。 下面是一段 `$.get()` 的代码实例: ```javascript $.get('test.php', { name: '张三', age: 18 }, function(data) { console.log(data); }, 'json'); ``` ## `$.post()` `$.post()` 是一个简单的 POST 方法,其常用参数如下: - `url`:请求的 URL 地址。 - `data`:要发送的数据,可以是对象、字符串或数组。 - `dataType`:服务器返回的数据类型,如 text、json 等。 - `success`:请求成功后的回调函数。 - `error`:请求失败后的回调函数。 下面是一段 `$.post()` 的代码实例: ```javascript $.post('test.php', { name: '张三', age: 18 }, function(data) { console.log(data); }, 'json'); ``` 以上就是 `$.ajax()`、`$.get()`、`$.post()` 的参数解析及代码实例。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值