- 博客(10)
- 收藏
- 关注
RSS订阅原创 关于eval
这里这么理解:在(2)中,相当于直接把cmd拿到bash中执行了,这里不用加分号,而(1)(3)是先用shell变量赋值的函数将cmd变量的值变成字符串,毕竟eval里面要传合法的字符串,所以这两种情况下cmd已经变成字符串了,所以要加一个分号。其实include()不算函数,而是语言构造器,这里不能作为可变函数使用,(可变函数的意思类似可变变量,指的是函数调用时,该函数的名字可以是一个变量,PHP会自动根据该变量的值去寻找同名的函数。)所以这种方法也就失败了。这里要实现rce,要怎么赋值呢?
2023-10-20 18:07:01
146
1
原创 PHP特性(其二)
error=flag。=,前者相当于===的不等于,也就是强不等于,所以我们想办法把36加点什么,可以过is_numeric同时过第二个,经过查阅:在数字面前加%0c(换页符好像是),%09(tab),%20(空格),%0b(垂直制表符),%0a(换行),%0d(回车),经过is_numeric后为true,加在后面则不可以。之后会过一个匹配,不能有这些东西,后面字符串和数字比较时,参照字符串和数字的弱等于,会先intval(),再进行比较,只要我们传入字符串,那麽就是0,肯定能过这个,所以不用太在意。
2023-10-12 23:42:57
90
原创 2023NewStarCTF week2 webwp
就变成键了,接下来我们只要取键就可以了,这时与之想配合的另一个函数array_rand(),它会随机的取数组中的一个或多个元素的键,不给参数就是默认取一个,这样就好办了,构造Payload:?这里时,得到的结果只是phpinfo()这个字符串,它只是将我们构造的array_rand(array_flip(getallheaders()))给执行了而已,所以我们要先用一个eval将array_rand(array_flip(getallheaders()))变为phpinfo();接下来,更换语句即可,
2023-10-09 21:41:36
664
1
原创 PHP特性整理(其一)
考察的是MD5的绕过,这里MD5哈希作用后的值是强等于,这个只能用数组绕过(MD5里的参数要为字符串,传入数组会直接返回NULL),若是弱等于,则可以用MD5哈希后为'0exxxx'这样的字符串进行绕过,也就是科学计数法绕过,比较时会先将它们算出来再比较。其二:可以用其它进制解决,intval的第二个参数取决将传进来的值转换为何种进制,当为0时,根据第一个参数的格式来决定用什么进制:(1)0开头就用八进制(2)0x开头用16进制(3)其余用十进制,第一个参数是字符串或是整形都是如此,
2023-10-08 21:48:29
97
1
原创 反序列化漏洞其一
如果我们访问D类的不存在的属性或没有权限的属性时,get就会调用,观察一番,C类中可以实现,只要将$z=new D()即可,这样$var在D中不存在,就可也调用D的get方法了,但是toString方法又如何调用呢,当我们把C类的实例当作字符串使用时,就可以调用了。即,在题目中直接$k=new message('a','b','c'),且类中的Token=user,你没法修改token的值,毕竟你改不了人家题目的代码,人家就是这么构造赋值的,这时我们可以考虑字符串逃逸了。我们发现,这里神奇的闭合了,
2023-10-04 22:49:32
166
1
原创 文件包含漏洞总结
这样,我们模拟文件上传,POST PHP_SESSION_UPLOAD_PROGRESS变量,其中,变量的值为php语句,而我们又知道session文件的名字(这里不好用,下一段给出原因)或者直接利用写入session文件的语句创造新的文件,在其它文件中写入小马,再连蚁剑,这样的话就不用去包含了,也就避免了那么多的过滤条件。4x6=24,24÷8=3,正好解码为三个字符,所以这里phpdie需要再补两位,才能完整解码,但是补的这两位不能时我们传入的php语句解码内容,所以我们自动补aa即可。
2023-09-19 20:42:59
379
原创 文件上传漏洞
主要修改三个地方,第一个将Content-Type改成 image/jpeg,第二个将文件的后缀名改成phtml(和php作用一样,这里是怕服务器会过滤.php文件,所以考虑用phtml绕过),第三个在一句话木马前加上GIF89a,这时GIF图片的文件头。服务器拿到我们上传的文件后,会读取它,对于没有文件头的文件,服务器会读取它的内容,正好读到GIF89a,它会以为自己读到了gif图片的文件头,从而成功绕过。这里,我们上传.phtml文件(内容依然是一句话木马),点击上传时提示只能上传它规定的文件。
2023-09-11 20:53:25
96
原创 简单的联合SQL注入总结
1' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where tabe_name='你想查的表' #1' and 1=2 union select xxx,xxx from 表 #
2023-09-11 20:17:29
58
原创 ctf小白的艰难旅程
首先,用burpsuite时,不能简单的把GET改成POST,POST的请求头中多了Content-Type、Content-Length(请求正文的长度)字段,同时还有请求正文,比如username=ctf,而GET没有,所以改成POST时应该添加这两个字段,不添加可能不会得到我们想要的服务器返回内容。最左边的数据是偏移量,可以理解为在37416位置找到了7z的压缩包(91位置可以理解为解释这个图片的文件,不是我们需要的隐藏压缩文件,具体是干啥的我也不太懂),这时我们需要提取。最后在cmd中运行即可,
2023-09-09 11:08:00
102
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人