xhscxj的博客

当我们输入两个反斜杠的时候第二个反斜杠会被转义，会输出一个反斜杠php下面的代码中，有两个反斜杠，第一个反斜杠对第二个反斜杠进行转义后留下一个反斜杠，这个反斜杠接着对进行转义，也就是说后面的无效了也就不会对\n进行过滤也就是说下面的正则代码并不会对我们输入的和\n进行匹配过滤结合linux环境特性，我们可通过命令中间添加来绕过这个正则，从而执行系统命令。

首先对系统的功能点进行大致的了解，对系统的目录情况进行大致了解，确定ThinkPHP版本。中因为很多文件格式名称都是固定的，所以说可以通过猜解去下载重要文件。并没有通过参数绑定的方式传递，而是直接拼接到字符串中。与任意文件下载同理，没有对参数进行过滤，导致可通过。函数判断文件是否存在，如果文件存在则进行下载操作。字符串，然后根据获取的字符串不同的值展示页面。所以当使用的是参数绑定的形式时是不会产生。文件中查找连接操作数据库的方式。下载文件处存在目录遍历，可通过。语句，是不会产生注入的。

use：导入，导入think \ Controller后使用可直接使用其中的方法不加路径namespace：命名空间assing：第一个参数为页面中需要展示的参数，第二个参数为传入的参数fetch：用于渲染模板文件输出当访问此url时，会去访问路径下的word函数，将abc作为参数传入name此时调用了word函数，将abc作为值赋值给变量$name，通过assing()将$name中的值设置为页面中需要展示的参数的值，fetch()对页面进行渲染展示导入thinkphp中自定义的操作数据库的方法。

登录CMS后台我们将网站cookie中的内容进行删除，只留下一个admin_name时刷新页面，发现并没有提示退出此时可以知道，后台是通过cookie中的admin_name进行判断是否登录的，admin_name中的内容为admin也就是说我们访问后台页面时，在cookie中添加一个admin_name字段，并且将字段中的值设置为admin就可以不需要登录从而访问到后台的页面访问敏感的页面，并添加cookie字段保存并重新刷新页面。

进行替换，并将替换后的内容进行返回。格式内容转换为数组格式赋值给。

此处如果能控制就可以进行闭合，执行恶意代码将传入的参数进行正则匹配，当匹配通过时继续往下走下面并没有对恶意代码内容进行过滤跟踪查看它的参数是在哪里传入的此处将传入的参数作为参数，来调用继续跟踪查看它的参数是在哪里传入的此处的参数值是通过的结果进行赋值的继续跟踪此函数的功能就是载入对应路径的文件，并返回文件内容也就是载入此处传入的中的路径的文件，并返回文件内容继续找变量的值是从哪里赋来的的值是通过一个语句根据变量的值进行判断匹配然后赋值的，为绝对路径变量的值又是通过返回的跟踪，此函数

访问后台登录页面从url可猜测出来大致的路由 使用中的中的当我们拿到源码后，可通过对文件包含的关键函数进行大致的正则搜索此处为此包含漏洞产生的文件打开文件查看，此处对这个变量内容进行了包含通过分析的由来我们可以知道，变量存放的是一个文件的路径并且在下面还通过函数来将中的内容写入到了这个文件中然后进行包含此文件因为会把变量中的内容写到这个文件中，所以如果我们能控制变量中的内容就能把恶意代码写到此文件中，最后还会来包含这个文件接下来关注点就在变量上了，让我们看一下变量是怎么来的通过代码可以看

在。

很多PHP程序都是开源的、找到官网下载最新的源码包就好了(站长之家，A5源码)安装网站在本地搭建网站，一边审计一边调试。实时跟踪各种动态变化浏览源码文件夹，了解该程序的大致目录入口文件index.php、admin.php文件一般是整个程序的入口，详细读一下index文件可以知道程序的架构、运行流程、包含那些配置文件，包含哪些过滤文件以及包含那些安全过滤文件，了解程序的业务逻辑一般类似config.php等文件，保存一些数据库相关信息、程序的一些信息。