文件上传总结
if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename))
容易发现,匹配只匹配最后一个点的后缀,所以可以引用比较经典的解析问题sky.php/.绕过
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Rick!
相关推荐
2020-05-07
CTF中的htaccess
服务器中间件为apache,因此想到了传.htaceess来解析php,通常我们用 .htaccess来解析非php后缀文件时用到 AddType application/x-httpd-php .ppp 或者 123<FilesMatch "shell.jpg"> SetHandler application/x-httpd-php</FilesMatch> auto_append_file和auto_prepend_file 相关bypass 如果文件末尾被自动加上一句话,会导致服务器500错误,这时候可以在最后添加#\ 将换行转义成普通字符 如果特殊字符被实体编码, 可以通过特殊编码来绕过 相关比赛 XNUCA2019Qualifier
2020-03-21
DDCTF2018-区块链
https://xuanxuanblingbling.github.io/ctf/web/2018/05/01/DDCTF2018-WEB4-区块链/
2020-03-19
PHP-RCE-Bypass
无参数函数执行 https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/ 大致思路如下: 利用超全局变量进行bypass,进行RCE 进行任意文件读取 什么是无参数函数RCE 传统意义上,如果我们有 1eval($_GET['code']); 即代表我们拥有了一句话木马,可以进行getshell,例如 但是如果有如下限制 1if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { ...
2020-02-27
PHP参数字符串解析特性
利用PHP的字符串解析特性Bypass 我们知道PHP将查询字符串(在URL或正文中)转换为内部GET或的关联数组_GET或的关联数组GET或的关联数组_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过: 1/news.php?%20news[id%00=42"+AND+1=0-- 上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。 PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事: 1.删除空白符 2.将某些字符转换为下划线(包括空格) 例如: User input Decoded...
2020-02-28
PHP反序列化及扩展
phar扩展
2020-03-12
Python-Opcode及利用Opcode绕过python沙箱
0x01 OpCode opcode又称为操作码,是将python源代码进行编译之后的结果,python虚拟机无法直接执行human-readable的源代码,因此python编译器第一步先将源代码进行编译,以此得到opcode。例如在执行python程序时一般会先生成一个pyc文件,pyc文件就是编译后的结果,其中含有opcode序列。 如何查看一个函数的OpCode? 12345def a(): if 1 == 2: print("flag{****}")print "Opcode of a():",a.__code__.co_code.encode('hex') 通过此方法我们可以得到a函数的OpCode co_code string of raw compiled bytecode Opcode of a(): 6401006402006b020072140064030047486e000064000053 我们可以通过dis库获得相应的解析结果。 123import...
评论