提示存在WAF检测,猜测后台还存在一些过滤 空格绕过WAF检测的原理 一些攻击者可能会尝试利用WAF(Web Application Firewall)的特性,通过在恶意请求中插入特定的字符或字符串来绕过...攻击者可以在恶意请求中使用这个编码后的空格字符来绕过WAF的过滤。 当WAF接收到包含URL编码空格的请求时,它可能会将其解释为有效的URL编码字符,而不是一个空格字符。...%20num=phpinfo() disable_functions是PHP内置的一个设置选项,类似于黑名单,用来禁用危险函数、命令、关键字等等,用来提高网站和WAF的安全性 **从红框那里可以看到过滤了很多命令执行函数...file_get_contents() 函数把整个文件读入一个字符串中。 字符串转ASCII码chr()对应表 为什么PHP可以识别ASCII码chr()对应表?...ASCII码是一种7位无符号整数编码系统,它使用数字0-127来表示所有的字符、数字和标点符号等。在PHP中,chr()函数可以将ASCII码转换为相应的字符。
如果解不出来,尝试在头加上 佛曰: 或者尝试新约佛论禅 新约佛论禅 特征:新佛曰:羯諸羯隸僧降羯吽羯諸陀摩隸僧缽薩劫羯祗羯闍嚤羯咒羯迦羯嚤羯劫祗眾薩羯囉羯即眾吶陀修羯如色如羯 解码网站:http://hi.pcmoe.net...0005 对应:一二三 解码网站:https://dianma.bmcx.com/ 难度:中等 没有接触过这种类型的编码,没办法一眼看出是中文编码 技巧:如果见题目有四位且只有四位数字,并且分隔开的的数字串...,可以联想到中文电码,一般来说不超过四位的阿拉伯数字 其他:中文电码由四位阿拉伯数字(0001-9999)组成,用于表示最多一万个汉字,字母,符号,由于中文电码是"无理码",记忆困难,一般的用户无法记忆使用...chr ord q qr q and print chr ord q ne sin and print chr ord q ref or 加密网站:http://ctf.ssleye.com/ppencode.html.../usr/bin/perl -w即可的知perl代换转换成英文字母的字符串 当铺密码 特征:王夫 井工 夫口 由中人 井中 夫夫 由中大 解码方法: 原理极其简单,只需要看出头的笔画有多少,就是代表什么数字
也正是因为这些PHP特性,使得它频繁出现在各类CTF题目中。 在开始今天的重点之前,我们先复习一下以前遇到过的一些PHP黑魔法。...但PHP内置函数不太限制传入参数的类型,所以当输入的值不是字符串时,就会产生不预期的返回值。 例如,我们传入一个数组,就会返回NULL,绕过判断。 ?...在现实应用,例如HTTPS连接中,只在第一次握手时使用非对称加密,通过握手交换对称加密密钥,之后的通信用对称加密完成:服务端向客户端发送证书/公钥,客户端验证证书的有效性后,生成一个随机值,用该证书加密...尝试扫描是否有敏感文件泄露 发现.index.php.swp文件,这是index.php文件异常退出时系统自动的备份文件,可以恢复源代码; vim-r index.php.swp :w....当我们再次发起请求时,如果不提交新的数据,服务器就会从cookie中获得这个数据,做base64解密和CBC解密,得到字符串,反序列化后得到用户名,完成身份认证。
如果在haystack中存在一个与needle相等的子串,返回子串的起始下标,否则返回-1。C/C++、PHP中的strstr函数实现的就是这一功能。...Sunday算法由Daniel M.Sunday在1990年提出,它的思想跟BM算法很相似, 其效率在匹配随机的字符串时不仅比其它匹配算法更快,而且 Sunday 算法 的实现比 KMP、BM 的实现容易很多...只不过Sunday算法是从前往后匹配,在匹配失败时关注的是主串中参加匹配的最末位字符的下一位字符。...很多高效的字符串匹配算法,它们的核心思想都是一样样的,想办法利用部分匹配的信息,减少不必要的尝试。 Sunday算法利用的是发生失配时查找串中的下一个位置的字母。还是用图来说明: ?...于是我们知道,在开始查找之前,应该做一项准备工作,收集Alphabet中的字母在needle中最右一次出现的位置。
")"; php5与php7的区别: php5不支持($a)()这种方法动态解析调用函数; 在 PHP 5 中 assert() 是一个函数,我们可以通过f='assert';f(...)...注意:测试中发现,传值时对于要计算的部分不能用括号括起来,因为括号也将被识别为传入的字符串,可以使用代替,原因是 PHP 的 use of undefined constant 特性。...code=(~%8F%97%8F%96%91%99%90)(); 以上方法在php5中都不能执行phpinfo()函数,但是php7中就可以 以下方法不受版本限制 ?code=_="dir"?><?...好像问题又回到了原点:无字母、数字、$,在shell中仍然是一个难题。...然而,在执行第一个匹配上的文件(即/bin/run-parts)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。 思路又陷入了僵局,虽然方向没错。
php $_=[].'1'; var_dump($_); 这里看到输出的是Array1,我们这里是不允许出现数字的,但我们直接拼接个空是不是也是可行的呢,尝试一下 <?php $_=[]....php //本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。...php //本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。...php //本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。...php //本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势,太棒啦~。
声明变量:声明变量的一种方式是使用 Dim 语句、Public 语句和 Private 语句在 Script 中显式声明变量。例如: Dim aa 声明多个变量时,使用逗号分隔变量。...有关数值,请参阅“设置”部分。如果省略,则 buttons 的默认值为 0。 title 显示在对话框标题栏中的字符串表达式。如果省略 title,则将应用程序的名称显示在标题栏中。...helpfile 字符串表达式,用于标识为对话框提供上下文相关帮助的帮助文件。如果已提供 helpfile,则必须提供 context。在 16 位系统平台上不可用。...在 16 位系统平台上不可用。 设置 buttons 参数可以有以下值:常数值描述 vbOKOnly 0 只显示确定按钮。 vbOKCancel 1 显示确定和取消按钮。...在将这些数字相加以生成 buttons 参数值时,只能从每组值中取用一个数字。
尝试用修改参数filename的值为index.php ,这个时候我们什么都看不到, 写一个脚本查下源代码 import requests a=30 for i in range(a): url...> 1.表达式直接写出来的字符串直接利用,如key 2.“.”代表任意字符 3.“*”代表一个或一序列字符重复出现的次数,即前一个字符重复任意次 4.“/”代表“/” 5..../i代表大小写不敏感 8.{4-7}代表[0-9]中数字连续出现的次数是4-7次 好了这样就可以构造了 key@keykeykeykeykey:\\\\1keya@ BP 弱密码top1000?...在第一个类eval()里面有一个php强比较hint===”hint.php”,这里hint.php也就是我们需要构造的 O:4:"evil":1:{s:4:"hint";s:8:"hint.php";...也就是php字符串逃逸导致的漏洞,即序列化的字符串在经过过滤函数不正确的处理而导致对象注入 构造ployed:username=\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0
执行之后会在浏览器中回显一段 base64 加密的字符串,即后端 flag.php 文件内容的密文。...图片 尝试性的在蚁剑连接一下,直接连接成功了。嗯,所以直接去根目录寻找 flad 即可。 图片 不过,看到 一位师傅的解法 很有意思,尽量回避对工具的依靠。...图片 不过一句话木马形式多样,换一个就行了,可以将代码置于 script 标签中,并设置语言属性为 php 即可: @eval($_POST['h-t-m...因此在传入数据时可以在变量名之前添加空格,这样 WAF 就会不认识该变量,但 PHP 却依然会将其解析为 num,此时便可绕过 WAF。...num=print_r(scandir(chr(47))) 从结果中可以看出根目录中含有一个可疑对象 f1agg: 图片 尝试打开前一步找出来的 f1agg,使用 file_get_contents
//使用serialize时触发 __toString() //把类当作字符串使用时触发 __invoke() //当脚本尝试将对象调用为函数时触发 (二)CVE-2016-7124漏洞 __wakeup...(三)例题 反序列化漏洞的成因 unserialize()函数的参数可控 php中有可以利用的类并且类中有魔术方法 当传给unserialize()的参数可控时,就可以注入精心构造的payload,在进行反序列化时就可能触发对象中的一些魔术方法...原理就是序列化后的字符串在进行反序列化操作时,会以{}两个花括号进行分界线,花括号以外的内容不会被反序列化。字符逃逸的主要原理就是闭合,与SQL注入还有XSS等类似,只不过它判断的是字符串的长度。...//使用serialize时触发 __toString() //把类当作字符串使用时触发 __invoke() //当脚本尝试将对象调用为函数时触发 POP链的构造 POP链:如果我们需要触发的关键代码在一个类的普通方法中...$data; } 在反序列化操作前,有个read的替换操作,字符数量从5位变成3位,合理构造username的长度,经过了read的替换操作后,最后将”;s:7:”pass”;s:126吃掉,需要吃掉的长度为
()函数拼接双字节汉字,前一个chr()为高位字节,后一个为低位字节 $a = chr(mt_rand(0xB0, 0xD0)) . chr(mt_rand(0xA1, 0xF0));...可以看出,数据量在200万以下时,查询时间几乎没有差别,只是在数据量1400万时,查询1万次的时间增加了1秒 注:本人在之前测试,和之后测试时,查询article5时时间大概是2.1-2.5秒左右,可能...水平分表 根据数据的不同规则作为一个分表条件,区分数据以数据之间的分表叫做水平分表 水平分表是比较常见的分表方法,也是解决数据量大时候的分表方法,在水平分表中,也根据场景的不同而分表方法不同 取模分表...,可以尝试分表 2:字段占用空间太大,不常用或只在特定情况使用,可以尝试分表 3:字段与其他字段更新时间不同,可以尝试分表 以上是本人对分表的一些理解,如果有错误或者补充,欢迎各位大神指点一二,本人感激不尽...PHP自动加载与composer自动加载 下一篇: md5加密介绍以及php中
1)留言板插入标签代码 在2.0.3版本中留言板留言具体代码在\app\home\controller\IndexController.php的addMsg函数, image.png 其中第270行有处过滤...提取出左括号前的字符串,判断字符串是否是函数或者字符串为eval,并且字符串不在白名单中(date,in_array,explode,implode)。...在函数名和括号间可以插入控制字符[\x00-\x20],PHP引擎会忽略这些控制字符,接下来还有最后一处过滤就到了eval,胜利在望,此处正则匹配了一些常用的字符串。...,并且尝试执行它。...上文另外一个姿势,在函数名和圆括号之间插入控制字符能不能绕过狗呢?答案是可以! 先将十六进制转换为文本字符串; 复制这两个原点到php文件中,测试一下,执行成功!
xor运算 上面算式的运算步骤是这样的 0 xor 1 = 1;1 xor 1 = 0;1 xor 0=1 然后把运算结果写在一起就是101了 在更高的进制中: 以十进制为例: 65 xor 42 =...padding oracle attack 出现了。 攻击原理 假设我们向刚刚那个任意文件包含的提交了一段密文。服务器就会尝试解密,就会出现三种结果。...然后把解密成功时的IV的最后一位数与0x01进行异或计算,即可得到中间值的最后一位 然后我们把IV最后一位数设置为能和中间值最后一位数异或后值为0x02的数,穷举IV倒数第二个数看看哪个数能和中间值倒数第二个数异或运算后值为...每个组都包含2个部分: 1.数据区,占56bytes来记录需要被加密的字符串数据,当数据无法填满数据区时,会进行”补位”操作(请看下文解释) 2.长度描述符区,用于记录“非补位”数据的大小,占8个byte...(非补位数据指该组的非填充的数据,即真正需要被加密的字符串) 补位 很简单,若某个组的数据长度小于56byte,该组的数据区不会被占满,那么就会自动补位来使数据区被填满。
[1,1,1] 这种模式时,json_decode默认解析出来的结果是一个数组, 当字符串为{“1”:1,“2”:1} 这种模式时,json_decode默认解析出来的结果是一个对象,此时可以设置它的第二个参数为...true强制让它返回数组 3.由于php无法区分一维数组和二维数组,才会出现以上情况,因为使用json编码时推荐将第二个参数设置为true json_encode 中文不转码 满足条件: 1,文件编码为.../{"a":"\u4e0d\u8f6c\u7801"} //{"a":"不转码"} 在使用json_decode函数想把json串转化为数组的时候,出现了null,当时还以为是因为json对字符串的长度有限制...php $info = json_decode(trim($info,chr(239).chr(187).chr(191)),true); 二、语法错误 使用 json_last_error() 函数打印一下错误...php echo $errorinfo = json_last_error(); //输出4 语法错误 出现这个问题是因为在 json 字符串中反斜杠被转义, 只需要用 htmlspecialchars_decode
进制之间的转换 工具 编码是符号的映射表示关系 字符串在线转2进制 工具 由于计算机是MG发明的,一开始的映射表是ASSIC码,用一个字节(8位)表示一个符号或者字母 比如小写字母a对应的是...97 相应的2进制为01100001 8个位的2进制最大值是11111111 所以当它不够用之后,就出现了双字节字符集,比如GBK,Unicode等 再之后为了优化传输 出现了UTF-8,UTF-16...见这张我自己画的小图吧~ php中的进制转换 在php中 内置了挺多的进制转换函数 bindec() — 二进制转换为十进制 decbin() — 十进制转换为二进制 dechex() — 十进制转换为十六进制...decoct() — 十进制转换为八进制 hexdec() — 十六进制转换为十进制 octdec() — 八进制转换为十进制 base_convert()– 在任意进制之间转换数字 php中的2进制输出...所以当我们在UTF-8文件的php程序输出小写字母a的时候,经过解析会转换得到97这个10进制的数。
$foo = new Foo(); var_dump($foo::class); 非捕获 catches 在 PHP 8 之前,每当你想捕获一个异常时都必须将其存储在一个变量中,不管你是否使用这个变量...参数列表中的尾部逗号 现在的 PHP,虽然可以调用函数时在尾部加逗号,但参数列表中仍然缺少对尾部逗号的支持。...PHP 8 中,当使用一个 trait 并实现其抽象方法时,PHP 8 将执行正确的方法签名验证。...:警告取代了通知 未定义的属性:%s::$%s:警告取代了通知 由于下一个元素已被占用,无法将元素添加到数组:Error异常取代了警告 无法取消设置非数组变量中的偏移量:Error异常取代了警告 无法将标量值用作数组...($a + $b); 对算术和按位运算符进行更严格的类型检查 在 PHP 8 之前,可以在数组、资源或对象上应用算术或按位运算符。
"; }//每一个字符出现了多少次,chr函数代表显示出来的是ascii码 <?...php echo stripos("You love php, I love php too!","PHP");//PHP在第一个参数中第一次出现的位置,从0开始数起 <?...,"Shanghai");//Shanghai这个字符串在第一个参数中第一次出现,并返回剩余部分 <?php echo strstr("I love Shanghai!"...,"Shanghai",true);//Shanghai这个字符串在第一个参数中第一次出现,返回之前的部分 "; // 字符串中 "is" 出现的次数 echo substr_count($str,"is",2)."
后来不知道怎么传承的,这个「第一参数」就变成了我们行话中的「连接密码」。 以上面这个图为例子,效果其实是等同于你在服务器上新建了一个 php 文件,然后内容写成下面这段代码的: <?...php $a="assert"; $$a($_POST['cmd']); ?> 再接着就是把 assert 关键字用 base64 等各种手段不让直接出现的 总之就是,防守方不断更新规则库,进攻方不断尝试变形,有来有回 下面我罗列了常用的一些能引起代码执行的方式: eval preg_replace 函数中的 /e 修饰符 create_function...接下来是加密过程,先拿 session_id 来充当 key, AES-256 是需要32位的KEY的,不足32位我们就在后面补字母 a, 这里为了方便,我们把 IV 向量跟 key 设置成一样的了,
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
