PHP在CTF中的应用场景
PHP常用函数
strpos("1","2")在1中查找二并返回索引或false
str_replace("1","2","3")在3中找1并替换为2
define()定义大小写不敏感的常量
!==不全等,完全不同
<?php
$colors = array("red","green","blue","yellow");
foreach ($colors as $value)
echo "$value <br>";
array()
count() 函数用于返回数组的长度(元素数
htmlspecialchars() 函数把特殊字符转换为 HTML 实体
(通过 PHP trim() 函数)去除用户输入数据中不必要的字符(多余的空格、制表符、换行)
(通过 PHP stripslashes() 函数)删除用户输入数据中的反斜杠(\)
这些超全局变量是:
$GLOBALS
$_SERVER
$_REQUEST
$_POST
$_GET
$_FILES
$_ENV
$_COOKIE
$_SESSION
include 和 require 语句是相同的,除了错误处理方面
require 会生成致命错误(E_COMPILE_ERROR)并停止脚本
include 只生成警告(E_WARNING),并且脚本会继续
readfile()读取文件并输出文字
fopen()fclose()fwrite()
fread() 的第一个参数包含待读取文件的文件名,第二个参数规定待读取的最大字节数
fgets()读取文件首行
feof() 函数检查是否已到达 "end-of-file" (EOF)。
| 模式 | 描述 |
|---|---|
| r | 打开文件为只读。文件指针在文件的开头开始。 |
| w | 打开文件为只写。删除文件的内容或创建一个新的文件,如果它不存在。文件指针在文件的开头开始。 |
| a | 打开文件为只写。文件中的现有数据会被保留。文件指针在文件结尾开始。创建新的文件,如果文件不存在。 |
| x | 创建新文件为只写。返回 FALSE 和错误,如果文件已存在。 |
| r+ | 打开文件为读/写、文件指针在文件开头开始。 |
| w+ | 打开文件为读/写。删除文件内容或创建新文件,如果它不存在。文件指针在文件开头开始。 |
| a+ | 打开文件为读/写。文件中已有的数据会被保留。文件指针在文件结尾开始。创建新文件,如果它不存在。 |
| x+ | 创建新文件为读/写。返回 FALSE 和错误,如果文件已存在。 |
==php中所有用户自定义的函数类和关键词(if else echo)不区分大小写==但是变量大小写敏感
php is_numeric()绕过 [判断是否为数字或数字字符串]
用url编码中的空字符%00或%20进行绕过
strpos(find,found,offset查询位置)查询函数 有返回<0,max>,无返回false
我们可以利用换行绕过(%0a)
$i='666';
$ii=$_GET['n'];
if(strpos($i,$ii,offset:'0')){
echo $flag;
}//?n=%0a666
preg_replace("$$a",'$b',$c);从c中找到a并把a替换为b 一般会用双写绕过和大小写 ```php $dir=str_replace(array('../','./'),' ',$_GET['dir']); //将../和 ./都过滤掉,可双写为....// ..// ``` md5($$a)===md5($b) $a!=$b NULL===NULL a=name[],b=password[] md5(array)->null
MD5(‘QNKCDZO’)=0e8304004519 MD5(‘240610708’)=0e4620074319
intval(var:,base:)强制转换为整数(base:0时会检测var格式以0开头转换为8进制,包含0x用16进制,否则用10进制)
$i='666';
$ii=$_GET['n'];
if(intval(var:$ii==$i,base:0)){
echo $flag;
}//传入?n=0x29a(666的十六进制)
$whitelist=[1,2,3];
$page=$_GET['i'];
if(in_array($page,$whitelist)){
echo 'yes';
}//?i=1白名单形式
if(isset($_GET['n'])){
$num=$_GET['n'];
if(preg_match("/[0-9]/",$num)){
die("no no no !");
}
if(intval($n,0)){
//第二个参数是转换为几进制,如果为零则按照第一个参数进行输出
//有intval()可传入小数
echo $flag;
}
}//i是严格匹配大小写,m是换行匹配
highlight_file(_FILE):
if(isset($_GET['num'])){
$num=$_GET['num'];
if($num==="4476"){
die("nonono!");
}
if (preg_match("/[a-z]/i",$num)){
die("nono no!"):
}
if(strpos($num,0)){
die("nono no!"):
}
if (intval($num,'0')===4476)(
echo $flag;
}//?num=4476.0 ?num=%204476 空格换行,正则没有m
