您好,登錄后才能下訂單哦!
本文小編為大家詳細(xì)介紹“php反引號(hào)與短標(biāo)簽怎么用”,內(nèi)容詳細(xì),步驟清晰,細(xì)節(jié)處理妥當(dāng),希望這篇“php反引號(hào)與短標(biāo)簽怎么用”文章能幫助大家解決疑惑,下面跟著小編的思路慢慢深入,一起來(lái)學(xué)習(xí)新知識(shí)吧。
<?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; } } function waf($input){ if(is_array($input)){ foreach($input as $key=>$output){ $input[$key] = waf($output); } }else{ $input = check($input); } } $dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/'; if(!file_exists($dir)){ mkdir($dir); } switch($_GET["action"] ?? "") { case 'pwd': echo $dir; break; case 'upload': $data = $_GET["data"] ?? ""; waf($data); file_put_contents("$dir" . "index.php", $data); } ?>
代碼審查,參數(shù)action控制兩個(gè)模式,當(dāng)action=upload的時(shí)候會(huì)將參數(shù)data的值進(jìn)行過(guò)濾并且作為file_put_contents的第三個(gè)參數(shù),可以試試輸入123的時(shí)候是個(gè)什么效果,我查資料發(fā)現(xiàn)這個(gè)函數(shù)的第三個(gè)參數(shù)具體用法是啥我也不知道
當(dāng)action=pwd的時(shí)候,他會(huì)輸出目錄給我們。
一開(kāi)始兩個(gè)問(wèn)號(hào)是個(gè)啥我也不曉得,查了一下
??是php7新推出來(lái)的表達(dá)式,有利于簡(jiǎn)便三元運(yùn)算符
例:
$example=$_GET['web']??0;
相當(dāng)于
$example=$_GET['web']?$_GET['web']:0;
意思就是如果web參數(shù)如果存在則返回本身,否則返回0
function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; } } function waf($input){ if(is_array($input)){ foreach($input as $key=>$output){ $input[$key] = waf($output); } }else{ $input = check($input); } }
可以發(fā)現(xiàn)這是對(duì)data參數(shù)的過(guò)濾防護(hù),過(guò)濾了php,eval,花括號(hào)等,其實(shí)這些過(guò)濾內(nèi)容有點(diǎn)提示我們要用php標(biāo)簽,但是php,eval,空格這些都被過(guò)濾掉了,這時(shí)候就有新東西學(xué)習(xí)了
反引號(hào)執(zhí)行系統(tǒng)命令,以及php短標(biāo)簽
PHP: 執(zhí)行運(yùn)算符 - Manual就像如果我們要執(zhí)行l(wèi)s命令,通常我們都是system('ls');但是有了反引號(hào),我們直接`ls`即可執(zhí)行,是不是方便多了,但是要開(kāi)一個(gè)默認(rèn)選項(xiàng)(默認(rèn)都是打開(kāi)的),并且不能在雙引號(hào)字符中使用
php中的短標(biāo)簽
<?$a?>相當(dāng)于<?php?> <?=$a?>相當(dāng)于<?php echo $a?>還省略了eval需要的分號(hào)
因此我們思路就是,當(dāng)切換在upload模式的時(shí)候,我們可以控制data參數(shù)傳入php表達(dá)式看看效果,然后切換到pwd模式獲取路徑進(jìn)入到下面去看看
成功回顯1234,有點(diǎn)渲染那味了
構(gòu)造action=upload&data=<?=`ls`?>,因?yàn)榭崭癖贿^(guò)濾了,我們可以利用水平制符\t來(lái)代替空格
繼續(xù)執(zhí)行命令即可
讀到這里,這篇“php反引號(hào)與短標(biāo)簽怎么用”文章已經(jīng)介紹完畢,想要掌握這篇文章的知識(shí)點(diǎn)還需要大家自己動(dòng)手實(shí)踐使用過(guò)才能領(lǐng)會(huì),如果想了解更多相關(guān)內(nèi)容的文章,歡迎關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。