PHP中的危险函数 命令执行 一些常见的可以执行系统命令的函数/语法 函数/语法描述例子system执行命令并输出结果system('id');exec执行命令 只可获取最后一行结果exec('id',$a); print_r($a);passthru同 systempassthru('id');shell_exec ` (反引号)执行命令并返回结…

PHP FFI 什么是FFI FFI（Foreign Function Interface），即外部函数接口，是指在一种语言里调用另一种语言代码的技术。PHP的FFI扩展就是一个让你在PHP里调用C代码的技术。在PHP 7.4版本作为扩展。 使用 FFI 调用 C 的函数 首先要启用PHP7.4的ext / ffi，需要注意的是PHP-FFI要求l…

jarvisoj PHPINFO 题目地址：http://web.jarvisoj.com:32784 题目给出了源码： <?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { …

[LCTF 2018]bestphp's revenge 题目给了源码：index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['…

[GYCTF2020]Easyphp 扫描目录 首先扫描目录发现有www.zip，下载回来得到3个文件 代码审计 index.php <?php require_once "lib.php"; if(isset($_GET['action'])){ require_once(__DIR__."/".$_GET['action'…

PHP反序列化漏洞总结 基础知识 序列化和反序列化 序列化 序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串，方便保持稳定的格式在文件中传输，以便还原为原来的内容。 serialize ( mixed $value ) : string serialize() 返回字符串，此字符串包含了表示 va…

面向对象 引入：计算机编程在历史的发展长河中，经历了多次版本变革，变化的轨迹是伴随着硬件的发展和人们对于计算机的认知以及需求。 机器语言：即开发者（科学家）使用0和1组成命令，然后在特定计算机上执行优点：执行效率高缺点：开发难度大、移植性差、开发成本高汇编语言：开发者使用简洁英文字母和符号组成，让计算机读取后根据符号进行加工执行优点：指令简单明了、…

PHP基础 PHP语法初步 PHP是一种运行在服务器端的脚本语言，可以嵌入到HTML中。 代码标记 在PHP历史发展中，可以使用多种标记来区分PHP脚本。 ASP标记：<% php代码 %> 短标记：<?php php代码 ?> ，以上两种基本启用，如果要使用需要在配置文件中开启 脚本标记：<scritp language="ph…