PHP中的危险函数 命令执行 一些常见的可以执行系统命令的函数/语法 函数/语法描述例子system执行命令并输出结果system('id');exec执行命令 只可获取最后一行结果exec('id',$a); print_r($a);passthru同 systempassthru('id');shell_exec ` (反引号)执行命令并返回结…
PHP FFI 什么是FFI FFI(Foreign Function Interface),即外部函数接口,是指在一种语言里调用另一种语言代码的技术。PHP的FFI扩展就是一个让你在PHP里调用C代码的技术。在PHP 7.4版本作为扩展。 使用 FFI 调用 C 的函数 首先要启用PHP7.4的ext / ffi,需要注意的是PHP-FFI要求l…
jarvisoj PHPINFO 题目地址:http://web.jarvisoj.com:32784 题目给出了源码: <?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { …
[LCTF 2018]bestphp's revenge 题目给了源码:index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['…
[GYCTF2020]Easyphp 扫描目录 首先扫描目录发现有www.zip,下载回来得到3个文件 代码审计 index.php <?php require_once "lib.php"; if(isset($_GET['action'])){ require_once(__DIR__."/".$_GET['action'…
PHP反序列化漏洞总结 基础知识 序列化和反序列化 序列化 序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。 serialize ( mixed $value ) : string serialize() 返回字符串,此字符串包含了表示 va…
面向对象 引入:计算机编程在历史的发展长河中,经历了多次版本变革,变化的轨迹是伴随着硬件的发展和人们对于计算机的认知以及需求。 机器语言:即开发者(科学家)使用0和1组成命令,然后在特定计算机上执行优点:执行效率高缺点:开发难度大、移植性差、开发成本高汇编语言:开发者使用简洁英文字母和符号组成,让计算机读取后根据符号进行加工执行优点:指令简单明了、…
PHP基础 PHP语法初步 PHP是一种运行在服务器端的脚本语言,可以嵌入到HTML中。 代码标记 在PHP历史发展中,可以使用多种标记来区分PHP脚本。 ASP标记:<% php代码 %> 短标记:<?php php代码 ?> ,以上两种基本启用,如果要使用需要在配置文件中开启 脚本标记:<scritp language="ph…