CTF-SSRF

发表于 2021-05-25 更新于 2021-07-27
本文字数： 2k 阅读时长 ≈ 2 分钟

原理：

1	服务器请求伪造是一种由web服务器发出请求的漏洞，它能够请求到与它相连的内网资源。因此SSRF主要测试目标是企业的内网系统。

CTF-文件包含

发表于 2021-05-23 更新于 2021-07-27
本文字数： 1.1k 阅读时长 ≈ 1 分钟

1	php伪协议事实上就是其支持的协议与封装协议

发表于 2021-05-23 更新于 2021-07-27
本文字数： 3.2k 阅读时长 ≈ 3 分钟

简单介绍

用户通过浏览器提交执行命令，由于服务器没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，可能会允许使用者从$PATH或程序执行环境的其他方面来执行一个恶意构造的代码

发表于 2021-05-21 更新于 2021-07-27
本文字数： 2k 阅读时长 ≈ 2 分钟

五类相关函数

1、eval+assert函数

2、preg_replace/e最新php不支持，php5广泛使用

3、用户自定义函数

4、动态函数

5、其他

发表于 2021-05-20 更新于 2021-07-27
本文字数： 1.5k 阅读时长 ≈ 1 分钟

1	1' or '1'='1