php中的特殊标签

Posted jinqi520

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了php中的特殊标签相关的知识,希望对你有一定的参考价值。

 

 

参考:https://www.freebuf.com/column/212586.html

今天看到这篇文章讲到了ctf中的一些关于php标签的小姿势,我虽然不打ctf,但是平常做php的代码审计也经常遇到一种情况:就是开发者为了防止代码注入漏洞,经常会过<?php、?>、  <?这些常见的标签。这种时候除了可以根据实际情况,利用<<??php 等情况进行绕过,还可以使用特殊标签进行绕过

1.当仅禁用<?php时,可以使用<?    ?>

要求:需要开启短标签开关,short_open_tag

技术图片

 

2.当禁用<?php以及?>时,还可以使用<?=   不需要闭合标签

要求:PHP版本>PHP 5.4.0

技术图片

 

3.禁用了<?、 <?php、 ?>时,可以使用asp标签<%  %>

要求:asp_tags设成On

技术图片

4. <script language=”php”>system($_GET[jinqi]); 等价于<?php system($_GET[jinqi]);?>

 不过好像php7之后就不能用了技术图片

 

以上是关于php中的特殊标签的主要内容,如果未能解决你的问题,请参考以下文章

在ckeditor中的Deled特殊标签

PHP/HTML 中的所有特殊字符都是问号

即使有换行符捕获光标位置中的所有内容,也将特殊标签应用于所有选定文本中的文本区域

php 卷曲php转义查询中的特殊字符

从php中的字符串中转义特殊字符

PHP / MySQL中的PDO和UTF-8特殊字符?