更新了特殊了文件名写入技巧

Author: 罗江

README.md

@@ -16,7 +16,10 @@
 - [ ] move_uploaded_file
 - [ ]  str_shuffle 函数缺陷
 - [ ] unlink漏洞的原理和利用 http://wonderkun.cc/index.html/?cat=1&paged=3
+- [ ] mail函数命令执行
 - [ ] 其他
+
+
 ## 一些资源
 
 ### 代码审计练习题
@@ -42,7 +45,7 @@ Xyntax师傅整理的乌云1000个PHP代码审计案例： https://github.com/Xy
 
 乌云Drops文章备份： https://github.com/SecWiki/wooyun_articles
 
-
+php_code_audit_project： https://github.com/SukaraLin/php_code_audit_project
 
 ### 思维导图，资料集合
 

open_basedir 研究.md

@@ -1,4 +1,4 @@
-Open_basedir  指令用来限制php只能访问哪些目录,所有php中相关文件读写的函数都会经过  `open_bsaedir` 的检查
+Open_basedir  指令用来限制php只能访问哪些目录,所有php中相关文件读写的函数都会经过  `open_bsaedir` 的检查(但不限制system的命令执行)
 
 设置open_basedir 的方法，在linux下，不同的目录由`:` 分割
 

代码审计圈/other.md

@@ -5,4 +5,15 @@ if(stripos($url,'.')){
 }
 ```
 
-这段代码是存在漏洞的，因为当.出现在第一位时候返回值为0
+这段代码是存在漏洞的，因为当.出现在第一位时候返回值为0
+
+
+## 注入
+
+	preg_match("/\b(select|insert|update|delete)\b/i",$message)
+
+然后使用/*!00000select*/ 来bypass 语义分析的绕过
+
+> \b”匹配单词边界，不匹配任何字符
+
+/*!*/ 只在mysql中有用，在别的数据库中这只是注释，但是在mysql，/*!select 1*/可以成功执行，在语句前可以加上5位数字，代表版本号，表示只有在大于该版本的mysql中不作为注释

代码审计圈/some-articles.md

@@ -12,3 +12,5 @@
 [某商城文件上传漏洞与SQL注入漏洞 - 先知社区 ](http://xianzhi.aliyun.com/forum/topic/2203)
 
 
+### Tool
+https://t.zsxq.com/F2jEUzv

代码审计圈/特殊的文件写入技巧.md

@@ -1,4 +1,12 @@
-> move_uploaded_file, file_put_contents,copy 都存在的一种特殊文件名的写入技巧
+> move_uploaded_file, file_put_contents,copy，readfile,file,fopen都存在的一种特殊文件名的写入技巧
+
+```
+$name = "index.php/.";
+$name1 = "xxx/../index.php/.";
+```
+对于这两种文件名，如果我们用is_file函数判断，发现都是false,即判断为不是文件或文件不存在。
+
+但上面这些函数判断的时候会认为$name文件不存在，但$name1文件存在,从而可能导致一些特殊的文件读取或者文件写入的漏洞。
 
 ### file_put_contents()
 ```
@@ -20,7 +28,6 @@ paylaod:
 ### move_uploaded_file()
 
 0ctf 上面的一道题目
-
 ```
   case 'upload':
     if (!isset($_GET["name"]) || !isset($_FILES['file'])) {
@@ -45,7 +52,29 @@ pathinfo 函数可以用`/.` 来绕过，取出来的后缀为空
 
 move_uploaded_file函数无法写入`index.php/.`文件，执行函数报错但可以写入`xxx/../index.php/.` 这样来绕过重写index.php
 
-https://www.anquanke.com/post/id/103784
+
+测试demo:
+```
+<?php
+$name = "index.php/."; //覆盖index.php失败，报warning
+$name1 = "xxx/../index.php/."; //覆盖index.php成功
+move_uploaded_file($_FILES['file']['tmp_name'], $name1);  
+?>
+
+<!DOCTYPE html>
+<html>
+<head>
+  <title></title>
+</head>
+<body>
+    <form action="#" method="post" enctype="multipart/form-data">
+        <input type="file" name="file">
+        <input type="submit">
+    </form>
+</body>
+</html>
+```
+> 注意move_uploaded_file 会判断是否为post上传的文件。
 
 ### copy
 php.net上的解释
@@ -60,4 +89,43 @@ test.php
 $name = "./index.php";
 $dest = "xxx/../ttt.php/.";
 copy($name,$dest);
-```
+```
+
+### readfile
+```
+$name = "index.php/.";
+$name1 = "xxx/../index.php/.";
+readfile($name);
+readfile($name1);
+
+>>>
+PHP Warning:  readfile(index.php/.): failed to open stream: No such file or directory in /mnt/hgfs/F/sublime/php/audit/4/file_put_content.php on line 8
+ffffffffffff
+```
+
+### file函数
+同readfile函数
+```
+$name = "index.php/.";
+$name1 = "xxx/../index.php/.";
+file($name1); //$name 读文件失败
+
+array(1) {
+  [0]=>
+  string(12) "ffffffffffff"
+}
+```
+
+### fopen函数
+```
+$name = "index.php/.";
+$name1 = "xxx/../index.php/.";
+$f = fopen($name,'w');fwrite($f,'ffff'); //报错
+$f = fopen($name1,'w');fwrite($f,'ffffffffffff'); //写入成功
+```
+
+## 简要分析
+通过之前大佬对file_put_contents函数的分析`http://wonderkun.cc/index.html/?paged=5`可知php源码的`_php_stream_open_wrapper_ex`函数存在问题，而上面这些函数都直接或间接调用了这个函数，导致了这种文件名可以识别成功。
+
+> move_uploaded_file 和copy函数调用了`php_copy_file_ctx`函数，fopen调用了`php_if_fopen` 这两个函数内部是调用了`_php_stream_open_wrapper_ex`了的。
+