php异或绕过,CTF中php异或绕过preg_match

最新推荐文章于 2024-06-06 11:44:03 发布
最新推荐文章于 2024-06-06 11:44:03 发布
阅读量2.3k 收藏 4
点赞数
文章标签: php异或绕过

0x00:写在前面

suctf的题目和强网杯都遇到这种类型题目了,正好就当做一个笔记来记录一下。

$hhh= @$_GET['_'];if(!$hhh){

highlight_file(__FILE__);

}if(strlen($hhh)>18){

die('One inch long, one inch strong!');

}if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )

die('Try something else!');

$character_type= count_chars($hhh, 3);if(strlen($character_type)>12) die("Almost there!");

eval($hhh);

?>

代码节选~

这里有两个需要绕过地方

1:传入字符长度可以构造$_GET[x]来绕过

2:preg_match可以通过异或来绕过

0x01:思路

异或在开发中可以用来某些场景代替if判断

$a = 1^ 1; //0

$a= 0^ 0; //0

$a= 1^ 0; //1$a= 0^ 1; //1

返回0或者1

首先看这个正则

/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i

\xnn 匹配ASCII代码中十六进制代码为nn的字符

[x00-x7f] 匹配ASCII值从0-127的字符

0-127表示单字节字符,也就是:数字,英文字符,半角符号,以及某些控制字符。

嗯,反正不是中文

0-127的ascii[0-127]的字符 数字 字母 一些字符等等都被过滤了

绕过原理

以制作免杀马为例:

在制作免杀马的过程,根据php的语言特性对字符进行!运算会将字符类型转为bool类型,而bool类型遇到运算符号时,true会自动转为数字1,false会自动转为数字0,如果将bool类型进行计算,并使用chr()函数转为字符,使用"."进行连接,便可以绕过preg_match匹配。

详情了解php不同于其他语言部分

但是很多的preg_match会过滤掉".",所以需要使用异或运算进行绕过,很多的免杀马都是这样制作的。php对字符进行异或运算是先将字符转换成ASCII码然后进行异或运算,并且php能直接对一串字符串进行异或运算,例如"123"^"abc"是"1"与"a"进行异或然后"2"与"b"进行异或,以此类推,在异或结束后就获得了想要的字符串。

注意点:进行异或运算时要将数字转换成字符形式,如果数字(int)和字符异或的话,结果只会是数字,例如1^"a"=1,"a"^2=2,将数字转换成字符串可以使用trim()函数。

拓展:

php特性use of undefined constant,会将没有引号的字符都自动视为字符串,ASCII码大于0x7F的都会被当作字符串,由此可知可以简化异或过程,任何字符与0xff异或都会取相反,这样就能减少运算量了。

以GET或POST传入字符绕preg_match为例:

php的eval()函数在执行时如果内部有类似"abc"^"def"的计算式,那么就先进行计算再执行,我们可以利用再创参数来实现更方便的操作,例如传入?a=$_GET[b],由于b不受限制就可以任意传值了,不过

注意1:在测试过程中发现问题,类似phpinfo();的,需要将后面的();放在第个参数的后面,例如url?a={_GET}{b}();&b=phpinfo,也就是?a=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo,在传入后实际上为${????^????}{?}();但是到了eval()函数内部就会变成${_GET}{?}();成功执行。

注意2:测试中发现,传值时对于要计算的部分不能用括号括起来,因为括号也将被识别为传入的字符串,可以使用{}代替,原因是php的use of undefined constant特性,例如${_GET}{a}这样的语句php是不会判为错误的,因为{}使用来界定变量的,这句话就是会将_GET自动看为字符串,也就是$_GET['a']

github关于这部分的讲解

https://github.com/Samik081/ctf-writeups/blob/master/ISITDTU%20CTF%202019%20Quals/web/easyphp.md

所以综上所述,绕过长度限制可以传一个$_GET[x] 异或来绕过preg_match

0x02:payload

这里可以用fuzz脚本fuzz出来 _GET

url?_=${%fe%fe%fe%fe^%a1%b9%bb%aa}{%fe}();&%fe=phpinfo

url?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

a=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo,在传入后实际上为${????^????}{?}();但是到了eval()函数内部就会变成${_GET}{?}();成功执行

0x03:参考

https://www.cnblogs.com/cimuhuashuimu/p/11546422.htmlhttps://www.jianshu.com/p/fbfeeb43ace2

伍世棋
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFPHP 弱类型&异或取反&序列化&RCE
qi_SJQ_的博客
03-01 959
PHP考点很多,思维导图只能包括大部分的考点,未必全,网上相关总结文章也很多,比如: CTF php总结(一)、CTF php总结(二)、CTF php总结(三)总结了比较常见的基础php题型。 虽然ctf web题原来以php为主,后来加入了python,现在又比较流行java,总体来说php仍然还是比较重要的。 随便几个知识选讲(而且很多知识也是综合考察): 1.php强弱类型比较: “==”是弱类型比较,只比较数值;“= = =”是强类型比较,会比较数值以及变量类型。最简单的是字符串与数字比较,不过.
[ctf web][FBCTF2019]RCEService writeup + preg_match()绕过
ShenZ的博客
08-20 2380
[FBCTF2019]RCEService 知识点: preg_match(): 1.%0a换行绕过 2.正则(pcre)最大回溯绕过 putenv()函数 Setting an environment variable preg_match()绕过: 1.正则(pcre)最大回溯/递归限制 2.数组绕过 preg_match只能处理字符串,当传入的subject是数组时会返回false 3.%0a换行绕过 其实是正则书写不当 (1).不会匹配换行符 (2)非多行模式 putenv()函数:
ctfshow-web入门-命令执行(web29)五种解法绕过文件名检测
最新发布
Welcome To Myon'Blog !
06-06 472
它的 payload 里用到了两个连续的单引号,在一些系统,连续的两个单引号会被解释为一个单引号,而不会被视为字符串的结尾,从而使得字符串拼接在一起。因此,"fl''ag.php" 被解释为 "flag.php",从而绕过对文件名的检测。第一题代码很简单,就是对 preg_match 绕过,只要提交的参数值不出现 flag 就行。这条命令的作用是输出指定文件的内容,并在每一行前面加上行号。可以看到 flag 就在当前目录下,叫 flag.php。写入成功,这里还是测了一会儿才弄好,注意对单引号的转义。
一天一道ctf 第43天(php字符串异或取反绕过)
scrawman的博客
07-24 2509
[极客大挑战 2019]RCE ME 点开题目就是源码 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
CTF之preg_match()函数绕过
天天学安全专属博客
03-06 4200
CTF之preg_match()函数绕过,preg_match()常用的绕过方法
XCTF-攻防世界CTF平台-Web类——18、favorite_number(命令注入)(php5.5.9整数溢出、preg_match正则表达式绕过
Onlyone_1314的博客
01-15 3593
目录标题方法1:ls -i方法2:定义变量输出方法3:写到文件输出方法4:``和$()命令替换 打开题目地址: 提示了源代码,以及php版本是5.5.9 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^
CTF 总结02:preg_match()绕过
热门推荐
weixin_42789937的博客
01-18 1万+
preg_match()绕过,小白总结,修改过一次,后期会根据做题经历有所增补~
YIHUO.rar_密钥加密 异或_异或_异或加密
09-23
在这个"YIHUO.rar_密钥加密 异或_异或_异或加密"的案例,我们探讨的是如何利用异或(XOR)操作进行数据加密和解密。 异或运算是一种逻辑运算,它的特点是:如果两个输入位相同,结果为0;如果两个输入位不同,结果...
m127.rar_位异或_图像异或运算_图像运算_异或_异或运算
07-15
总结来说,"m127.rar_位异或_图像异或运算_图像运算_异或_异或运算"这个主题涉及到的是位异或操作在图像处理的应用。通过位异或,我们可以创造出独特的图像效果,检测图像的变化,或者在更广泛的计算机科学领域...
XOR.zip_LABVIEW XOR_LABVIEW异或_labview的xor
09-20
在LabVIEW,"XOR"代表的是逻辑运算异或操作,它在数字信号处理、数据比较以及控制逻辑具有重要作用。本篇文章将深入探讨LabVIEW实现的异或功能及其应用。 首先,我们要理解异或(XOR)的基本概念。异或是...
按位异或校验和计算器.rar_异或_异或在线计算_异或在线运算_按位异或_校验和计算器
07-15
异或(XOR)是一种基本的逻辑运算符,在计算机科学和信息技术有着广泛的应用,尤其在数据校验、密码学和编码等领域。本压缩包文件“按位异或校验和计算器.rar”提供了一个用于计算异或校验和的工具,特别是针对...
yihuo.rar_异或 神经网络_异或问题
09-24
标题的“yihuo.rar”是一个压缩包文件,其包含了关于“异或”与神经网络应用的示例,特别是如何使用反向传播(BP)神经网络解决著名的“异或问题”。这个例子通过编程语言(可能是MATLAB,因为文件名是'yihuo.m'...
preg_match函数绕过
weixin_42478365的博客
10-10 7414
<?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if(preg_match("/[A-Za-z0-9_$@]+/",$code)){ die('fighting!'); } eval($code); } 1.绕过数字和字母 首先,我们常见的CTF题代码如下,主要是绕过数字和字
php 字符串异或 绕过,CTFphp异或绕过preg_match
weixin_36073959的博客
03-19 3105
0x00:写在前面suctf的题目和强网杯都遇到这种类型题目了,正好就当做一个笔记来记录一下。$hhh= @$_GET[‘_‘];if(!$hhh){highlight_file(__FILE__);}if(strlen($hhh)>18){die(‘One inch long, one inch strong!‘);}if ( preg_match(‘/[\x00- 0-9A-Za-z\‘...
php 字符串异或 绕过,浅析CTF绕过字符数字构造shell
weixin_36349685的博客
03-19 1230
前言在CTF,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。无字母数字webshell简单来说就是payload不能出现字母,数字(有些题目还有其他一些过滤),通过异或取反等方法取得flag。本文涉及知识点实操练习-使用base64与deflate对webshell编码测试源码...
php的preg_match将验证字符的#当成注释了
莫冲的专栏
11-14 134
php的preg_match将验证字符的#当成注释了。要验证的字符包含#,会将#后面的内容全部当成注释处理,导致验证失败。这是php的bug吧。 这其实是个误会。preg_match没问题。在ajax请求时,参数带#,则会将后面的参数全过滤掉,需要给参数加上url_encode()就OK了。...
buuctf10(异或注入&文字符绕过preg_match&伪随机数漏洞seed)
weixin_63231007的博客
12-09 1858
在本题假如路径是/index.php/config.php,浏览器的解析结果是index.php,这样才能执行index.php的代码去包含文件,而basename会返回config.php,使得highlight_file显示出config.php的内容而不是原本的index.php,因为$_SERVER['PHP_SELF']的关系,就算后面有参数如?par=123&par2=333 而 $_SERVER[“PHP_SELF”] 的值为 /test/7ghost.php
p84 CTF夺旗-PHP弱类型&异或取反&序列化&RCE
weixin_43263566的博客
03-26 1885
p84 CTF夺旗-PHP弱类型&异或取反&序列化&RCE
[CTF]Web SQL绕过过滤注入(异或、弱比较注入)
V1040375575的博客
12-25 1950
文章目录前言一、首先看题二、解题步骤1、通过burpsuite抓取登陆包:2、通过bp爆破passwd字段3、使用bp对uname字段进行sql fuzz4、注入方法5、登陆后台 前言 学习ctf记录,CTF Web SQL 绕过过滤注入 一、首先看题 提  示: !,!=,=,+,-,^,% 描  述: 全都过滤了绝望吗? 这里可以看到提示,似乎将许多关键字给过滤了,访问题目网站后,看到一个login登陆页面,结合题目分析应该是一个sql注入+绕过。 二、解题步骤 1、通过burpsuite抓取登
preg_match异或绕过
06-10
preg_match 函数是 PHP 用于进行正则表达式匹配的函数。在某些情况下,我们可能需要绕过某些限制或过滤,这时可以使用异或运算符(^)来绕过。 例如,有时候我们需要匹配一个字符串的数字,但是字符串可能包含一些其他字符,如果直接使用 preg_match 可能会匹配到其他字符导致匹配失败。这时可以使用异或运算符来过滤掉不需要的字符: ``` $str = "123abc456"; if (preg_match("/^[0-9^a-z]+$/", $str)) { echo "Match!"; } else { echo "Not match!"; } ``` 上述代码,正则表达式 `/^[0-9^a-z]+$/` 使用了异或运算符,表示匹配数字或不是小写字母的字符。这样就可以过滤掉字符串的字母,只匹配数字。 需要注意的是,使用异或运算符绕过限制或过滤并不是一个安全的做法,因为正则表达式的匹配规则是公开的,攻击者也可以使用同样的方法绕过限制。建议在实际开发尽量避免使用此方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值