本文详细介绍了SUCTF 2018挑战赛中GetShell题目,该题需要构造无字母数字的webshell。作者通过分析源码、Fuzz测试,发现了可以利用的未过滤特殊字符,并探讨了利用这些字符构造payload的方法,最终成功获取flag。总结了不包含数字和字母的webshell构造技巧。
前言:
这道题考察的是构造无字母数字的webshell,也挺有趣,被卡了一天了,还有看了网上的WP,千篇一律,所以很有必要记录一下。
[SUCTF 2018]GetShell
直接给出源码
<?php
if($contents=file_get_contents($_FILES["file"]["tmp_name"])){
$data=substr($contents,5);
foreach ($black_char as $b) {
if (stripos($data, $b) !== false){
die("illegal char");
}
}
}
分析一下,先读取所上传文件的内容,然后将第六位之后的内容赋值给data变量,再通过变量来进行匹配看所上传的内容中是否有black_char,如果有则返回illegal char。
所以现在就有一个问题,不知道black_char中到底包含了什么,所以需要进行Fuzz,既然前五位是要截取的,所以前五位可以随便输入,测试过程中发现数字、字母全被禁了,唯独这几个特殊符号没有被禁$ ( ) [ ] _ ~
但是很奇怪,这题既然已经提示了写shell而且已经过滤了字母和数字,按道理说应该是不会过滤.拼接符和;这两个符号的,要不然没办法写payload了,观察之后发现,这两个符号被编码了,而%是被过滤的,所以没有检测出来。
所以手动测试了一下,发现;和.确实没有被过滤,其他的都被过滤掉了。
既然已经确定以下字符没有被过滤,便可以利用这几个字符来构造exp
$ ( ) [ ] _ ~ ; .
有取反的符号,所以就往这方面考虑下,常见的就是取反编码绕过或是和汉字结合使用,这道题肯定编码没办法用了,尝试一下汉字的。
可以通过这样的方式来构造出想要的payload,放一下V0n师傅的脚本
<?php
header("Content-type:text/html;charset=utf-8");
$shell
最低0.47元/天 解锁文章
1328
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
