<?php
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>35){
die("Long.");
}
if(preg_match("/[A-Za-z0-9_$]+/",$code)){
die("NO.");
}
eval($code);
}else{
highlight_file(__FILE__);
}
这个PHP脚本提供了一个潜在的漏洞,允许通过$_GET['code']参数执行PHP代码,但是同时设置了两个限制:
$code的长度不能超过35个字符。$code中不能包含任何字母、数字、下划线(_)或美元符号($)。
在PHP7中就不是非常困难,因为PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。
所以很简单了,构造一个可以生成phpinfo这个字符串的PHP表达式即可。所以可以构造payload为
code=(~%8F%97%8F%96%91%99%90)();
PHP5
因为反引号不属于 “ 字母 ” 、 “ 数字 ” ,所以我们可以执行系统命令,但问题来了:如何利用无字母、数字、 $ 的系统命令来 getshell ?
好像问题又回到了原点:无字母、数字、 $ ,在 shell 中仍然是一个难题。
此时我想到了两个有趣的 Linux shell 知识点:
1. shell下可以利用.来执行任意脚本
2. Linux文件名支持用glob通配符代替
第一点.或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,
当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。
用. file执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不
就可以利用. 来执行它了吗?
这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存
在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。
第二个难题接踵而至,执行 . /tmp/phpXXXXXX ,也是有字母的。此时就可以用到 Linux 下的 glob
通配符:
可以代替0个及以上任意字符
?可以代表1个任意字符
那么, /tmp/phpXXXXXX 就可以表示为 /*/????????? 或 /???/????????? 。
但我们尝试执行. /???/?????????,却得到错误
这是因为,能够匹配上/???/?????????这个通配符的文件有很多
可见,我们要执行的 /tmp/phpcjggLC 排在倒数第二位。然而,在执行第一个匹配上的文件(即
/bin/run - parts )的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。
深入理解glob通配符
对于通配符,可能知道的都只有 * 和 ?。但实际上,阅读Linux的文档 ,可以学到更多有趣的知识点。
其中, glob 支持用 [^x] 的方法来构造 “ 这个位置不是字符x ” 。那么,我们用这个姿势干掉 /bin/run -parts:
排除了第 4 个字符是 - 的文件,同样我们可以排除包含 . 的文件:
现在就剩最后三个文件了。但我们要执行的文件仍然排在最后,但我发现这三个文件名中都不包含
特殊字符,那么这个方法似乎行不通了。
继续阅读glob的帮助,我发现另一个有趣的用法:
就跟正则表达式类似, glob 支持利用 [0 - 9] 来表示一个范围。
我看看之前列出可能干扰我们的文件
所有文件名都是小写,只有 PHP 生成的临时文件包含大写字母。那么答案就呼之欲出了, 我们只
要找到一个可以表示“大写字母”的glob通配符 ,就能精准找到我们要执行的文件。
翻开 ascii 码表,可见 大写字母位于@与[之间
那么,我们可以利用 [@ -[]来表示大写字母:
构造POC,执行任意命令
php 生成临时文件名是随机的,最后一个字符不一定是大写字母,不过多尝试几次也就行了。
最后,我传入的 code 为 ?><?=. /???/????????[@-[]; ?>
333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
