目录
引言
如果是在php7
如果是在php5
现在我们来上传文件
最后的结果:
看本篇前可以先看这一篇:利用异或、取反、自增bypass_webshell_waf-CSDN博客
上一篇介绍了如何构造出一个无字母数字的webshell,但是如果后端的代码变成了这样:
35){ die("Long."); } if(preg_match("/[A-Za-z0-9_$]+/",$code)){ die("NO."); } eval($code); }else{ highlight_file(__FILE__); }
这里过滤了大小写字母、数字、_、$,因此我们上一篇介绍的利用$和_的方式都无法实现了,那么应该怎么构造webshell呢?
php7中这个问题并不是很难解决,PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。
所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。
所以很简单了,构造一个可以生成phpinfo这个字符串的PHP表达式即可。
因为有大小写字母的限制,我们首先需要将phpinfo这个字符串转换为URL编码:
那么就可以构造一个如此的payload了:
(~%8F%97%8F%96%91%99%90)();如果是在php5
此时,如果我们尝试用PHP7的payload,将会得到一个错误:
原因就是php5并不支持这种表达方式。
那么这个问题现在呢应该怎么解决呢?
操作系统里包含的最重要的两个功能就是“shell(系统命令)”和“文件系统”,很多木马与远控其实也只实现了这两个功能。
PHP自然也能够和操作系统进行交互,“反引号”就是PHP中最简单的执行shell的方法。
那么,在使用PHP无法解决问题的情况下,为何不考虑用“反引号”+“shell”的方式来getshell呢?
因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母、数字、$的系统命令来getshell?
好像问题又回到了原点:无字母、数字、$,在shell中仍然是一个难题。
此时还有两个有趣的Linux shell知识点需要理解:
1、shell下可以利用. 来执行任意脚本
它的作用和source一样,就是用当前的shell执行一个文件中的命令。
比如:当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。
可以尝试编辑这样一个文件:
vim id.txt
echo id然后使用.来执行一下
. id.txt id可以看到确实是执行了
用. file执行文件,是不需要file有x权限的。
那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?
这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。
2、Linux文件名支持用glob通配符代替
执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:
*可以代替0个及以上任意字符
?可以代表1个任意字符
那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。
但我们尝试执行. /???/?????????,却得到如下错误:
这是因为,能够匹配上/???/?????????这个通配符的文件有很多,我们可以列出来:
先不看有这么多的文件,就在执行第一个匹配上的文件(即/bin/abrt-cli)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。
就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。
我们再来看看之前列出可能干扰我们的文件,发现所有文件名都是小写,只有PHP生成的临时文件包含大写字母。
那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。
翻开ascii码表,可见大写字母位于@与[之间:
那么,我们可以利用[@-[]来表示大写字母:
. /???/????????[@-[]
web.html
Document
web.php
35){ die("Long."); } if(preg_match("/[A-Za-z0-9_$]+/",$code)){ die("NO."); } eval($code); }else{ highlight_file(__FILE__); }
web1.php
这是是用来显示文件的上传信息的
注意,php生成临时文件名是随机的,最后一个字符不一定是大写字母,不过多尝试几次也就行了。
首先我们编写一个文件来用作测试:
现在我们可以尝试在上传文件后进行抓包:
web1.php包:
web.php包:
然后我们将web1.php包中post的值移动到web.php文件中,构造出一个上传文件
还有将Content-Type: multipart/form-data;增加到web.php包中
现在我们就可以在这里使用POST构造出临时文件,使用GET匹配临时文件
GE传入的T参数:
?>=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f%[%40-[]`%3b最后的结果: