php5构造无字母数字的webshell实现任意命令执行
作者:mmseoamin日期:2023-12-14

目录

引言

如果是在php7

如果是在php5

现在我们来上传文件

最后的结果:


看本篇前可以先看这一篇:利用异或、取反、自增bypass_webshell_waf-CSDN博客

引言

上一篇介绍了如何构造出一个无字母数字的webshell,但是如果后端的代码变成了这样:

35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

这里过滤了大小写字母、数字、_、$,因此我们上一篇介绍的利用$和_的方式都无法实现了,那么应该怎么构造webshell呢?

如果是在php7

php7中这个问题并不是很难解决,PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。

所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。

所以很简单了,构造一个可以生成phpinfo这个字符串的PHP表达式即可。

因为有大小写字母的限制,我们首先需要将phpinfo这个字符串转换为URL编码:

 

php5构造无字母数字的webshell实现任意命令执行,第1张 

那么就可以构造一个如此的payload了:

(~%8F%97%8F%96%91%99%90)();

如果是在php5

此时,如果我们尝试用PHP7的payload,将会得到一个错误:

原因就是php5并不支持这种表达方式。

那么这个问题现在呢应该怎么解决呢?

操作系统里包含的最重要的两个功能就是“shell(系统命令)”和“文件系统”,很多木马与远控其实也只实现了这两个功能。

PHP自然也能够和操作系统进行交互,“反引号”就是PHP中最简单的执行shell的方法。

那么,在使用PHP无法解决问题的情况下,为何不考虑用“反引号”+“shell”的方式来getshell呢?

因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母、数字、$的系统命令来getshell?

好像问题又回到了原点:无字母、数字、$,在shell中仍然是一个难题。

此时还有两个有趣的Linux shell知识点需要理解:

1、shell下可以利用. 来执行任意脚本

它的作用和source一样,就是用当前的shell执行一个文件中的命令。

比如:当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。

可以尝试编辑这样一个文件:

vim id.txt 

echo id

然后使用.来执行一下

. id.txt 
id

 可以看到确实是执行了

用. file执行文件,是不需要file有x权限的。

那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?

这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。

2、Linux文件名支持用glob通配符代替

执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:

  • *可以代替0个及以上任意字符

  • ?可以代表1个任意字符

    那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。

    但我们尝试执行. /???/?????????,却得到如下错误:

    php5构造无字母数字的webshell实现任意命令执行,第2张

    这是因为,能够匹配上/???/?????????这个通配符的文件有很多,我们可以列出来:

    php5构造无字母数字的webshell实现任意命令执行,第3张

    先不看有这么多的文件,就在执行第一个匹配上的文件(即/bin/abrt-cli)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。

    就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。

    我们再来看看之前列出可能干扰我们的文件,发现所有文件名都是小写,只有PHP生成的临时文件包含大写字母

    那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。

    翻开ascii码表,可见大写字母位于@与[之间:

    php5构造无字母数字的webshell实现任意命令执行,第4张

    那么,我们可以利用[@-[]来表示大写字母:

    . /???/????????[@-[]

    现在我们来上传文件

    web.html

    
    
    
        
        
        
        Document
    
    
        

    php5构造无字母数字的webshell实现任意命令执行,第5张 

    web.php

    35){
            die("Long.");
        }
        if(preg_match("/[A-Za-z0-9_$]+/",$code)){
            die("NO.");
        }
        eval($code);
    }else{
        highlight_file(__FILE__);
    }
    

    web1.php

    这是是用来显示文件的上传信息的

     
     
    

    注意,php生成临时文件名是随机的,最后一个字符不一定是大写字母,不过多尝试几次也就行了。

    首先我们编写一个文件来用作测试:

    php5构造无字母数字的webshell实现任意命令执行,第6张

    现在我们可以尝试在上传文件后进行抓包:

    web1.php包:

    php5构造无字母数字的webshell实现任意命令执行,第7张

    web.php包:

    php5构造无字母数字的webshell实现任意命令执行,第8张

    然后我们将web1.php包中post的值移动到web.php文件中,构造出一个上传文件

    还有将Content-Type: multipart/form-data;增加到web.php包中

    现在我们就可以在这里使用POST构造出临时文件,使用GET匹配临时文件

    php5构造无字母数字的webshell实现任意命令执行,第9张

    GE传入的T参数:

    ?> 
    

    最后的结果:

    php5构造无字母数字的webshell实现任意命令执行,第10张