源代码如下
可以看到他过滤了$
和_
而且payload的长度不能超过35,针对这样的情况,P神也做出了解决
PHP7下简单解决问题
PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。
所以很简单了,构造一个可以生成phpinfo这个字符串的PHP表达式即可。payload如下(不可见字符用url编码表示):(~%8F%97%8F%96%91%99%90)();
关于php5的解决
我们可以使用
shell下可以利用.来执行任意脚本
Linux文件名支持用glob通配符代替
来解决.
或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。
用. file执行文件,是不需要file有x权限的
。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?
这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母,6个随机字符最后一个字符是大写的所以可以根据这个特性取glob取匹配
第二个难题接踵而至,执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:
*可以代替0个及以上任意字符
?可以代表1个任意字符那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。
但我们尝试执行. /???/?????????却会爆错,这是因为用这样的方法匹配到的文件会很多
那么,我们可以利用[@-[]
来表示大写字母
然后就可以进行任意命令执行了
整个攻击过程总结
- 自己写一个文件上传的脚本,将我们含有要执行的命令的文件上传上去
- 利用本来的命令执行漏洞打入我们的无字母字符的payload
- 任意命令执行
这里的[@-[]是在ascii码中A-Z的一个临界这是glob支持的一种语法[^-]值的是不包含-的
你Post上去的文件默认是放在tmp/phpxxxxxx
里面的最后一个字符一般为大写
这里放一个post文件的脚本
import requests
while True:
url = "http:// /?c=. /???/????????[@-[]"
r = requests.post(url, files={"file": ("dota.txt", "cat flag.php")})
flag = r.text.split('flag')
if len(flag) >1:
print(r.text)
break